Logiciel malveillant Tonnerre

Tonnerre Malware est la charge utile de la phase finale utilisée dans les activités renouvelées de ce que l'on pense être un groupe ATP (Advanced Persistent Threat) soutenu par l'Iran, connu sous le nom d'Infy. Écrit en Delphi, Tonnerre est conçu comme une charge utile distincte qui étend les fonctionnalités d'un autre outil malveillant d'Infy nommé Foudre Malware. En séparant la fonctionnalité souhaitée en deux menaces différentes, les pirates pourraient tenter de réduire leur empreinte sur le système compromis.

Cependant, l'exécutable de Tonnerre Malware est incroyablement volumineux, atteignant 56 Mo. Il essaie de se déguiser en logiciel légitime. Les versions antérieures prétendent être un programme appelé «SilverSoft Speed», tandis que plus tard, elles se sont présentées comme «Synaptics». À l'instar du Malware Foudre, le Malware Tonnerre est également équipé d'une routine qui authentifie son serveur Command-and-Control (C2, C&C). De plus, Tonnerre utilise une double structure de communication C2.

Tout d'abord, la menace utilise DGA pour trouver son serveur C2, puis le vérifie via une signature RSA. La communication avec ce serveur est effectuée via HTTP et est utilisée pour stocker des métadonnées générales sur la victime infectée, collecter des fichiers correspondant à des extensions prédéfinies, obtenir des mises à jour et obtenir l'adresse du C2 secondaire. La structure C2 supplémentaire est utilisée pour exfiltrer les données collectées ainsi que pour recevoir une liste de commandes pouvant être exécutées sur le périphérique compromis. La communication avec ce serveur est exploitée via FTP.

Le Malware Tonnerre contient 5 formulaires Delphi, chacun programmé avec des fonctionnalités différentes. L'un est responsable du processus d'installation de la menace et de l'établissement d'un mécanisme de persistance via une tâche planifiée pour helper.exe et une clé de registre «Exécuter». Le suivant est responsable de la collecte de certaines données. Il capture des documents à partir de dossiers prédéfinis tels que Documents, Images, Téléchargements, etc. De plus, il peut récolter des données à partir de partages réseau via les fonctions WNetOpenEnumW et WNetEnumResourceW de mpr.dll.

Un formulaire Delphi distinct gère la connexion avec le serveur FTP C2 secondaire. Un autre collecte des fichiers à partir de supports amovibles en suivant les messages WM_DEVICECHANGE et en énumérant les périphériques. Le dernier formulaire utilise l'outil de ligne de commande boiteux pour enregistrer le son.