2012-12-28 - Study

Juice the Sweet Orange - 2012-12


Sweet Orange landings have changed around the 15th of December from something like :

http://bigromeguide .com/wHOies?tMNdb=37
or
http://hwdcommunicating .pro/gsziXO?PDBbp=45
or
http://haztalansrayail.myftp .org:443/KsnEPR?coMgL=19


pushing a standard PE





to something like :

http://nutrientcenters  .biz/platz_login/login1/tools/credits.php?sitemap=601&computer=37&health=779&demo=37&edgybg=160
or
http://dimtarhafryz.sytes .net/movies/loginflat/admincp/test.php?time=25&ubuntu=343&watch=737&family=209&community=60&story=232
or
http://nutrientcenters .biz/otto/mobile/support/credits.php?soma=863&demo=37&incest=346&christmas=188&german=51&themes=150


pushing a Xored PE (via Java ) and normal PE via PDF

XORed PE



As i never made a "common EK's CVEs" flight over Sweet Orange (SWT), we'll take a look at that. First the text of the initial advert  (2012-02-20):

------------------------------------------
Связка Sweet Orange


Сервер

Основные возможности

1) Держит большие объёмы. Сервер полностью написан на языке си, веб сервер, пхп для его работы не требуются.
При разработе использовались технологии для высоконагруженных систем. Таким образом достигается высокая скорость обработки соединений.

2) Защита от DDOS атак и автоматического скачивания эксплоитов ав.

3) Удобство инсталляции и обновления.

4) Проверка доменов и IP-адресов по блек листам. На данный момент реализована проверка через scan4you. При запросе возможно добавить ваши сервисы.

5) На текущей версии пробив от 15%.


Веб-интерфейс

Установка веб-интерфейса практически полностью автоматизирована

Основные возможности

1) Управление сервером через веб-интерфейс.

2) Подробная статистика, возможность посмотреть статистику по каждому поставщику трафика. Возможность просмотра статистики по
пробиву для конкретного поставщика для неавторизованных пользователей.

3) Каждому поставщику трафика можно установить свой файл.

4) Удобный механизм обновлений.

5) Информация по вашим доменам и IP-адресам.

6) Подробная справка по использованию.


Поддержка

1) Регулярные чистки, в команде несколько криптовщиков. Саппорт постоянно онлайн.
2) Постоянно ведётся работа над новыми эксплоитами и улучшением старых.


Тарифы

Цена связки 2500 WMZ + первые 2 недели чисток и смены доменов бесплатно.

Дополнительные услуги

Чистка: 1 месяц 1000 WMZ

Смена доменов

1) Ограничение по количеству (цена указана за один домен)
до 10 - 25 WMZ
от 10 до 30 - 15 WMZ
от 30 - 10 WMZ

2) Ограничение по времени (в днях)
10 - 300 WMZ
20 - 400 WMZ
30 - 600 WMZ

Смена сервера 20 WMZ

Заинтересованы в постоянных клиентах и долговременном сотрудничестве.

Контакты

[email protected]

------------------------------------------
Translated by Google as:
------------------------------------------
Sweet Orange Pack


Server

Key features

1) Hold a large amount. The server is completely written in C, a web server, php for it to work is required.
Used when designing technology for heavy systems. Thus achieves high processing speed connections.

2) Protection from DDOS attacks and automatically download exploits AB.

3) Easy installation and upgrade.

4) Check the domain and IP-addresses to black list. At this point a check is implemented scan4you. When you request may add up the services.

5) The current version of the sample from 15%.


Web Interface

The Web interface to automate

Key features

1) Management of the server via a web interface.

2) Detailed statistics, the ability to see the statistics for each supplier of traffic. The ability to view statistics
Breaking for a particular vendor to unauthorized users.

3) Each supplier of traffic you can set your file.

4) Convenient updates.

5) Information on your domain and IP-addresses.

6) Detailed information on the use.


Support

1) Regular cleaning team several kriptovschikov. Sapport constantly online.
2) We are constantly working on new exploits and improving old ones.


Tariffs

Price pack 2500 WMZ + first 2 weeks of cleansing and change the domain for free.

Additional services

Cleaning: 1 month 1000 WMZ

Changing Domains

1) Limitations on the number (the price is for one domain)
10 - 25 WMZ
10 to 30 - 15 WMZ
from 30 - 10 WMZ

2) The time limit (in days)
10 - 300 WMZ
20 - 400 WMZ
30 - 600 WMZ

Changing the server 20 WMZ

Interested in regular customers and long-term cooperation.

Contacts

[email protected]

------------------------------------------

Login Screen

Sweet Orange Login Screen (2012-11-20)
One pass:

GET http://nutrientcenters .biz/otto/mobile/support/credits.php?soma=863&demo=37&incest=346&christmas=188&german=51&themes=150
200 OK (text/html)
One SWT landing (2012-12-26)

GET http://nutrientcenters .biz/otto/mobile/support/fliFiWJM
200 OK (application/pdf) 1a5367b21bb4f548798d7ac44cc079cd (wepawet win)

GET http://nutrientcenters .biz/otto/mobile/support/WTPsjof
200 OK (application/x-java-archive) 4e8971f7b70850a810aed3c6ff32b492
Nicely tagged by VirusTotal


GET http://nutrientcenters .biz/otto/mobile/support/MbBOA
200 OK (application/x-java-archive)  842b852ac19e87f27ca273046db6832a

GET http://nutrientals .org/webapp.php?space=403&oreilly=4&time=606&groupsn=171&watch=359&atom=518&crack=604&crime=209&meta=459&openparadise1=552
200 OK (application/octet-stream)


CVE-2012-5076 :

CVE-2012-5076 in Sweet Orange


Part of CVE-2012-5076 in WTPsjof.jar
CVE-2012-0507 :


CVE-2012-0507 Successful Path on SWT
CVE-2012-1723 :


CVE-2012-1723 Successful Path on SWT
CVE-2012-4681 :


CVE-2012-4681 Path on SWT
CVE-2011-3544 :


CVE-2011-3544 positive Path


XORing ?


XORing part of  MbBOA.jar spotted by Chris Wakelin


CVE-2010-0188 :


CVE-2010-0188 Path

fliFiWJM 200 OK (application/pdf) 1a5367b21bb4f548798d7ac44cc079cd (wepawet win)

Part of Wepawet Analysis
Part of Wepawet Analysis

Checked also but seems safe :
Mdac, CVE-2011-0611, CVE-2011-3402

<edit1 2013-03-24>
URL pattern have change a little today.
Same Sweet Orange before and after on the 24th of March 2013
</edit1>
<edit2 2013-04-27>
Added CVE-2013-2493 : http://malware.dontneedcoffee.com/2013/04/cve-2013-2423-integrating-exploit-kits.html
</edit2>
Payload ?
44b1bf6f39bb13e08603a783559cf975 Citadel  - home was : http://enginewreck .biz/gate.php - 178.49.172.86

Files ?

Zip content
http://goo.gl/XaTQa (Zipped with 7z with public password)

Post (years) Publication note/erratum: Here, some of the exploit might have been wrongly attributed, and success could be the result of fresher working exploits.
More about Sweet Orange :
 [ru] Underground Forum Thread on Damage Lab- 2012-04-04 - Aels - Damage Lab
CVE-2012-5076 - Massively adopted - Blackhole update to 2.0.1 - 2012-11-17
CVE-2012-4681 - Связка Sweet Orange - 2012-08-30

References on Exploit Kits ?
Common Exploit Kits 2012 Poster - 2012-11-11 Mila - Contagio
Wild Wild West - 2012-23-10 - Kahu Security
An Overview of Exploit Packs (Update 17) October 12, 2012 - 2012-10-12 Mila - Contagio