2013-09-21 - Connect the dots

Cookie-Bomb : The "Северная Сказка" Iframer way

For Thumbnail
(from turn.com)

First mention of what they named "CookieBomb" code injection attack come from @MalwareMustDie in this post.

#MalwareMustDie NEW #BLOG: Proof of Concept of "CookieBomb" attack http://t.co/Q1eh7j3KUx pic.twitter.com/fN1L5CnsXX
— MalwareMustDie, NPO (@MalwareMustDie) July 17, 2013

I won't explain here how i know which product is behind this but know that for instance Reveton team used it (or at least one traffer for Reveton) as mentionned by @Malekal_morte

[en] Reveton go now by hacked website http://t.co/l4GHmMI0cY #malware #infosec
— Malekal's site (@malekal_morte) August 12, 2013

The product behind the CookieBomb : Ифреймер "Северная Сказка"

"Snip Shot" of the Advert

Original text of the advert :
--------------------------------------------
Ифреймер "Северная Сказка"

Добрый день,

Меня зовут Пётр Севера, и я с гордостью представляю всем желающим свой новый продукт - ифреймер "Северная Сказка". Разработка его до текущего состояния заняла несколько лет, и можно с уверенностью утверждать, что легендарная кнопка "Бабло" теперь доступна всем желающим. Ифреймер уже используют десятки людей из моего ближайшего окружения, и от всех без исключения он заслужил самые высокие оценки. Обычно, софт такого уровня вообще не доступен для широкой публики, и тихо годами приносит сверхприбыли избранным. Многие из тех, кто использует "Северную Сказку" сейчас, под разными предлогами отговаривали меня от начала продаж широкому кругу лиц. Но, посоветовавшись с партнерами по этому проекту, хорошенько взвесив все плюсы и минусы, я осознанно пошел на этот шаг.

Что же такое ифреймер "Северная Сказка"? Как любит говорить главный разработчик — это не просто ифреймер, это целая операционная система. Итак, "Северная Сказка" — это многофункциональный серверный софт, управление которым происходит через удобную веб-панель.

Основной функционал:
- многопоточный ифрейминг ваших фтп и вебшеллов — мы умеем работать со всеми популярными CMS (более трехсот), и вставляем ваш код самым оптимальным способом в любые виды скриптов. Вы можете быть уверены, мы не испортим верстку ни одной страницы, и вы получите максимум траффика с каждого аккаунта!
- приватные алгоритмы автоматической генерации и криптования ифрейм кода.
- проверка на наличие SSH доступа у всех аккаунтов фтп. Примерно 15-20% фтп имеют доступ по SSH, также можно чекать майл+пасс базы на наличие доступов по фтп или SSH.
- все аккаунты SSH проверяются нашими серверными эксплоитами на получение рута. С 10к аккаунтов SSH вы можете получить в районе 500 рутовых доступов к серверам! На руты устанавливается простой бэкдор для повышения прав при последующем доступе. Руткит в разработке.
- гибко настраиваемая система проверки на детекты АВ как кода ифрейма, так и доменов/ip доров, использующая все известные антивирусы. При детектах АВ автоматически перекриптовывается и заливается на аккаунты новый чистый код.
- заливка любых пользовательских скриптов с проверкой на работоспособность, заливка шеллов и массовое выполнение команд на них: ифрейминг/очистка, eval(), system(), информация о системе, ддос, и др.
- все действия с аккаунтами выполняются через socks-прокси. В качестве socks-прокси используюся SSH-туннели, поднимаемые на обнаруженных доступах SSH, или на аккаунтах, загруженных пользователем вручную.
- все поднятые на сервере socks-прокси можно использовать как на своём компьютере, так и на любых других разрешённых IP-адресах, таким образом обеспечивая себе дополнительную безопасность и анонимность в сети Интернет.
- встроенная TDS (гибкая система распределения и учета траффика), выдерживающая высокие нагрузки на уровне Sutra TDS.
- отключаемые jabber-уведомления
- и многое, многое другое.

Я отдаю себе отчет, что фтп аккаунты - это очень приватная вещь, и мы приложили максимум усилий, чтобы кроме вас никто не получил к ним доступ. Все исходные коды зашифрованы, все аккаунты в базе криптуются нашим собственным алгоритмом не поддающемуся брутфорсу. Ваш пароль используется в качестве ключа шифрования, в случае утери пароля даже мы не сможем расшифровать аккаунты из базы. Установка админки производится в truecrypt контейнер.
Всё это создает достаточную защиту ваших данных в случае любых непредвиденных обстоятельств.

Поддержка пользователей осуществляется почти 24 часа в сутки, 7 дней в неделю, несколькими специалистами. Софт постоянно улучшается, добавляется функционал по пожеланиям клиентов.

Версии софта:
Софт предоставляется в двух комплектациях - "Lite" и "Pro".
Версия Lite включает в себя базовый функционал для обработки FTP аккаунтов - фреймер FTP, TDS, проверка на SSH доступ, автоматика АВ - полноценный инструмент для работы с FTP.
Версия Pro, помимо функционала версии Lite, имеет дополнительные возможности - заливка скриптов на аккаунты, работа с веб-шеллами, проверка получения рута на SSH, инжектор ифрейма в SWF файлы, и другие.
В версию Lite новый функционал добавляться не будет, в обновлениях будут только исправления найденных ошибок. Новые фичи добавляются только в версию Pro.

Ценовая политика:
Лицензия на использование софта стоит 1500 долларов в месяц при покупке Pro версии, и 1000 долларов при покупке Lite версии. При оплате за год вперед скидка 50% (9000$ за Pro, 6000$ за Lite)
К этой цене необходимо прибавить стоимость сервера, вы можете заказать его у нас (цены начинаются от 150 долларов в месяц), или предоставить свой собственный сервер.

Видео о возможностях проекта: http://www.youtube .com/watch?v=DvDNob628F0

Мы принимаем Webmoney, Liberty Reserve, Perfect Money, Bitcoin
Зарегистрироваться и оплатить можно в автоматическом режиме на нашем сайте: https://sevska .com

Контакты(jabber):
Менеджер: [email protected] (поддержка продаж, заказ услуг, общие вопросы)
Саппорт: [email protected] (тех. проблемы, администрирование серверов)

ЗЫ. Кроме этого напоминаю всем желающим, что по прежнему работает моя приватная партнерка по выкупу загрузок, даю ехе и стату, гружу только сокс, ни на чем не сказывается, можно паралельно с чем угодно грузить, по поводу продажи загрузок стучите мне в жабу [email protected]

С уважением,
Пётр Севера
__________________
Jabber(XMPP): jabber @ honese.com
ICQ: 104967
--------------------------------------------
Translate by @Malwageddon -Thanks !
--------------------------------------------

Iframer "Tale of the North"

Good day,

My name is Petr Severa and I'm proud to present you my new product - IFRAMEr "Tale of the North". We spent a few years developing and improving this product and I can truly say - the legendary 'Cash' button is now available to everyone. The IFRAMEr is being used by a number of trusted people already and the feedback I receive is highly positive. Normally, the software of this kind is not publicly available and only used by a few chosen ones. Many who use "Tale of the North" already, tried to talk me out of going public with it, but after talking to other project partners and discussing all the pros and cons I've decided to do just that.

So, what is "Tale of the North"? As our lead developer likes to refer to it - it's not just an IFRAMEr, it's an operation system. So, "Tale of the North" is a multifunctional server software with easy to use control panel.

Main functions:
- multithreaded iframeing of your FTP and web shells - we can work with all popular CMS (over 300) and can insert your code into any script types. Don't worry, we won't screw your page assembly process and you will receive maximum traffic from your every account!
- private auto-generation and encryption algorithms for IFRAMEr code.
- SSH access check for all FTP accounts. Approximately, 15-20% of FTP have SSH access, also it's possible to check mail+pass databases for presence of FTP or SSH access.
- possibility of getting 'root' on all SSH accounts is checked by our server-side exploits. Out of 10K accounts you can get about 500 with server root access! Simple backdoor is installed for all 'root's to elevate the rights for consequent access. Proper rootkit is in development.
- IFRAMEr code AV detections checking system with flexible settings, also checks domain names and IPs - using all known anti-virus products. If the code is being detected it's automatically re-encrypted and uploaded to accounts.
- support for user custom scripts upload with execution check, shell upload with support for mass commands execution: iframing/cleaning, eval(), system(), OS details, DDoS, etc.
- any account actions are done through socks-proxy. SSH-tunnels are used for socks-proxy - compromised SSH or user manually specified servers are used.
- all socks-proxy available on the server can either be used from your PC or any other allowed IPs providing you with additional security and anonymity on the Internet.
- built-in TDS(flexible Traffic Distribution System), capable of handling big loads on par with Sutra TDS.
- configurable jabber-notifications
- and more, and more other features.

I understand that FTP accounts are very private things and we applied maximum effort to protect them. All source code is encrypted, all accounts are stored encrypted in DB using our own brute-force-proof algorithm. Your password is used as the encryption key and if it's lost even us can't decrypt your account details from the database. Admin panel is installed into TrueCrypt container. All of it combined creates a good protection for your data in any unforeseen situations.

Customer support is available almost 24/7 with a few specialists ready to answer your query. Software is constantly improved, new features can be added as per customer request.

Software versions:
Software comes in two versions - "Lite" and "Pro".
Lite version includes base functions for FTP accounts processing - FTP framer, TDS, SSH access check, AV automation - complete toolbox for working with FTP.
Pro version includes all the features available in Lite and some additional ones - script upload to accounts, web-shell interface, SSH 'root' check, iframe injector for SWF files, and other features.
Lite version will never be added any new functionality, updates will include only bug fixes. New features will be added to Pro version only.

Prices:
Licence to use the software costs $1500 a month for Pro version and $1000 for Lite. 50% discount is offered when purchasing 12 months (9000$ for Pro, 6000$ for Lite)
You'll have to add the cost of a server to this price. You can either buy it from us(prices start at $150 per month) or supply your own server.

Video featuring this project: http://www.youtube
.com/watch?v=DvDNob628F0

We accept Webmoney, Liberty Reserve, Perfect Money, Bitcoin
You can register and pay on our website: https://sevska
.com

Contacts(jabber):
Manager: [email protected] (sales support, service requests, common questions)
Support: [email protected] (technical issues, servers administration)

P.S. Also, i would like to remind everyone that my traffic purchasing private partner program is still active. I give EXE and stats, load SOCKS only, it won't affect anything, can be loaded with anything else. If you're interested contact me through Jabber [email protected]

Regards,
Petr Severa
__________________
Jabber(XMPP): jabber @ honese.com
ICQ: 104967

--------------------------------------------

Here is the associated review in video (a copy in case the Original is being pulled out) :
http://www.youtube.com/watch?v=UU6MCPbZCus

Thanks @Xylit0l for multiple hints in that story.

Post Publishing reading :
Box.php Fraud Kit - Darryl - KahuSecurity 2014-01-30 (this is Tale of the North Iframer)

Read more :
Active CookieBomb, CVE 2013-2465 and Reveton - Giuseppe `N3mes1s` - Quequero.org
Crumbling to the Cookiebomb - 2013-08-28 - Martin Lee - Cisco

CookieBomb still dropping malicious content - 2013-08-15 - Krishnan Subramanian - Zscaler

Proof of Concept of "CookieBomb" code injection attack - 2013-07-17 - @unixfreaxp - Malware must die!
Underground [RU] : https://damagelab.org/index.php?showtopic=24376 <- Detailed review by Ar3s