|
概述
2020年11月,当月全球除了新冠疫情带来的持续影响外还出现了一个大热门事件,由于
美国实行总统制,总统选举每四年举行一次,2020年刚好是一个选举时间,而作为本次选举活动的候选人之一所涉及的相关新闻信息自然也是热点话题,自然也会牵动着好奇的人们。于是乎,在长期以热点时事作为钓鱼攻击主导的高级黑客组织中自然也不会放过如此热门的话题作为攻击媒介。
近日,深信服安全团队在对全球高级持续威胁追踪中捕获了相关恶意文档,此类恶意文档会采用
提供恶意附件的电子邮件垃圾邮件活动进行攻击。
该恶意文档内容上采用了总统候选人近期相关热点新闻作为展示媒介,文档标题为“
Here's what to expect from Biden on top nuclear weapons issues
”翻译中文为“
这是拜登对主要核武器问题的期望
”,由于涉及两个非常吸引人好奇与关注的重要关键词,对受害用户的迷惑性更大。后续用户打开该恶意文档后,显示的是看似正常的相关新闻文章,实质当打开该文档后会通过相关编辑器漏洞从黑客的服务端下载了恶意文件并隐蔽执行,最终受害用户计算机被黑客组织控制。后续对相关情报关联对比后,我们发现本次活动可归因为今年披露的
长期针对南亚次大陆的攻击组织”魔罗桫”(
国外安全厂商命名为Confucius
)
,
该组织长期针对中国,巴基斯坦,尼泊尔等国和地区进行了长达数年的网络间谍攻击活动,主要针对领域为政府机构,军工企业,核能行业等
。
|
组织背景
本次攻击活动经公开的威胁情报关联到的
组织自2013年起便持续活跃,国内命名为
“魔罗桫”(国外命名为
Confucius
)的组织
是一个长期针对
中国、巴基斯坦、尼泊尔等国和地区
进行攻击活动的APT组织,已经观察到的目标有
蒙古,巴基斯坦,特立尼达和多巴哥,乌克兰以及大多数南亚和东南亚国家,大多数中东国家和大多数非洲国家。
主要针对领域有政府机构、军工企业、核能行业等。
从已经披露的相关攻击活动归纳可发现攻击团伙已使用了多种攻击手法:邮件结合钓鱼网站,邮件结合木马附件,单一投放木马,恶意安卓APK投放等,还经常
使用高敏感性的、诱惑性的恶意文档名称
。
|
样本分析
近期捕获到
的相关样本主要采用了诱惑性的标题,
“
Here's what to expect from Biden on top nuclear weapons issues
”翻译为“
这是拜登对主要核武器问题的期望
”。该样本初始上传到
VirusTotal时
只有3家引擎可以检出,规避性效果很好。用户
打开该恶意文档后,最终显示的是看似正常的相关新闻文章,实质是当打开该文档后会通过模板注入下载另一文档,接着该文档利用office编辑器漏洞从黑客的服务端下载恶意文件并隐蔽执行,最终受害用户计算机被黑客组织控制,会收集受害用户敏感信息。
该恶意文档采用的内容来源于国外
Bulletin(
免费新闻与双月刊站点
)2020年11月9日公开发布的一篇文章,标题同样是
“Here's what to expect from Biden on top nuclear weapons issues”翻译为“这是拜登对主要核武器问题的期望”。
原始内容来源如下,时间2020年11月9日。
因此可以大致判断此次攻击活动的起止时间至少从11月9日后开始,通过后续发现相关恶意文件的修改时间为11月11日可以发现该时间比较吻合。恶意文件模板创建时间为2018年10月22日
04:24:00,对于该时间进一步可以关联到以下出自同组织的多个样本。
样本活动时间线:
文档47568de42706aa3da39a03d1d0feddca的最后一次修改时间为2020年5月18日,被捕获的时间为2020年5月20日,涉及新冠病毒内容,属于热点事件。
文档c2528d0f946970e86e6ab9505a36d7b9的最后一次修改时间为2020年10月29日,捕获时间为同一天,涉及今年高敏感性的热点事件与诱惑性内容。
名称为Suparco Vacancy Notification.docx(37f78dd80716d3ecefc6a098a6871070)文档的最后一次修改时间为2020年11月2日,捕获时间为2020年11月4日,内容是伪装成巴基斯坦空间科学委员会招聘信息,从内容看这是针对巴基斯坦地区的攻击活动。
以上捕获的恶意文件都为
docx文件,docx文件先采用模板注入的方式下载存在漏洞利用的恶意文档,接着该恶意文档则利用编辑器漏洞
cve-2017-11882
下载另一恶意文件后在本地隐蔽执行,
而本次捕获的样本同样也是该利用
方式。
本次捕获的样本采用模板注入的方式从服务端
http://recent[.]wordupdate.com/cloud/sync/upgrade
下载存在编辑器漏洞的rtf文件(
346dc04c2c3627d3726c65f86ff495d0
),该漏洞利用文件的创建时间为2019年12月26日。
打开rtf文件后会发现内嵌了
muka.dll(
DEEF1C2C9A63C76FA088BF4B2E62CE87
)文件:
muka.dll分析
该dll文件存在pdb路径:
C:\Users\admin\Documents\dll\linknew\Release\linknew.pdb,从项目名称来看这是作为一个新的链接功能来使用。编译时间为2020年9月4日,导出函数名称为zenu。最终的作用是
从服务端下载
http://wordupdate[.]com/refresh/content下载content文件至本地重新命名并
创建"C:/intel/new.exe"文件,
创建new.lnk快捷方式放置在启动目录下,便于重启后启动继续执行
。
new.exe分析
从服务端下载到本地的new.exe(
3867E03AEB682196C50EBD5E65F14EE9),编译时间为2020年11月18日,无壳,存在的pdb路径:
C:\Users\W7H64\Desktop\VCSamples-master\VC2010Samples\ATL\General\AtlCon\specifications root.pdb
。
黑客采用了微软公开的VC例程代码作为恶意文件开发的基础,原始项目名称为
specifications root,该样本利用微软提供的ATL技术进行编写完成。
在32位系统环境下,恶意文件会首先注入到explorer.exe进程,之后
该恶意文件会通过com功能复制自身并改名为windll至C:\ProgramData\windll.exe,并通过注册表
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
设置自启动,建立持久性。
利用pkgmgr.exe、dism.exe运行机制加com功能替换系统掉
dismcore.dll(
6b906764a35508a7fd266cdd512e46b1
)文件
提升自身程序权限后
,恶意软件会使用powershell命令从Windows Defender中排除整个C驱动器。执行的命令:
powershell Add-MpPreference -ExclusionPath C:\。然后释放
programs.bat文件至目录
C:\Users\onion\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\(属于开始\启动菜单)下,后续重启后再次执行,
programs.bat文件内容如下:
for /F "usebackq tokens=*" %%A in ("C:\Users\onion\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\programs.bat:start") do %%A
在隐蔽性方面,programs.bat:start文件是母体为上述
programs.bat
采用ADS数据流生成的文件,接着执行后会通过wmic命令创建
Roaming:ApplicationData
进程,而
Roaming:ApplicationData同样是自身母体程序通过ADS数据流产生的文件,
实际内容如下:
wmic process call create '"C:\Users\onion\AppData\Roaming:ApplicationData"'
最终发现该文件会在内存解密释放出
Ave Maria远程木马,也被称为
Warzone
RAT。
黑客使用它来远程控制受害者的PC,并从受感染的计算机中窃取信息。
Warzone RAT
Warzone RAT是一款以恶意软件即服务(MaaS)作为商业模式的远控工具,有多次已公开的进行攻击活动的记录。如下图介绍可知会全兼容Windows环境,Warzone RAT第一次公开发售时间是2018年秋季,地址为warzone.io(目前无法访问),如今销售服务则托管在warzone.pw上,官方地址为:
https://warzone.pw/index.html
。
Warzone RAT功能主要包括:
-
远程桌面
-
隐藏的远程桌面-HRDP
-
特权提升-UAC绕过
-
远程网络摄像头
-
窃取密码-支持流行的浏览器和电子邮件客户端( Chrome, Firefox, Internet Explorer, Edge, Outlook, Thunderbird, Foxmail)
-
文件管理功能-高速的文件上传下载,支持文件执行和删除
-
实时和离线的键盘记录
-
反向代理
-
自动任务
-
批量管理
-
智能更新
-
Windows Defender绕过
该RAT存在UAC与Windows Defender绕过以及持久性驻留功能,这也是与其余正常使用的远控不同寻常的一些特性,更有利于攻击者直接使用,用于非法目的。
更高级的特性如下, 存在ring3层的rootkit,不同架构下的shellcode注入,以及也存在隐藏进程、隐藏文件、隐藏启动与HRDP和浏览器劫持,不过相应的价格也会更高。
在规避技术方面,这里提及到可通过加密器来绕过大多数安全防护软件,如下。
在价格方面,最高可达到每三个月有效使用需879美元,大致折合人民币6155元。
Warzone RAT
攻击演变历程(来源互联网)
2018年12月底,Ave Maria(Warzone RAT)恶意软件对意大利某能源企业发起网络钓鱼攻击。黑客以供应商销售部的名义发出钓鱼邮件,附带了包含CVE-2017-11882漏洞利用的Excel文件,以运行从恶意网站下载的木马程序。
2019年2月,Warzone RAT又发生一起疑似针对西班牙语地区的政府机构及能源企业等部门的定向攻击活动。黑客以应聘者的身份发送诱饵文档,文档以简历更新的标题为诱饵,对目标人力资源部门进行定向攻击,诱使相关人员执行恶意代码,从而控制目标人员机器,从事间谍活动。
2019年11月,研究人员发现思科重定向漏洞被利用,攻击者使用开放重定向漏洞,使得合法站点允许未经授权的用户在该站点上创建URL地址,从而使访问者通过该站点重定向到另外一个站点。黑客将垃圾邮件伪装成WebEx的会议邀请邮件,将其中链接重定向到Warzone RAT木马下载链接。一旦运行该木马,受害者的PC将被黑客完全控制。
