2023年3月14日,乌克兰计算机应急响应小组(CERT-UA)向微软上报的Outlook提权漏洞CVE-2023-23397相关信息被公布
[1,2]
,据称该漏洞被APT28组织在2022年4月中旬和12月的攻击活动中使用。
奇安信威胁情报中心红雨滴团队对相关事件进行跟进,发现了一批利用CVE-2023-23397漏洞的攻击样本。在分析了这些样本和C2服务器后,我们认为该漏洞的在野利用至少从2022年3月开始,攻击者后期以Ubiquiti-EdgeRouter路由器作为C2服务器,且攻击活动的受害者涉及多个国家。
该漏洞主要源自邮件中附加约会事件所添加的两个特殊属性,当Outlook解析带有以上属性的邮件时,会去访问其中设置的UNC路径进行认证校验,从而导致机器NTLM hash泄露。这里直接使用漏洞分析文章
[3]
中给出的PoC代码。
邮件触发后可以看到responder已经获取到了对应的NTLM hash。
利用CVE-2023-23397的恶意邮件自2022年就在VT上出现,以下按照我们发现这些样本的顺序进行说明。
|
序号
|
MD5
|
VT
上传时间
|
|
1
|
2bb4c6b32d077c0f80cda1006da90365
|
2022-12-29 13:00:43 UTC
|
|
2
|
9f4172d554bb9056c8ba28e32c606b1e
|
2022-04-01 06:21:07 UTC
|
|
3
|
3d4362e8fe86d2f33acb3e15f1dad341
|
2022-04-14 11:49:27 UTC
|
|
4
|
e6efaabb01e028ef61876dd129e66bac
|
2023-03-23 09:03:23 UTC
|
样本1(2bb4c6b32d077c0f80cda1006da90365)于2022年12月29日从土耳其上传VT。样本中附带的UNC链接为\\113.160.234[.]229\istanbul”。邮件就是一个约会,其中的正文也是伊斯坦布尔。
如下图所示可以看到这个IP在2022年4月的时候对应设备是一个路由器。
2023年1月的时候仍是这个路由器,因此该设备可能是一个被攻陷的路由器。
路由器型号可能是Ubiquiti-EdgeRouter。
从邮件msg正文可知,发件IP就是对应的UNC链接的IP地址,发件日期为2022-12-29。
对应的发件邮箱注册了一个wizzsolutions.com的VPS。
恶意邮件的收件人属于一家名为STM的土耳其公司
(
https://www.stm.com.tr/tr),该公司主营军事船舶、国防科技等相关业务。
随着进一步挖掘,我们发现最早有活动的样本(9f4172d554bb9056c8ba28e32c606b1e)在2022年4月1日从乌克兰上传,样本名称为”2022-03-18 - лист.eml”,且邮件正文的发送时间也为2022年3月18日,有理由相信这个时间是比较精确的攻击时间。
邮件的正文如下所示,对应的UNC链接地址为”\\5.199.162[.]132\SCW”。
可以看到Fofa在2022-04-01也对这个IP进行了扫描,其对应的证书如下。
根据该指纹扩展发现另外两个可疑的C2,其活动时间大致也在2022年3~4月之间。
|
IP
|
域名
|
|
77.243.181.10:443
|
globalnewsnew.com
|
|
45.138.87.250:443
|
ceriossl.info
|
该邮箱是乌克兰国家移民局的邮箱,攻击对象大概率是乌克兰国家移民局的人员。
同样2022年4月还有一封邮件样本(3d4362e8fe86d2f33acb3e15f1dad341)上传VT,上传地为德国。该邮件对应的UNC链接为“\\101.255.119[.]42\event\2431“,其本身正文内容没有什么特别的。
有意思的是该IP对应设备依然是一个路由器,且型号和前面的样本一致,都是Ubiquiti-EdgeRouter。
同样从邮件头可知,发件IP依然是UNC链接的地址。
这里的受害者邮箱疑似属于罗马尼亚外交部,该信息主要来自于国际水文测量组织(IHO)的”水文学家--海洋划界专家名单”。
此外还有研究人员发布了一个2022年9月的攻击样本(e6efaabb01e028ef61876dd129e66bac)。
同样该IP下也是Ubiquiti-EdgeRouter型号的路由器。
其对应的邮件正文中,发件IP同样是UNC链接中的IP。
攻击目标是一家波兰军火商(PIT-RADWAR SA)。
而发件邮箱则属于一家印度银行(COASTAL BANK),猜测印度可能也已经被攻击了。
这里结合微软发布的通告
[4]
及奇安信威胁情报中心的扩展,对目前关于CVE-2023-23397漏洞攻击信息的汇总如下。
|
攻击
IP
|
IP
属地
|
设备信息
|
相关时间
|
受害者
|
|
5.199.162[.]13:443
sourcescdn.net
|
立陶宛
|
VPS
|
发件时间
2022-03-18
样本上传时间
2022-04-01
|
乌克兰国家移民局
|
|
77.243.181[.]10:443
globalnewsnew.com
|
德国
|
VPS
|
2022-04-01
之前
|
|
|
45.138.87[.]250:443
ceriossl.info
|
罗马尼亚
|
VPS
|
2022-04-01
之前
|
|
|
101.255.119[.]42
|
印度尼西亚
|
Ubiquiti-EdgeRouter
|
发件时间
2022-04-14
样本上传时间
2022-04-14
|
罗马尼亚外交部
|
|
213.32.252[.]221
|
伊拉克
|
Ubiquiti-EdgeRouter
|
发件时间
2022-09-29
样本上传时间
2022-09-29
|
波兰军火商
PIT-RADWAR SA
发件邮箱为印度银行
Coastal Bank
|
|
168.205.200[.]55
|
巴西
|
Ubiquiti-EdgeRouter
|
