【高级持续威胁追踪(APT)】针对俄罗斯白俄罗斯的未知APT行动
2023-10-26 20:45:11 Author: mp.weixin.qq.com(查看原文) 阅读量:4 收藏

背景

近期,深信服深瞻情报实验室在日常的威胁狩猎活动中,发现多个来源为白俄罗斯,俄罗斯的压缩包文件。经过分析发现这些压缩包文件均为精心构造的,利用WinRAR漏洞(CVE-2023-38831)进行恶意攻击的样本。

分析

攻击者向目标发送钓鱼邮件,邮件带有漏洞利用的压缩包附件,当目标用户使用存在漏洞的WinRAR应用程序打开压缩包,并点击其中的PDF文件时,压缩包内的恶意代码将会执行。该恶意代码为一段powershell命令,其会从攻击者的恶意载荷服务器下载后续载荷和欺骗性的PDF文档,并打开PDF文档来迷惑用户,后续创建任务计划来执行刚下载的恶意载荷,该恶意载荷为Athena后门工具。

案例分析

捕获到的两封电子邮件如下:

邮件1:

邮件1伪造成2024-2025工作计划会议的会议结果文件,发件人伪造为俄罗斯工业和贸易部国防军事相关的顾问人员。攻击目标为俄罗斯芯片领域的公司。

邮件的附件为漏洞利用压缩包,点击resultati_sovehchaniya_11_09_2023.pdf时,因为WinRAR的文件名预处理操作导致漏洞触发,从而执行resultati_sovehchaniya_11_09_2023.pdf .cmd

Cmd文件会执行一段powershell命令

解码后如下:

该段命令主要为从远程载荷服务器45.142.212[.]34下载迷惑性PDF文档并打开,后续下载恶意载荷,并设置任务计划。任务计划名称为”aimp2”,十分钟执行一次,存放恶意载荷的目录为$($Env:LocalAppData)\Microsoft\Windows\ringtones\aimp2[.]exe

AIMP疑似为俄罗斯流行的音乐播放器软件,此处攻击者使用Athena_Agent后门工具来伪装。该次攻击中使用Discord作为C2通信的信道。因该工具为开源后门框架,此处不再进行分析。

PDF内容如下:

中文翻译如下:

9月11日,在欧亚经济委员会现场,召开了一次会议,讨论了纳入研究工作的主题:“对世界和创新产品的技术、市场和市场的发展趋势和前景进行审查”。在欧亚经济联盟内部,并就联盟内有希望的技术合作领域制定提案,并在《欧亚经济委员会2024-2025年研究计划》中支持其采取措施,并按信息顺序发送。

邮件2:

邮件2标题为“关于召开2024年、2025年工作计划研究问题会议的通知”。邮件内容同邮件1一样。攻击目标为俄罗斯的军工国防相关的研究单位FSUE”GosNIIPP”。邮件的附件为一个加密的压缩包和一个包含解压密码的PDF文档。

解压密码为Самара37,Самара猜测为俄罗斯城市萨马拉

后续攻击流程同邮件1一样,但创建的计划任务名称从”aimp2”改为"Microsoft Edge"。

PDF内容如下:

中文翻译如下:

重要的!
亲爱的同事们!
我谨向您发送俄罗斯联邦工业和贸易部于 2023 年 9 月 27 日发送的一封信,编号为 94246/06。 我请求您熟悉这些信息。
附录:俄罗斯工业和贸易部 2023 年 9 月 27 日的信函,编号 94246/06,3 页。1 份。

根据相关的资产进行拓线分析发现多个攻击样本文件。这些样本均利用WinRAR漏洞(CVE-2023-38831)进行投递。且除了攻击俄罗斯相关单位还对白俄罗斯进行攻击。攻击白俄罗斯的压缩包使用密码保护,密码为Гомель24

白俄罗斯的城市戈梅利的名称在俄语中表示即为Гомель

攻击白俄罗斯的诱饵文档如下:

另经过比对发现,攻击者疑似为了提高可信度修改了官方的PDF文档。

右边的文档清晰度更高,显示的会议时间为6月2日和5月30日。并且说明文档后续附带有会议纪要。左边的文档清晰度变低,时间为9月11日,并删除了一些说明性语句。查看文档属性发现左边的文档为在线编辑工具生成。

从上述种种迹象来看,攻击者可能熟悉俄语。

关联分析

对捕获到的样本进行整理发现,攻击似乎是从8月底9月初开始的。

并且攻击者展现出非常快速的防御规避能力,在最初捕获到的邮件中,压缩包还未进行加密,而后续的攻击中均使用加密的压缩包,该方法成功的规避了邮件安全类产品对附件的检测。未加密文档在Virustotal上的检测结果(上传当日):

加密文档在Virustotal上的检测结果:

另外在最初的攻击样本中,攻击者并未对powershell脚本进行混淆处理,BASE64解码后的命令清晰可见。

随后的攻击中,攻击者开始对powershell脚本进行混淆处理,开始只是对IP进行混淆,此方法可以绕过对IP进行扫描的部分安全产品。

后续对文件目录名称也开始进行混淆,可以绕过监控敏感目录的扫描。

在10月17日捕获的样本中攻击者进行了更严重的混淆,几乎没有可识别字符串。

除了对脚本文件进行混淆外,攻击者对其所使用的攻击资产也进行了快速的迭代更新:9月份攻击者的载荷服务器直接使用IP地址。但因配置问题,具有开放目录。文件可以直接访问下载。

但在最新的样本中,攻击者开始使用域名,并且设置请求头来规避上述问题。

直接访问则响应为404

根据对攻击资产的测绘数据分析发现,恶意载荷服务器192.121.87[.]187上曾存放有俄罗斯央行发布的金融相关的PDF文档。

我们有理由怀疑攻击者也试图攻击俄罗斯金融相关行业。

结论

此次攻击事件中,攻击者所使用的精心构造的欺骗性文档,以及针对不同的攻击目标而使用不同的加密密码,对官方文档进行日期的替换修改等均展现出来攻击者的专业性。加密文档的使用,攻击代码混淆方式的迅速迭代,攻击资产防护策略的增强,也表明攻击者可以根据目标环境迅速改变技战术的能力。但因攻击者使用公开的C2工具以及流行的IM信道进行通信,未能将此次事件与已知组织关联起来。

从捕获到的样本来看,攻击者似乎并没有成熟的武器库,最初的攻击行为略显青涩,但其后续快速迭代的能力,以及钓鱼话术及钓鱼文档的使用上,最新漏洞的成熟利用,专业化C2工具的使用上,目标的精确选取上,不符合网络犯罪组织的行为特征,因此我们认为该次攻击事件为未知APT攻击。

IOCS

45.138.157[.]90
45.142.212[.]34
192.121.87[.]187
cloudfare.webredirect[.]org
minpromsmekov@yandex[.]ru
minprom-cco@mail[.]ru
cb4b08946b8eec16cbcf0f78f65a50f7
a85b9c7212eee05bc3cde3eeba8c7951
a5051580a58fe56eeed03e714a8afba2
129ccb333ff92269a8f3f0e95a0338ba
596925f37edee6ce2d287dcde3360c73
0c363153f41eb38d08adccc0d5427f54
b05960a5e1c1a239b785f0a42178e1df
9649f4babcd2b580ccfbc63e35020741
B047AD3BE0365472C5B76029E4569062
53ad0ee955ffeb5ccab171c4ad8e74ce
cd1f48df9712b984c6eee3056866209a


文章来源: https://mp.weixin.qq.com/s?__biz=Mzg2NjgzNjA5NQ==&mid=2247521131&idx=2&sn=9b693071a18519fdc596552a32ff3c38&chksm=ce46187bf931916d6e5c2ce189c334dc15c868c3f88dfd62a0d1e96428b4e5f2769b2ecdcc53&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh