译者：知道创宇404实验室翻译组
原文链接：https://www.trendmicro.com/en_us/research/20/l/pawn-storm-lack-of-sophistication-as-a-strategy.html

前言

远程访问木马（RAT）的防御者不会立即辨别这是来自APT黑客的恶意软件。同样，网络服务（例如电子邮件、Microsoft Autodiscover、SMB、LDAP和SQL）的恶意攻击也是如此。在2020年，APT黑客组织Pawn Storm使用非复杂的攻击方法。

2020年，Pawn Storm黑客组织传播了Google云端硬盘和IMAP远程访问木马（RAT）进行网络攻击，目标群体包括外交部、大使馆、国防工业和军事部门以及世界各地的各行业。该组织还通过网络攻击窃取公司电子邮件帐户的凭据，还利用IMAP RAT恶意软件对军方和政府相关的电子邮件地址进行了硬编码，与计算机进行通信。最近，挪威当局宣布Pawn Storm黑客组织通过网络攻击入侵了挪威议会 。

恶意软件的后续版本揭露了黑客的发展趋势。仅使用样本很难将这些恶意软件归因于Pawn Storm。但基于对Pawn Storm活动的长期监控，我们对这些样本进行了归属分类。

Pawn Storm活动回顾：

损害中东用户的帐户

我们一直密切监控Pawn Storm的活动，在2020年3月发布了最新研究上，我们分享了被Pawn Storm严重攻击的帐户（主要在中东）。中东的攻击活动在2020年仍在继续。在2020年12月上旬，该组织使用VPN服务连接到受感染的云服务器，使用云服务器连接到商业电子邮件服务提供商，登录到阿曼一家养鸡场的受感染电子邮件帐户，向全球目标发送了网络钓鱼垃圾邮件。这表明Pawn Storm黑客在多个级别上模糊了其攻击轨迹。

中东各种受感染电子邮件帐户的滥用始于2019年5月，并一直持续到今天。自2020年8月以来，他们不再发送网络钓鱼电子邮件，而是利用IMAP RAT中受损系统进行通信。

暴力网络攻击

我们认为Pawn Storm通过对网络服务（例如电子邮件、LDAP、Microsoft Autodiscover、SMB和SQL）的攻击来破坏电子邮件帐户。例如，在2020年5月，Pawn Storm在TCP端口445和1433上扫描了包括来自欧洲国防工业IP地址，这可能是为了寻找易受攻击的SMB和SQL服务器的凭证。2020年8月，Pawn Storm还从专用IP地址向全球LDAP服务器发送了UDP探测。

在2020年，Pawn Storm试图通过在Tor和VPN服务器上攻击流量以掩藏踪迹。然而，这并不足以隐藏这些活动。在Microsoft一篇有关通过Tor强行使用Office365凭据的文章中，Microsoft将活动归因于Strontium，这是Pawn Storm的另一个名称。我们在2020年初撰写了有关攻击的文章。这些攻击始于2019年，我们可以将全球Microsoft Autodiscover服务器的广泛探测与高可信度指标进行关联，将其归咎于Pawn Storm黑客组织。

为说明Pawn Storm黑客组织的网络钓鱼攻击中恶意软件的简单性，我们通过以下示例进行描述：

Google Drive RAT的技术分析 ：

从2020年8月开始，Pawn Storm发送了几封带有恶意RAR附件的网络钓鱼电子邮件。在我们收到的最早的样本中，有两个几乎相同的RAR文件，其中包含一个名为info.exe的文件。这两个版本的info.exe文件都是自解压存档（SFX），它们提取并执行两个文件：decrypt.exe和gdrive.exe。

c4a61b581890f575ba0586cf6d7d7d3e0c7603ca40915833d6746326685282b7installing

• crypto.exe – 661d4a0d877bac9b813769a85c01bce274a77b29ccbd4b71e5b92df3c425b93b
• gdrive.exe – cbd9cb7b69f864ce8bae983ececb7cf8627f9c17fdaba74bd39baa5cdf605f79

3fd45b9b33ff5b6363ba0013178572723b0a912deb8235a951aa3f0aa3142509installing

• crypto.exe – 661d4a0d877bac9b813769a85c01bce274a77b29ccbd4b71e5b92df3c425b93b
• gdrive.exe – 2060f1e108f5feb5790320c38931e3dc6c7224edf925bf6f1840351578bbf9cc

诱饵文件

我们注意到文件crypto.exe是一个诱饵文件，执行info.exe后，它将运行。该应用程序仅显示一个消息框，用户可以在其中键入用于解密的密码。检查此文件的反汇编可以发现，只有在主应用程序上输入密码后，它才会显示另一个消息框。

关闭此应用程序后，SFX归档文件将执行文件gdrive.exe。gdrive.exe的不同版本几乎相同，只是在受害者的ID上对base64编码的文件2060f1e108f5feb5790320c38931e3dc6c7224edf925bf6f1840351578bbf9cc进行了少量添加。

初始运行

该恶意软件要做的第一件事是将其复制到启动目录中以保持持久性，使用以下命令通过cmd.exe完成此操作：

move /Y "{malware_location}" "C:\Users{username}\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\gdrive.exe"

每次恶意软件使用cmd.exe运行命令时，执行命令的标准输出（STDOUT）都会通过管道传输并以以下文件名格式写入Google云端硬盘帐户：

• {utcnow} report {受害者的身份证}

用于读写攻击者的Google云端硬盘帐户的客户端密钥和令牌已硬编码在恶意软件本身上。

通过Google云端硬盘发送回信息，黑客可以检查执行该恶意软件的计算机是否是为目标受害者。

接收命令和数据泄露

该漫游器每20分钟检查一次Google云端硬盘中的文件。如果存在具有相应文件名格式的文件（cmd_ {受害者的ID}），它将下载该文件并将其内容作为批处理文件运行。

同样，命令的STDOUT将被写回到Google云端硬盘。以Google云端硬盘作为命令与控制（C＆C）服务器，这可以作为攻击者的反向外壳。从Google云端硬盘收到的命令文件一旦下载，也会被删除。

使用上面提到的“反向外壳”方法，黑客可以使用以下命令来窃取数据/文档：

powershell -command "[Convert]::ToBase64String([IO.File]::ReadAllBytes('{filename}')

具有文件名Google Drivemonitor.exe（0b94e123f6586967819fa247cdd58779b1120ef93fa1ea1de70dffc898054a09）的辅助负载是键盘记录程序,收集的击键存储在与执行恶意软件相同的目录中。

此辅助有效负载不具有将收集的击键上传回攻击者的任何功能。但由于主要的恶意软件充当“反向外壳”，因此黑客可以在后期取回收集的击键。最终，黑客对恶意软件进行了改进加密。

IOCs

IP地址

本文由 Seebug Paper 发布，如需转载请注明来源。本文地址：https://paper.seebug.org/1434/