概述
近日,奇安信红雨滴团队在日常高价值威胁挖掘过程中,捕获两例哈萨克斯坦地区上传样本,样本以哈萨克斯坦Kazchrome企业信息为诱饵,Kazchrome据称是全球最大的高碳铬铁生产商。诱导受害者启用恶意宏,一旦宏被启用后,恶意宏将释放执行远控木马到计算机执行,经分析溯源发现,释放执行的木马疑似是奇幻熊组织常用Zebrocy变种。
奇幻熊组织,业界对其有各种别名:APT28、Sednit、Pawn Storm、Sofacy Group、STRONTIUM,主要针对高加索和北约开展网络攻击活动,近期其目标越来越多出现在中亚地区,主要攻击领域为对政府军事和安全组织。
样本分析
基本信息
捕获的样本诱饵名均是俄语,且都采用相同的恶意宏进行攻击,基本信息如下:
诱饵类型伪装成备忘录以及高碳铬铁生产商Kazchrome登记表以诱导受害者启用宏。诱饵信息如下图所示。
c9a43fd6623bf0bc287012b6ee10a98e (左)
49696043b51acca6ced2ab213bd4abef (右)
详细分析
以c9a43fd6623bf0bc287012b6ee10a98e样本为例,利用奇安信威胁情报中心自研文件深度解析引擎OWL对样本进行解析,解析后可见样本中存在宏,如下图所示。
该恶意宏脚本将放置在VBA窗口textbox控件中的数据经过base64解码后的PE文件释放到%temp%目录执行。
Textbox控件数据如下所示,释放文件的文件名从控件的标题中获取。
释放执行的PE文件信息如下:
该文件执行后首先会创建一个全局消息钩子来进行键盘记录,并将记录用户的键盘输入保存在 % ALLUSERSPROFILE % \Cache \arial-debug.log文件中。
记录的信息如下:
同时会启动一个线程与C2进行通讯进行上传键盘记录的内容以及获取后续命令执行:
在temp目录生成随机16个字母为名字的文件作为标识:
每次dispatch_function都会将键盘记录的内容以如下格式发送:
其中IB=0表示当前的访问计数,每次访问C2失败或者返回状态码分发异常时候就会使访问计数增加1,当访问计数在0-5时候数据以POST方式上传至C2:
https[:]//www[.]xbhp.com/dominargreatasianodyssey/wp-content/plugins/akismet/style.php,当访问计数在6-15时候数据上传至C2:
https[:]//www[.]c4csa.org/includes/sources/felims.php,当访问次数为16时候则清零访问计数,并使用第一个C2上传数据。
后面的16个字母为之前随机生成的,作为当前电脑的标识,接着log=URL编码后键盘记录的文本内容。
后续根据http请求的返回值来进行命令分发:
指令与对应功能如下表所示:
溯源关联
红雨滴安全研究员关联发现本次样本与2019年疑似该组织的样本存在相似代码,并且本次的C2也是使用十六进制字符串存放,与之前的APT28常用手法类似,综上所述,我们判定此次攻击活动幕后黑手疑似APT28组织来源。
总结
APT28组织近年一直活跃,它的目标越来越国家,其Zebrocy家族木马包括Delphi、GO、AutoIT等多个语言版本。攻击手法复杂多变,是一个技术极高的攻击组织。
此次捕获的样本主要针对南亚某国开展攻击活动,暂未发现影响国内用户。但防范之心不可无,奇安信威胁情报中心再次提醒各企业用户,加强员工的安全意识培训是企业信息安全建设中最重要的一环,如有需要,企业用户可以建设态势感知,完善资产管理及持续监控能力,并积极引入威胁情报,以尽可能防御此类攻击。
目前,基于奇安信威胁情报中心的威胁情报数据的全线产品,包括威胁情报平台(TIP)、天眼高级威胁检测系统、NGSOC、奇安信态势感知等,都已经支持对此APT攻击团伙攻击活动的精准检测。
IOC
49696043b51acca6ced2ab213bd4abef
c9a43fd6623bf0bc287012b6ee10a98e
df6c6ee05898ce35ce5963ff0ae2344d
https[:]//www[.]xbhp.com/dominargreatasianodyssey/wp-content/plugins/akismet/style.php
https[:]//www[.]c4csa[.]org/includes/sources/felims.php
声明:本文来自奇安信威胁情报中心,版权归作者所有。文章内容仅代表作者独立观点,不代表士冗科技立场,转载目的在于传递更多信息。如有侵权,请联系 service@expshell.com。