APT29近期仿冒德国大使馆下发恶意PDF文件

APT 1年前 (2023) admin
773 0 0

APT29近期仿冒德国大使馆下发恶意PDF文件

APT29仿冒德国大使馆下发恶意PDF文件

内部编号

DBAPP-LY-23072601

关键词

APT29

发布日期

2023年7月26日

更新日期

2023年7月26日

分析团队

安恒信息中央研究院猎影实验室


APT29近期仿冒德国大使馆下发恶意PDF文件


01

事件概述

APT29组织又名Cozy Bear、The Dukes,是具有东欧背景的APT组织,该组织自2008年开始活跃,主要从事以情报收集为主的间谍活动。活动目标为西方政府和相关组织,尤其关注政治、外交和智库部门。2021年,美国政府发布声明,将APT29组织列为SolarWinds供应链事件的肇事者,自此UNC2452、Nobelium等威胁组织名称均合并至APT29。


安恒信息猎影实验室在对该组织的持续追踪时发现,APT29在俄乌冲突时期加大了对各国相关部门的攻击活动。今年先后仿冒了波兰、乌克兰、土耳其、挪威等欧盟国家大使馆,进行鱼叉式网络钓鱼邮件攻击。该组织在活动中利用合法服务DropBox、GoogleDrive、Slack、Trello、Notion API进行通信,最后下发CobaltStrike、BruteRatel等恶意负载。


近期,我们再次捕获到APT29仿冒德国大使馆的攻击活动,活动攻击流程大致如下:

  1.  邮件附件为包含HTML代码的PDF文件,运行后将在本地释放zip文件;

  2.  zip文件包含同名HTA文件,运行后在本地释放白文件、恶意DLL文件以及诱饵文件;

  3.  恶意DLL文件加载之后将连接开源聊天软件Zulip的API接口进行数据传输,获取后续负载到本地执行。

将上述执行流程绘制成流程图如下:

APT29近期仿冒德国大使馆下发恶意PDF文件


02

样本分析

利用PDF进行HTML smuggling

活动初始阶段的PDF文件中嵌入HTML代码,此类攻击手法利用AdobeAcrobat Reader默认安全设置加载恶意Javascript代码,也被称作PDF smuggling

APT29近期仿冒德国大使馆下发恶意PDF文件

文件打开后Acrobat Reader会提示其中包含的HTML文件疑似包含恶意代码

APT29近期仿冒德国大使馆下发恶意PDF文件

确定运行后将加载HTML文件,运行其中的Javascript代码,并将zip文件Invitation_Farewell_DE_EMB.zip下载到本地。

APT29近期仿冒德国大使馆下发恶意PDF文件

zip文件如下,包含同名HTA文件

APT29近期仿冒德国大使馆下发恶意PDF文件

HTA文件运行后将在路径C:WindowsTasks下释放白文件 

msoev.exe,恶意DLL文件mso.dll、AppVIsvSubsystems64.dll,在原始路径下释放诱饵文件Invitation.pdf,最后启动msoev.exe

APT29近期仿冒德国大使馆下发恶意PDF文件

释放的诱饵文件如下,意在仿冒德国大使馆以窃取目标主机信息

APT29近期仿冒德国大使馆下发恶意PDF文件

通过合法服务下发恶意负载

释放到本地的恶意DLL mso.dll通过白文件msoev.exe加载,此类白+黑为APT29的常用的攻击手法之一

APT29近期仿冒德国大使馆下发恶意PDF文件

mso.dll加载后首先通过LdrLoadDll加载wininet.dll,随后获取网络通讯所需的函数地址

  • InternetOpenA、InternetConnectA、HttpOpenRequestA、HttpSendRequestA、InternetReadFile、InternetCloseHandle

随后收集主机信息

APT29近期仿冒德国大使馆下发恶意PDF文件

构建网络请求:

APT29近期仿冒德国大使馆下发恶意PDF文件

利用开源聊天软件Zulip的API接口进行数据传输,其中请求域名为toyy.zulipchat[.]com

APT29近期仿冒德国大使馆下发恶意PDF文件

订阅流,即读取后续负载到本地

APT29近期仿冒德国大使馆下发恶意PDF文件

网络通信数据如下

APT29近期仿冒德国大使馆下发恶意PDF文件

最后创建线程执行后续负载

APT29近期仿冒德国大使馆下发恶意PDF文件

03

溯源关联

今年6月,APT29以相似的攻击手法仿冒挪威大使馆下发鱼叉式网络钓鱼邮件

APT29近期仿冒德国大使馆下发恶意PDF文件

其附件同样利用HTMLsmuggling执行Javascript代码,释放ISO文件invitation.iso到本地

APT29近期仿冒德国大使馆下发恶意PDF文件

ISO文件中包含白文件CCleanerReactivator.exe,以及恶意DLL文件CCleanerDU.dll

APT29近期仿冒德国大使馆下发恶意PDF文件

CCleanerDU.dll与mso.dll执行流程类似,均通过LdrLoadDll加载wininet.dll

APT29近期仿冒德国大使馆下发恶意PDF文件

收集主机信息、并获取后续负载执行

APT29近期仿冒德国大使馆下发恶意PDF文件

不同的是,在仿冒挪威大使馆的活动中,APT29使用的C2地址为自有基础设施hxxps://kefas[.]id/search/s.php?i=1&id=,仿冒德国大使馆的活动中则使用了合法服务Zulip下发后续负载

APT29历史使用的合法服务

Notion

首先通过字符串解密函数解密出多个用于通信的属性字段,以及API请求所需的其他字段

APT29近期仿冒德国大使馆下发恶意PDF文件
APT29近期仿冒德国大使馆下发恶意PDF文件

随后构造请求包并向api.notion.com发送POST请求

APT29近期仿冒德国大使馆下发恶意PDF文件

最后通过InternetReadFile获取返回数据并加载运行

DropBox

在完成代码段映射后利用内存中的固定的token向api.dropbox.com发送POST请求,进一步获取新的通信token

APT29近期仿冒德国大使馆下发恶意PDF文件

Trello

Trello BEATDROP 组件,利用api.trello.com传输后续payload

APT29近期仿冒德国大使馆下发恶意PDF文件

安恒云沙箱捕获到该样本向Trello API发起的请求如下:

APT29近期仿冒德国大使馆下发恶意PDF文件

04

活动总结

APT29组织作为较早期披露的APT组织之一,不仅进行长期高频的攻击活动,而且还不断寻找新的合法服务用作通讯通道,以绕过杀软的流量检测。在代码方面,该组织使用DLL重映射、劫持线程上下文、混淆+VEH异常等手法躲避杀软静态检测。在此,猎影实验室提醒广大用户朋友,不运行未知来源的邮件附件。如有需要鉴别的未知来源样本,可以投递至安恒云沙箱查看判别结果后再进行后续操作。猎影实验室将持续对全球APT组织进行持续跟踪,专注发现并披露各类威胁事件。


目前安全数据部已具备相关威胁检测能力,对应产品已完成IoC情报的集成。针对该事件中的最新IoC情报,以下产品的版本可自动完成更新,若无法自动更新则请联系技术人员手动更新:

  1. AiLPHA分析平台V5.0.0及以上版本

  2. AiNTA设备V1.2.2及以上版本

  3.  AXDR平台V2.0.3及以上版本

  4. APT设备V2.0.67及以上版本

  5. EDR产品V2.0.17及以上版本


安恒云沙箱已集成了海量威胁情报及样本特征。用户可通过云沙箱:https://sandbox.dbappsecurity.com.cn/。对可疑文件进行威胁研判并下载分析报告。或用沙箱打开不明来源的未知文件,在虚拟环境中进行内容预览,免于主机失陷、受到木马或病毒文件攻击。

APT29近期仿冒德国大使馆下发恶意PDF文件

安恒在线云沙盒反馈与合作请联系:[email protected]

APT29近期仿冒德国大使馆下发恶意PDF文件

APT29近期仿冒德国大使馆下发恶意PDF文件

中央研究院肩负着安恒信息研究与创新前沿的重任,以打造国际一流的安全企业研究院为目标,面向数字经济时代,洞悉技术发展趋势与重大机会、推进原子化安全能力建设、打造安全应用新兴场景、提升工程技术效能,为安恒信息高质量、高增长发展持续注入源动力,使安恒信息成为数字经济时代的安全屏障!


原文始发于微信公众号(网络安全研究宅基地):APT29近期仿冒德国大使馆下发恶意PDF文件

版权声明:admin 发表于 2023年7月27日 下午1:31。
转载请注明:APT29近期仿冒德国大使馆下发恶意PDF文件 | CTF导航

相关文章

暂无评论

您必须登录才能参与评论!
立即登录
暂无评论...