自2022年2月底至今,俄乌战争已如火如荼地进行两个多月,当前也同样处于COVID-19全球疫情紧张时刻。在此复杂背景下,以俄乌为焦点的网络攻击活动同样达到空前规模。国内外安全机构近期多次公开披露相关攻击事件,所披露攻击事件绝大多数为针对乌克兰的定向网络攻击。微步情报局追踪狩猎发现,除了这些对乌的攻击活动之外,同样存在大量对俄的定向攻击事件,本篇报告将以对俄攻击事件盘点的角度为大众补全当前背景下俄乌相关的真实网络攻击面貌。
微步情报局近期通过总结梳理对俄定向攻击事件,有如下发现:
-
鱼叉网络攻击活动中多使用“俄乌战争“、”COVID-19“相关政策为诱饵,攻击行业覆盖俄罗斯政府机构、军工单位、能源机构、大型食品及零售供应商等。
-
攻击活动中使用的攻击载荷多为商业木马、开源代码加工或使用工具混淆,较难对其归因研判。部分攻击所用的域名资产存在明显伪造俄罗斯境内重点机构官方域名的特征。
-
微步在线通过对相关样本、IP 和域名的溯源分析,提取多条相关 IOC ,可用于威胁情报检测。微步在线威胁感知平台 TDP 、本地威胁情报管理平台 TIP 、威胁情报云 API 、互联网安全接入服务 OneDNS 、主机威胁检测与响应平台 OneEDR 等均已支持对此次攻击事件和团伙的检测。
最开始引起我们注意的是一个网络上公开的俄罗斯财政部邮箱:[email protected],该邮箱账密当前已经泄露,攻击者通过该邮箱对俄罗斯境内多个重要机构发送了大批量的钓鱼邮件。此外,我们还发现了从 [email protected] 发向俄罗斯军工单位 JSC-KNIRTI 的钓鱼邮件。除了这些可明确攻击目标的钓鱼邮件之外,我们还捕获了一些“俄乌战争”、“COVID-19”话题相关的攻击诱饵文档。基于已捕获的攻击素材,我们展开详细事件分析。
从钓鱼邮件收发时间及诱饵文档创建时间来看,此系列攻击事件主要发生在2022年3月下旬至4月中旬。梳理攻击事件时间节点如下:
2.1攻击目标分析
钓鱼邮件多伪装成俄乌战争相关内容,[email protected]对俄罗斯多个重点部门发送的钓鱼邮件如下所示:
此外,从我们捕获的一些其他攻击诱饵来看,还存在一些疑似针对俄罗斯外交部、俄罗斯军用设备供应商KRET等在内的定向攻击活动。部分攻击诱饵如下图所示:
通过分析钓鱼邮件收件账户及其他攻击诱饵文档,整理此系列攻击事件中攻击目标如下:
|
|
|
|
|
|
|
KRET在俄乌战争和covid-19影响下的裁员政策
因入侵乌克兰而受到美国制裁的 KNIRTI 人员名单
JSC NII Screen 因入侵乌克兰而受到美国制裁的人员名单
|
|
|
|
|
2.2 攻击资产分析
从攻击者投入使用的网络资产来看,部分域名具有明显的伪装特性,如模仿俄罗斯财政部官方域名“roskazna.gov.ru”的恶意域名“roskazna.net”、模仿俄罗斯Sputnik国家广播电台“sputnik.ru”的恶意域名“sputnikradio.net”、模仿俄罗斯联邦卫生部官方域名“minzdrav.gov.ru”的恶意域名“minzdrav.com”。
2.3 攻击工具分析
除了部分未能获取后续载荷的模板注入类型的攻击诱饵之外,其他攻击样本均是通过多层释放加载或内存装载或网络交互下载等方式实现最终的后门功能,我们按照最终的攻击载荷形态可大致分为三类:cmdl32.exe白利用内存后门、Macro VBA远控、Cobaltstrike。下面分开对这几类攻击样本展开分析:
(1)cmdl32.exe白利用内存后门
该类木马由“список лиц АО НИИ Экран под санкциями США за вторжение на Украину.docx”(JSC NII Screen 因入侵乌克兰而受到美国制裁的人员名单.docx)攻击诱饵释放。原始样本信息如下:
|
|
список лиц АО НИИ Экран под санкциями США за вторжение на Украину.docx(JSC NII Screen 因入侵乌克兰而受到美国制裁的人员名单.docx)
|
|
|
1f9a72dc91759cd06a0f05ac4486dda1
|
|
|
8c42f1fce4d415e1a358586383c2deae15f493b9
|
|
|
3001f0a05df31eee89d1bb3721b9cd060c1f20088d4e91bc1d0b243ba73e36f8
|
|
|
|
|
|
|
|
|
最后修改时间:2022:03:23 06:21:00Z
|
|
|
通过远程模板注入执行恶意vba宏进而释放落地恶意资源模块,最终实现后门行为。
远程模板:https://www.microtreely[.]com/support/knowledgebase/article/AIUZGAE7230Y.dotm
C&C:www.miniboxmail.com:443
|
1、远程模板注入恶意VBA宏代码。
2、注入的 dotm 模板,VBA宏实现内置资源解码释放执行。释放C:UsersPubliccmpbk32.dll (如果为x64环境,则释放cmpbk64.dll)、C:UsersPublicINIT两个文件,然后加载调用cmpbk32/64.dll!R1。
3、落地的C:UsersPublicINIT为核心的载荷数据,后续执行流程均通过读取该文件数据进行。逆向INIT文件结构如下:
4、cmpbk32/64.dll!R1将落地载荷和系统白文件cmdl32.exe拷贝至%temp%officeInit目录。
5、返回cmpbk32.dll dllmain中读取INIT文件,从0x1A471偏移处读取0x1490数据执行。
6、解密cmd shell执行。删除public目录下文件,创建名为“OfficeInit ”的计划任务,在2022/1/1-2225/12/12之间每五分钟执行一次%Temp%OfficeInitcmdl32.exe。cmdl32.exe为微软白文件,通过白利用加载cmpbk32.dll恶意模块。
7、白利用加载后,继续读取INIT文件,读取偏移0x14后的0x1321字节数据,解密执行。
8、该shellcode继续读取INIT文件offset 0x1335(0x1321+0x14)偏移后的0x1913c字节数据,解压缩得到下阶段载荷。
9、起msiexec.exe进程,远程线程注入上述解压缩的载荷数据,该shellcode继续内存解密一个PE模块。
10、该内存PE为后门程序,并且进行了代码控制流混淆处理。
11、解密C&C”www.miniboxmail.com:443″,收集主机名、网卡、用户名、操作系统信息,拼接当前时间戳随机生成的16字节字符串(该字符串会写入init.ini文件),进行加密处理,将加密的0x8b字节主机信息数据Get发送C&C上线。
12、从C&C先获取0xC字节数据,解析数据进行后续的C&C下载交互行为。当前C&C已经无法通信。
(2)Macro VBA远控
该木马是从roskazna.net下载回的macro VBA模板,VBA代码即提供基础的远控功能。样本信息如下:
|
|
|
|
|
8c479ce1a316bc813926cc59719d70dc
|
|
|
5e8d199bea62a8081896ce6a6c476e20920a5b83
|
|
|
4ee626e058e7be9e5d20f314895500c5abf34c61a15a3b9b4f90c04f88c26aad
|
|
|
|
|
|
|
|
|
作者:Select * from AntivirusProduct
最后修改时间:2022:03:23 22:27:00Z
|
|
|
通过远程模板注入执行恶意vba宏直接实现简单的远控行为。
|
提取文件中的VBA代码进行分析。代码存在x64x86系统适配,通信C&C为前阶段设置的附加模板名称。收集PC主机信息如下,包括uuid、操作系统版本、cpu bit、CPU信息、GPU信息、进程信息、内存信息、硬盘大小、用户名、杀软、x86x64系统类型、AppVLP.exe路径。
通过解析C&C下发的task字符串,进行相应功能操作。RAT代码如下:
远控功能分发解析如下:
(3)Cobaltstrike
该木马由诱饵文档后续下载落地,采用delphi框架打包处理。样本信息如下:
|
|
|
|
|
c42d9eb7535c8307e1383670a4691df0
|
|
|
fe78c8541bea29227e19801c6ec910d8a2d506b0
|
|
|
c76a753ed6059f6251a1ae8c6bd36cd931c81fc918574261a7acfb4893e0141c
|
|
|
|
|
|
993.00 KB (1016832 bytes)
|
|
|
1992:06:19 22:22:17+00:00
|
|
|
BobSoft Mini Delphi -> BoB / BobSoft
Cobaltstrike木马,C&C:93.115.25.134:443
|
1、木马采用delphi开发设计,关键事件函数为Ttjw458t724_FormCreate() 。
2、Ttjw458t724_FormCreate()提取资源段数据,解密数据得到内存PE,执行解密后的payload资源。
3、跳转执行的代码是一段修复代码,继续加载解密后的内存PE。
4、内存PE是一个加载器程序,通过命名管道传输本地载荷,namepipe=“.pipeMSSE-4973-server” 。
5、解密载荷得到CobaltStrike beacon,然后反射加载执行。
6、使用域前置进行C&C通信,C&C:93.115.25.134:443,伪装host名称ocsp.verisign.com。
上线请求如下:
基于当前掌握的攻击样本及网络资产,我们暂时无法进行较为可信的归因分析,上述所分析的对俄攻击样本并非同一背景组织所为。当前特殊历史背景下的复杂网络战也属正常。我们将持续布控相关攻击指纹,后续如有足够归因证据,我们将另行对其归因披露。此部分仅简单地对攻击样本中的表现出地明显指纹特征进行拓线分析。
攻击活动中鱼叉邮件投递地docx攻击文档可见明显的元数据指纹特征。
基于该指纹可拓线同批次攻击样本,部分拓线样本如下:
|
|
|
|
3396c14e1e1707e05e300b1980749e61bf104a106b907f944173f967bd481f64
|
список лиц АО НИИ Экран под санкциями США за вторжение на Украину.docx
|
|
496b0b7f93a017b3e7931feac5c9ac1741d5081cfabafe19c14593093fd58c19
|
|
|
6b0274d973014c7d3d18f6cb935914ff527dcf8a845755f8dda8a930c2750f1b
|
|
|
89b9f7840e88eca0785e527de7df5443124f10e7c537f713ebcf7a6cd8765399
|
|
|
c0951f5a60c98fa4fc79b524e89de3d290d3acd2d4a480a641f8c2bd838b0836
|
рапространения США смертоносных патогенов по Белоруси.docx
|
|
defd44e440403033f9a0f222439c2b6a2bd670817dd483ad1bbae11c30e81034
|
|
|
3001f0a05df31eee89d1bb3721b9cd060c1f20088d4e91bc1d0b243ba73e36f8
|
список лиц АО НИИ Экран под санкциями США за вторжение на Украину.docx
|
|
e617877f439eaa4fed535e05afae96d91d7e483ae7d3a5b64d487a74f2071461
|
Приказ №21 от 29-03-2022.docx
|
最终攻击载荷较多具备明显的行为指纹或静态编码指纹,如互斥体、管道通信、自定义文件结构等,但此类载荷均使用无文件攻击技术加载,部分样本使用开源工具进行严重混淆处理。当前暂时无法拓线已知攻击事件之外的其他有价值攻击样本。
1. 内容转载,请微信后台留言:转载+转载平台
2. 内容引用,请注明出处:以上内容引自公众号“微步在线研究响应中心”
原文始发于微信公众号(微步在线研究响应中心):一文读懂俄乌新局势,重新审视对俄的APT攻击
