前言
2017年,一个名为“影子经纪人”的神秘黑客团体在网上发布了名为“ Lost in Translation ” 的泄露数据库。
泄露数据库(据称是从美国国家安全局(NSA)入侵获得)包含一系列漏洞利用和黑客工具,其中包括现在永恒之蓝漏洞,以及其发扬光大者WannaCry勒索病毒。
但这都不是重点,重点是泄露的文件中有一个名为sigs.py的文件,该文件用作内置的恶意软件扫描程序,NSA黑客使用该文件扫描受感染的计算机,以查找是否存在其他APT组织,即他国网军的攻击痕迹,从而通过是否存在攻击痕迹而执行下一步操作。
而该sigs.py脚本包括用于检测其他44(45?)个APT组织的特征,这也充分说明了美国相关部门在追踪他国网军的能力也是极强的。
正文
这个sigs.py的脚本中,有一个名为Sig27的未知APT组织被NSA专门用于检测,而其落地文件也具有明显特征,文件后缀为sqt,而这个组织在2019年11月5号被卡巴斯基曝光其攻击行动,并命名为DarkUniverse,直译黑暗宇宙。
而上面这些文件只是DarkUniverse恶意软件框架中的一部分的文件,该APT组织从2009年到2017年一直活跃,由于具有独特的代码重叠,DarkUniverse是ItaDuke系列活动的一部分。ItaDuke自2013年以来一直是一位知名APT组织。它使用PDF漏洞释放恶意软件和使用Twitter帐户来存储C2服务器URL而闻名。但他们在ShadowBrokers泄漏这些文件后似乎没有新的攻击活动了。
而卡巴斯基GReAT小组认为其活动的暂停可能与"Lost in Translation"泄漏的发布有关,或者攻击者可能只是决定更改攻击方法。
受害者
在2018年的攻击活动中大约有20名受害者,他们分别位于叙利亚,伊朗,阿富汗,坦桑尼亚,埃塞俄比亚,苏丹,俄罗斯,白俄罗斯和阿拉伯联合酋长国。受害者包括平民组织和军事组织。而这个数量实际上要比2009年至2017年主要活动期间的受害者人数要多得多。
攻击手法
手法为鱼叉钓鱼邮件攻击,值得注意的是,攻击者为每个受害者都准备了一封信,以引起他们的注意,并提示他们打开附带的恶意Microsoft Office文档。
每个恶意软件样本都在发送之前立即进行了编译,并包含了该恶意软件可执行文件的最新可用版本。由于该框架是从2009年演变到2017年的,因此最新版本与第一版完全不同,卡巴斯基的报告仅详细介绍了直到2017年为止使用的最新恶意软件版本。
文档中嵌入的可执行文件会从自身中提取两个恶意文件,
即updater.mod和gum30.dll
并将它们保存在恶意软件的工作目录中
之后,它将正常的rundll32.exe复制到同一目录中,并使用它运行updater.mod
值得注意的是他的传C2手法
C2服务器主要基于mydrive.ch上的云存储。
对于每个受害者,攻击者都会在此处创建一个新帐户,并上传其他恶意软件模块和带有执行该命令的配置文件。
一旦执行,updater.mod模块将连接到C2并执行以下操作:
1、将文件下载到工作目录;
2、将由其他恶意模块(如果有)收集和准备的文件上传到C2。这些文件位于工作目录中的名为“queue”或“ntfsrecover”的目录中。此目录中的文件具有其中两个扩展名之一:.d或.upd,这具体取决于它们是否已上传到服务器。
3、下载其他恶意软件模块:
dfrgntfs5.sqt ,其用于执行来自C2的命令
msvcrt58.sqt ,用于窃取邮件凭据和电子邮件
zl4vq.sqt , dfrgntfs5使用的合法zlib库
%victim_ID%.upe – dfrgntfs5的可选插件。
所有恶意软件模块均使用自定义算法加密,黑鸟建议下规则哦。
C2帐户的凭据存储在注册表中的配置中,但是updater.mod模块还将副本作为加密字符串存储在可执行文件中。另外,该配置指定updater.mod多久轮询请求一次C2,同时其支持活动模式和部分活动模式,即类似定时任务的东西。
模块gel30.dll和msvcrt58.sqt
gum30.dll恶意软件模块提供了按键记录功能。updater.mod模块使用Win API函数SetWindowsHookExW安装键盘Hook,并将gel30.dll注入到获取键盘输入的进程中。在那之后,gel30.dll加载并开始在每个挂钩进程的上下文中拦截输入。
msvcrt58.sqt模块拦截未加密的POP3通信以收集电子邮件对话和受害者的凭据。
该模块从以下过程中查找流量:
outlook.exe;
winmail.exe;
msimn.exe;
nlnotes.exe;
eudora.exe;
thunderbird.exe;
thunde~1.exe;
msmsgs.exe;
msnmsgr.exe.
该恶意软件解析拦截的POP3流量,并将结果发送到主模块(updater.mod),以上传到C2。
这是通过挂钩以下与网络相关的Win API函数来完成的:
ws2_32.connect;
ws2_32.send;
ws2_32.recv;
ws2_32.WSARecv;
ws2_32.closesocket。
上面这个操作还是很有趣的。
最后就是这个恶意软件框架中最强大的模块
dfrgntfs5.sqt模块,功能繁多,时间原因就不一一翻译了。
总结
卡巴方面虽说该母组织此前的攻击目标比较敏感的,但从后续的攻击活动中的攻击目标来看,目前觉得属于兔子的可能性有点小,还有待考证。
参考链接:
https://securelist.com/darkuniverse-the-mysterious-apt-framework-27/94897/
声明:本文来自黑鸟,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。