概述

近日,奇安信红雨滴团队在日常高价值威胁挖掘过程中,捕获两例哈萨克斯坦地区上传样本,样本以哈萨克斯坦Kazchrome企业信息为诱饵,Kazchrome据称是全球最大的高碳铬铁生产商。诱导受害者启用恶意宏,一旦宏被启用后,恶意宏将释放执行远控木马到计算机执行,经分析溯源发现,释放执行的木马疑似是奇幻熊组织常用Zebrocy变种。

奇幻熊组织,业界对其有各种别名:APT28、Sednit、Pawn Storm、Sofacy Group、STRONTIUM,主要针对高加索和北约开展网络攻击活动,近期其目标越来越多出现在中亚地区,主要攻击领域为对政府军事和安全组织。

样本分析

基本信息

捕获的样本诱饵名均是俄语,且都采用相同的恶意宏进行攻击,基本信息如下:

诱饵类型伪装成备忘录以及高碳铬铁生产商Kazchrome登记表以诱导受害者启用宏。诱饵信息如下图所示。

c9a43fd6623bf0bc287012b6ee10a98e (左)

49696043b51acca6ced2ab213bd4abef (右)

详细分析

以c9a43fd6623bf0bc287012b6ee10a98e样本为例,利用奇安信威胁情报中心自研文件深度解析引擎OWL对样本进行解析,解析后可见样本中存在宏,如下图所示。

该恶意宏脚本将放置在VBA窗口textbox控件中的数据经过base64解码后的PE文件释放到%temp%目录执行。

Textbox控件数据如下所示,释放文件的文件名从控件的标题中获取。

释放执行的PE文件信息如下:

该文件执行后首先会创建一个全局消息钩子来进行键盘记录,并将记录用户的键盘输入保存在 % ALLUSERSPROFILE % \Cache \arial-debug.log文件中。

记录的信息如下:

同时会启动一个线程与C2进行通讯进行上传键盘记录的内容以及获取后续命令执行:

在temp目录生成随机16个字母为名字的文件作为标识:

每次dispatch_function都会将键盘记录的内容以如下格式发送:

其中IB=0表示当前的访问计数,每次访问C2失败或者返回状态码分发异常时候就会使访问计数增加1,当访问计数在0-5时候数据以POST方式上传至C2:

https[:]//www[.]xbhp.com/dominargreatasianodyssey/wp-content/plugins/akismet/style.php,当访问计数在6-15时候数据上传至C2:

https[:]//www[.]c4csa.org/includes/sources/felims.php,当访问次数为16时候则清零访问计数,并使用第一个C2上传数据。

后面的16个字母为之前随机生成的,作为当前电脑的标识,接着log=URL编码后键盘记录的文本内容。

后续根据http请求的返回值来进行命令分发:

指令与对应功能如下表所示:

溯源关联

红雨滴安全研究员关联发现本次样本与2019年疑似该组织的样本存在相似代码,并且本次的C2也是使用十六进制字符串存放,与之前的APT28常用手法类似,综上所述,我们判定此次攻击活动幕后黑手疑似APT28组织来源。

总结

APT28组织近年一直活跃,它的目标越来越国家,其Zebrocy家族木马包括Delphi、GO、AutoIT等多个语言版本。攻击手法复杂多变,是一个技术极高的攻击组织。

此次捕获的样本主要针对南亚某国开展攻击活动,暂未发现影响国内用户。但防范之心不可无,奇安信威胁情报中心再次提醒各企业用户,加强员工的安全意识培训是企业信息安全建设中最重要的一环,如有需要,企业用户可以建设态势感知,完善资产管理及持续监控能力,并积极引入威胁情报,以尽可能防御此类攻击。

目前,基于奇安信威胁情报中心的威胁情报数据的全线产品,包括威胁情报平台(TIP)、天眼高级威胁检测系统、NGSOC、奇安信态势感知等,都已经支持对此APT攻击团伙攻击活动的精准检测。

IOC

49696043b51acca6ced2ab213bd4abef

c9a43fd6623bf0bc287012b6ee10a98e

df6c6ee05898ce35ce5963ff0ae2344d

https[:]//www[.]xbhp.com/dominargreatasianodyssey/wp-content/plugins/akismet/style.php

https[:]//www[.]c4csa[.]org/includes/sources/felims.php

声明:本文来自奇安信威胁情报中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。