Palo Alto Networks公司旗下 Unit 42威胁研究团队在近日发表的一篇博文中指出,他们于今年5月初发现了一场针对俄罗斯和韩国企业的攻击活动,至少有一家俄罗斯国防公司和一家不明身份的韩国机构成为了目标。
在这场活动中,攻击者使用了Bisonal恶意软件的一个变种。虽然之前没有公开的记录,但 Unit 42表示他们有理由相信Bisonal恶意软件至少在2014年就已经存在了。新的变种与旧版本之前主要有三个明显的区别,分别是C2通信的加密方法、网络通信和驻留机制的代码重写。
截至到目前为止, Unit 42只收集到了这个变种的14个样本,这说明它并没有得到广泛使用。在这场活动,攻击者利用了伪造的PDF文件(使用虚假的PDF图标)以及公共可用的数据来诱使目标读取诱饵PDF文件的内容,以启动这个Microsoft Windows恶意软件。
针对俄罗斯的攻击活动
Unit 42发现,针对俄罗斯的攻击活动的主要目标是那些提供通信安全服务和产品的公司。这些被攻击的企业都有一个共同的特点,那就是提供加密和密码服务,并开发了包括电信系统和数据保护设施在内的安全通信产品。鉴于目标企业所开发产品的敏感性,它们成为攻击的目标似乎并不那么令人意外。
下图展示了发送给目标企业的一封鱼叉式网络钓鱼电子邮件,电子邮件伪装成是由俄罗斯国营公司Rostec发送的,该公司致力于高科技工业产品的研发、生产及出口。值得注意的是,目标公司与Rostec之间存在业务往来,攻击者很可能就是利用了这一点,来使电子邮件看上去更具合法性。
电子邮件附件以一个EXE文件的形式呈现,但在将其保存到计算机上之后,它看起来将很像是一个PDF文档,这是因为恶意软件使用了包含在其资源中的一个PDF图标来作为EXE文件的图标。
一旦恶意EXE文件被执行,一个经加密的DLL文件和一个诱饵文档就会释放到受害者的计算机中。其中,诱饵文件的内容如下图所示。这是一篇于2018年1月30日Rostec官网发布的文章,与电子邮件正文中的内容相符合。而DLL文件(pvcu.dll)就是Bisonal恶意软件,只是与之前的版本相比使用的是不同的C2通信密码。
针对韩国的攻击活动
Unit 42表示,他们在调查Bisonal恶意软件时发现了另一个变种,它针对了韩国企业,并且与针对俄罗斯企业的Bisonal变种类似,电子邮件附件也伪装成pdf文档,文档的名称为“2018년 해양경찰청 공무원 (7급 9급) (2018.03.05).pdf.exe”。
不同的是,电子邮件附件在执行后虽然也会释放一个诱饵文档,但释放的另一个文件是EXE文件,而不是DLL。这个EXE文件与DLL文件有三点不同,包括自己创建注册表、C2域名以及目标和攻击活动代码(代号)。
结论
Unit 42表示,使用Bisonal恶意软件进行的攻击活动在过去曾多次被报道过。在2013年,COSEINC和FireEye都曾对使用Bisonal恶意软件攻击日本企业的活动进行过报道。在2017年10月,AhnLab发布了一份题为“Operation Bitter Biscuit” 的报告,介绍的是一场针对韩国、日本、印度和俄罗斯的攻击活动。在这场攻击活动中,攻击者使用的是Bisonal及其继承者Bioazih和Dexbia。
尽管Bisonal恶意软件已经存在至少7年的时间,并且每隔一段时间就会被更新一次,但凡是涉及到Bisonal恶意软件的攻击活动普遍都存在一些共有的特征,这包括:
- 通常针对与韩国、俄罗斯和日本的政府、军队或国防工业相关的企业和机构;
- 在某些情况下,攻击者为C2服务器使用动态DNS(DDNS);
- 使用目标和攻击活动的代码与C2通信来记录受害者或攻击活动的链接;
- 将Bisonal恶意软件伪装成PDF、Microsoft Office文档或Excel文件;
- 除了恶意PE文件之外,也使用诱饵文件;
- 在一些样本中,包含可以处理俄语操作系统上的Cyrillic字符的代码。
Unit 42表示,在最新针对俄罗斯和韩国的攻击活动中,可以观察到上述所有这些特征。
声明:本文来自黑客视界,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。