近期,Mandiant 披露了名为 UNC4034 的 APT 组织利用 WhatsApp 发起的针对性攻击。研究人员认为这次攻击行动与自从 2020 年开始的、代号为 Dream Job 的攻击行动有关,朝鲜黑客有针对性地投递恶意 ISO 文件发起攻击。

根据 Mandiant 的研究,攻击者首先通过电子邮件向受害者发送亚马逊的招聘信息,紧接着通过 WhatsApp 以招聘流程的名义发送恶意 ISO 文件。

Mandiant 披露了两个 ISO 文件的哈希值,分别名为 amazon_test.isoamazon_assessment.iso,但通过哈希值在 VirusTotal 中只能找到第一个文件。

样本拓线

尝试根据通过文件名来检索第二个 ISO 文件,查询语句为 name:"amazon_assessment.iso"。发现了一个样本文件,该样本文件与 Mandiant 披露的 ISO 文件具有相同的配置信息。发现的样本应该是一个新的样本,在 readme.txt 中的配置信息如下所示:

这些 ISO 文件中都包含两个文件:

  • 一个 Windows 可执行文件,为投毒版本的 Putty

  • 一个名为 readme.txt 的文件

据此,可以检索内容中包含 readme.txt 和 *.exe 两个文件的 ISO 样本文件。为了更加准确,过滤掉超过 10MB 的样本以及 2020 年之前提交给 VirusTotal 的样本。一共有六个样本文件:

哈希值文件名ISO 卷名称
8cc60b628bded497b11dbc04facc7b5d7160294cbe521764df1a9ccb219bba6bamazon_test.isoAMAZON_TEST
dc20873b80f5cd3cf221ad5738f411323198fb83a608a8232504fd2567b14031Amazon_Assessment.isoAMAZON_ASSESSMENT
3818527bc78efcece9d9bc87d77efa9450c2ba5c94f8441ea557ba29d865e7d3SA_Assessment.isoAMAZON_ASSESSMENT
cd8e12cddfe71b89597b6621d538b63673c8a8a3bf47a0fa572961ca1280e5b5IT_Assessment.isoAMAZON_ASSESSMENT
ccdb436a5941ba47a8b7e110021ad98ba6dc4e0296dc973429fc0c73de5e5397Dell_SE_Assessment.isoDELL_SE_ASSESSMENT
455a7ebf67aec7b4d6cc18ed930bde491c0327ba5e24968514dd9b3449a7c374IBM_SSA_Assessment.isoIBM_SSA_ASSESSMENT

ISO 文件元数据中的 ISO 卷名称也可以用于进行检索,查询语句为 metadata:ASSESSMENT tag:isoimage size:10mb-

不仅仅是 Putty

尽管对发现的样本文件并没有进行深入分析,但在 ISO 文件中除了投毒的 Putty 外还发现另外两个投毒的客户端工具:TightVNC Viewer 与 KiTTY。

哈希值文件名ISO 卷名称
8cc60b628bded497b11dbc04facc7b5d7160294cbe521764df1a9ccb219bba6bcf22964951352c62d553b228cf4d2d9efe1ccb51729418c45dc48801d36f69b4PuTTY
dc20873b80f5cd3cf221ad5738f411323198fb83a608a8232504fd2567b1403152ec2098ed37d4734a34baa66eb79ec21548b42b9ccb52820fca529724be9d54PuTTY
3818527bc78efcece9d9bc87d77efa9450c2ba5c94f8441ea557ba29d865e7d375771b5c57bc7f0d233839a610fa7a527e40dc51b2ec8cbda91fab3b4faa977fKiTTY
cd8e12cddfe71b89597b6621d538b63673c8a8a3bf47a0fa572961ca1280e5b56af9af8aa0d8d4416c75e0e3f7a20dfe8af345fb5c5a82d79e004a54f1b670dcKiTTY
ccdb436a5941ba47a8b7e110021ad98ba6dc4e0296dc973429fc0c73de5e539714f736b7df6a35c29eaed82a47fc0a248684960aa8f2222b5ab8cdad28ead745TightVNC Viewer
455a7ebf67aec7b4d6cc18ed930bde491c0327ba5e24968514dd9b3449a7c37437e30dc2faaabaf93f0539ffbde032461ab63a2c242fbe6e1f60a22344c8a334TightVNC Viewer

其中部分样本中还包含了攻击者未删除的 PDB 路径:

TightVNC 相关的样本中还包含名为 N:\\2.MyDevelopment\\3.Tools_Development\\4.TightVNCCustomize\\Munna_Customize\\tightvnc\\x64\\Release\\tvnviewer.pdb 的 PDB 路径。

在某些情况下,攻击者会在不同的攻击行动间重复使用相同的 ISO 元数据。如下所示,ISO 文件的文件名与 ISO 卷名称无关:

攻击基础设施

在所有的文件中通过静态提取了相关的 IP 地址,通过动态分析获取了通信的 IP 地址。

哈希值readme.txt中的IP地址沙盒中的IP地址
8cc60b628bded497b11dbc04facc7b5d7160294cbe521764df1a9ccb219bba6b137.184.15.189

dc20873b80f5cd3cf221ad5738f411323198fb83a608a8232504fd2567b14031143.244.186.6844.238.74.84
3818527bc78efcece9d9bc87d77efa9450c2ba5c94f8441ea557ba29d865e7d3147.182.237.1053.137.98.129
cd8e12cddfe71b89597b6621d538b63673c8a8a3bf47a0fa572961ca1280e5b5137.184.15.189172.93.201.253
ccdb436a5941ba47a8b7e110021ad98ba6dc4e0296dc973429fc0c73de5e5397

44.238.74.84
455a7ebf67aec7b4d6cc18ed930bde491c0327ba5e24968514dd9b3449a7c374

44.238.74.84

在 VirusTotal 上也可以查询到这些 IP 地址相关的样本文件:

结论

利用 VirusTotal 可以发现安全厂商披露的攻击行动的更多样本文件。攻击者不仅假借亚马逊的名义,还利用了戴尔与 IBM 的名义进行恶意攻击。2022 年 6 月到 2022 年 9 月就发现了多个样本,这表明攻击者的攻击行为相当活跃。

声明:本文来自威胁棱镜,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。