概述
奇安信威胁情报中心在最近的威胁狩猎中捕获到了一封极其抽象的钓鱼邮件,邮件标题为《奇安信HVV2023安全风险通告》,发件人伪造奇安信m-team运营团队向我们的重点客户投递钓鱼邮件,邮件内容为海莲花组织木马的专杀工具和检测文档。
这也是我们首次捕获境外APT组织打着“奇安信”名号在演习期间浑水摸鱼,后续经过溯源确认是我们多次在年报中披露的APT-Q-77团伙[1]。
技术细节
APT-Q-77在本次攻击中又编写了一套全新的loader,截止到目前为止我们已经发现了该团伙十几套loader程序,每套loader之间并无代码特征的重叠,恶意压缩包的设计思路比较简单:替换了我们在2015年发布的专杀工具中的DLL,在开发过程中使用了github上开源的库代码mingw-w64
使用RtlIpv4StringToAddressA函数解密payload,并替换了系统dll的导出函数,在不影响专杀工具的运行的情况下加载恶意代码,恶意代码在首次执行时仅拷贝自身到系统目录下并设置启动项,并不会立即运行恶意代码回连C2。木马回连的域名(ti.qianx**.**)仿冒奇安信威胁情报中心官网(ti.qianxin.com)。
历史回顾
这并不是我们第一次发现APT-Q-77在演习过程中浑水摸鱼,早在2022年7月我们就发现一个从未见过的攻击者团伙开始投递钓鱼邮件,这也是APT-Q-77已知最早的活跃时间,当时攻击者利用演习中热点较高的WPS漏洞作为话题投递CHM文件。
该团伙投递的CHM并没有采用诸如bitter和APT37等组织调用特定的clsid实现双击chm即可执行任意命令的方式,而是在内部嵌套了多个VBS脚本,这导致受害者在打开chm时会弹出ActiveX控件提示框,降低钓鱼成功率。
受害者确认后启动vbs释放白加黑套件,最终内存加载MicroBackdoor,该开源项目原本是俄乌冲突的产物,但没想到最后被用来攻击其他国家。
APT-Q-77的投递的邮件在整体内容表达上没有太大的问题,但是在细节上凸显出一些瑕疵,存在机翻的情况,例如“如果您的计算机的操作系统是本地的,请忽略此电子邮件。”,这句话语言含义表述不明,本地一词明显翻译自英文“local”,我们猜测攻击者想表达的意思是如果受害者使用的操作系统是国产化的系统,则不需要打开此附件。
奇安信威胁情报中心历史上披露多个方向的APT组织,但是APT-Q-77似乎是对我们的意见最大的一个,并且非常记仇,无论是在年初使用驱动程序绕过天擎EDR、访问我们的Ti博客翻阅文章还是现在仿冒奇安信的名义投递钓鱼,我们都能感受到来自该团伙浓浓的恶意。持续跟踪一年我们对该团伙仍有一些疑问:投递钓鱼邮件真是Q-77的终点吗?目前看到的攻击能够涵盖整体攻击的50%以上吗?有没有可能在模仿已知组织?在历史上该团伙曾经展示出强大的攻击上限,而钓鱼邮件这种技术程度较差的手法极有可能是某些复杂攻击活动的障眼法,还有很多攻击隐藏在冰山之下需要我们和友商去发现。
总结
目前,基于奇安信威胁情报中心的威胁情报数据的全线产品,包括奇安信威胁情报平台(TIP)、天擎、天眼高级威胁检测系统、奇安信NGSOC、奇安信态势感知等,都已经支持对此类攻击的精确检测。
IOC
有关该组织的详细IOC请联系奇安信威胁情报中心(ti.qianxin.com)
ti.qianx**.**
参考链接
[1].https://ti.qianxin.com/uploads/2023/07/20/fcd50f2540db9ca6fb91b192c0fe2a4c.pdf
声明:本文来自奇安信威胁情报中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。