背景

2019年3月17日,360威胁情报中心截获了一例疑似“黄金鼠”APT组织(APT-C-27)利用WinRAR漏洞(CVE-2018-20250[6])针对中东地区的定向攻击样本。该恶意ACE压缩包内包含一个以恐怖袭击事件为诱饵的Office Word文档,诱使受害者解压文件,当受害者在本地计算机上通过WinRAR解压该文件后便会触发漏洞,漏洞利用成功后将内置的后门程序(Telegram Desktop.exe)释放到用户计算机启动项目录中,当用户重启或登录系统都会执行该远控木马,从而控制受害者计算机。

360威胁情报中心通过关联分析后发现,该攻击活动疑似与“黄金鼠”APT组织(APT-C-27)相关,并且经过进一步溯源与关联,我们还发现了多个与该组织相关的Android平台的恶意样本,这类样本主要伪装成一些常用软件向特定目标人群进行攻击,结合恶意代码中与攻击者相关的文字内容,可以猜测攻击者也比较熟悉阿拉伯语。

后门程序(TelegramDesktop.exe)在VirusTotal上的检测情况

样本分析

360威胁情报中心针对该利用WinRAR漏洞的样本进行了分析,相关分析如下。

利用恐袭事件诱导解压

MD5

314e8105f28530eb0bf54891b9b3ff69

文件名

该恶意压缩文件包含一个OfficeWord文档,文档内容为一次恐怖袭击相关事件。中东地区由于其政治、地理等特殊性,该地区遭受恐怖袭击繁多,人民深受其害,所以该地区人民对于恐怖袭击等事件敏感,致使受害者解压文档的可能性增加:

诱饵文档翻译内容

用户如果解压该恶意压缩包,则会触发WinRAR漏洞,从而释放内置的后门程序到用户启动目录中:

当用户重新启动计算机或登录系统后将执行释放的后门程序Telegram Desktop.exe。

Backdoor(Telegram Desktop.exe)

文件名

Telegram  Desktop.exe

MD5

36027a4abfb702107a103478f6af49be

SHA256

76fd23de8f977f51d832a87d7b0f7692a0ff8af333d74fa5ade2e99fec010689

编译信息

.NET

后门程序TelegramDesktop.exe会从PE资源中读取数据并写入到:%TEMP%Telegram Desktop.vbs,随后执行该VBS脚本,并休眠17秒直到VBS脚本运行完成:

该VBS脚本的主要功能为通过Base64解码内置的字符串,并将解码后的字符串写入到文件:%TEMP%Process.exe,最后执行Process.exe:

Process.exe执行后会在%TEMP%目录下创建文件1717.txt,并写入与最终执行的后门程序相关的数据,以供Telegram Desktop.exe后续使用:

随后TelegramDesktop.exe便会读取1717.txt文件的内容,并将其中的特殊字符替换:

之后再通过Base64解码数据,并在内存中加载执行解码后的数据:

最终在内存中加载执行的数据为njRAT后门程序,相关配置信息如下:

njRAT

内存加载执行的njRAT后门程序会首先创建互斥量,保证只有一个实例运行:

并判断当前运行路径是否为配置文件中设置的路径,若不是则拷贝自身到该路径启动执行:

随后关闭附件检查器和防火墙:

并开启键盘记录线程,将键盘记录的结果写入注册表:

开启通信线程,与C&C地址建立通信并接受命令执行:

该njRAT远控还具有远程SHELL、插件下载执行、远程桌面、文件管理等多个功能:

Android平台样本分析

360威胁情报中心通过VirusTotal还关联到了“黄金鼠”(APT-C-27)APT组织最近使用的多个Android平台的恶意样本,其同样使用了82.137.255.56作为C&C地址(82.137.255.56:1740):

而近期关联到的Android平台后门样本主要伪装为Android系统更新、Office升级程序等常用软件。我们以伪装为Office升级程序的Android样本为例进行了分析,相关分析如下:

文件MD5

1cc32f2a351927777fc3b2ae5639f4d5

文件名

OfficeUpdate2019.apk

该Android样本启动后,会诱导用户激活设备管理器,接着隐藏图标并在后台运行:

诱导用户完成安装后,样本会展示如下界面:

接着样本将通过Android默认的SharedPreferences存储接口来获取上线的IP地址和端口,如果获取不到,就解码默认的硬编码IP地址和端口上线:

相关IP地址的解码算法:

最终解码后的IP地址为:82.137.255.56,端口也是需要把硬编码后的端口加上100来得到最终的端口1740:

当连接C&C地址成功后,便会发送上线包、接受控制者的命令并执行。该样本具有录音、拍照、GPS定位、上传联系人/通话记录/短信/文件、执行云端命令等功能:

Android后门样本的相关指令及功能列表如下:

指令

功能

16

心跳打点

17

connect

18

获取指定文件的基本信息

19

下载文件

20

上传文件

21

删除文件

22

按照云端指令复制文件

23

按照云端指令移动文件

24

按照云端指令重命名文件

25

运行文件

28

按照云端指令创建目录

29

执行云端命令

30

执行一次ping命令

31

获取并上传联系人信息

32

获取并上传短信

33

获取并上传通话记录

34

开始录音

35

停止并上传录音文件

36

拍照

37

开始GPS定位

38

停止GPS定位并上传位置信息

39

使用云端发来的ip/port

40

向云端报告当前使用的ip/port

41

获取已安装应用的信息

值得注意的是,在该样本回传的命令信息中包含了阿拉伯语的相关信息,因此我们推测攻击者有较大可能熟悉使用阿拉伯语:

溯源与关联

通过查询本次捕获的后门程序C&C地址(82.137.255.56:1921)可知,该IP地址自2017年起便多次被APT-C-27(黄金鼠)组织使用,该IP地址疑似为该组织的固有IP资产。通过360网络研究院大数据关联平台可以看到与该IP地址关联的多个样本信息:

通过360威胁情报中心威胁分析平台(ti.360.net)查询该C&C地址,也被打上了APT-C-27相关的标签:

并且从本次捕获到的相关木马样本(Windows和Android平台)的功能模块、代码逻辑、内置信息语言、目标人群、网络资产等信息都和早前曝光的APT-C-27[2]使用的木马样本信息高度相似。所以360威胁情报中心认为本次截获的相关样本同样也与“黄金鼠”APT组织(APT-C-27)相关。

总结

正如我们的预测,利用WinRAR漏洞(CVE-2018-20250)传播恶意程序的攻击行为正处在爆发阶段,360威胁情报中心此前观察到多个利用此漏洞进行的APT攻击活动,而本次截获的疑似“黄金鼠”APT组织(APT-C-27)利用WinRAR漏洞的定向攻击活动仅仅只是众多利用该漏洞实施定向攻击案例中的一例。因此360威胁情报中心再次提醒各用户及时做好该漏洞防护措施。(见“缓解措施”一节)

缓解措施

1、  软件厂商已经发布了最新的WinRAR版本,360威胁情报中心建议用户及时更新升级WinRAR(5.70 beta 1)到最新版本,下载地址如下:

32 位:http://win-rar.com/fileadmin/winrar-versions/wrar57b1.exe

64 位:http://win-rar.com/fileadmin/winrar-versions/winrar-x64-57b1.exe

2、  如暂时无法安装补丁,可以直接删除漏洞的DLL(UNACEV2.DLL),这样不影响一般的使用,但是遇到ACE的文件会报错。

目前,基于360威胁情报中心的威胁情报数据的全线产品,包括360威胁情报平台(TIP)、天擎、天眼高级威胁检测系统、360 NGSOC等,都已经支持对此类攻击的精确检测。

IOCs

恶意ACE文件MD5

314e8105f28530eb0bf54891b9b3ff69

Backdoor(Telegram  Desktop.exe) MD5

36027a4abfb702107a103478f6af49be

Process.exe

ec69819462f2c844255248bb90cae801

Backdoor  MD5

83483a2ca251ac498aac2abe682063da

9dafb0f428ef660d4923fe9f4f53bfc0

2bdf97da0a1b3a40d12bf65f361e3baa

1d3493a727c3bf3c93d8fd941ff8accd

6e36f8ab2bbbba5b027ae3347029d1a3

72df8c8bab5196ef4dce0dadd4c0887e

Android样本

5bc2de103000ca1495d4254b6608967f(بوأيوب - القريتينأبومحمد.apk)

ed81446dd50034258e5ead2aa34b33ed(chatsecureupdate2019.apk)

1cc32f2a351927777fc3b2ae5639f4d5(OfficeUpdate2019.apk)

PDB路径

C:UsersAlbanydocuments isual studio  2012ProjectsNew MarchNew MarchobjDebugNew March.pdb

C:UsersAlbanydocuments isual studio  2012ProjectsMarchMarchobjDebugMarch.pdb

C:UsersAlbanydocuments isual studio  2012ProjectsDecemberDecemberobjDebugDecember.pdb

C&C

82.137.255.56:1921

82.137.255.56:1994

82.137.255.56:1740

参考链接

[1].    https://twitter.com/360TIC

[2].    https://ti.360.net/blog/articles/analysis-of-apt-c-27/(黄金鼠组织--叙利亚地区的定向攻击活动)

[3].     https://mp.weixin.qq.com/s/dkyD2k6dqt5SYS7qLPOqfw(无法解密!首个利用WinRAR漏洞传播的未知勒索软件(JNEC)分析)

[4].    https://mp.weixin.qq.com/s/hAoee3Z90FyxSdomHfqZqA(警惕!WinRAR漏洞利用升级:社工、加密、无文件后门)

[5].    https://mp.weixin.qq.com/s/Hz-uN9VEejYN6IHFBtUSRQ(首个完整利用WinRAR漏洞传播的恶意样本分析)

[6].    https://research.checkpoint.com/extracting-code-execution-from-winrar/

[7].    https://ti.360.net/advisory/articles/360ti-sv-2019-0009-winrar-rce/

声明:本文来自奇安信威胁情报中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。