概述
瑞星威胁情报平台于2021年12月捕获到一起疑似针对中东地区阿拉伯语国家的攻击事件。捕获到的样本是一个伪装成docx文档的可执行文件,根据其文件名可知攻击者以互联网盈利为噱头来诱骗用户主动打开捕获到的恶意程序。此恶意程序首先会打开内嵌于自身资源段中的诱饵文档,此文档显示为阿拉伯文,之后恶意程序会在后台进行一系列不被用户察觉的恶意行为,从而达到窃取机密信息的目的。其攻击模式极具诱惑性和隐蔽性,普通用户很容易中招。根据对此次行动的详细分析,判断疑似为APT-C-23组织所为。
APT-C-23组织是一个至少从2016年开始对目标进行网络攻击的威胁组织。该组织又被称为FrozenCell、AridViper、Micropsia、Desert Falcon和双尾蝎。该组织主要目的是信息盗窃和间谍活动,具备针对Windows与Android双平台的攻击能力。其长期针对中东地区,特别是巴勒斯坦进行攻击,涉及行业多为政府、教育、军事等重要领域。
ATT&CK矩阵
| 战术 | 技术 | 具体行为 |
|---|---|---|
TA0002-执行 |
T1047–WMI |
使用WMI服务获取BIOS描述信息 |
TA0002-执行 |
T1204-用户执行 |
诱骗用户主动执行 |
TA0003-持久化 |
T1547-启动或登陆自动执行 |
Windows自启动目录Startup内创建快捷方式 |
TA0005-防御规避 |
T1036-伪装 |
使用docx图标伪装为Office文档 |
TA0005-防御规避 |
T1027-混淆过的文件或信息 |
传送信息均通过base64编码处理,以规避流量监控 |
TA0007-环境发现 |
T1518-收集软件信息 |
收集入侵主机的反病毒产品 |
TA0007-环境发现 |
T1082-收集系统信息 |
收集系统BIOS信息 |
TA0007-环境发现 |
T1033-探测系统所有者/用户 |
收集主机用户名 |
TA0007-环境发现 |
T1124-获取系统时间 |
获取系统当前时间 |
TA0011-指挥与控制 |
T1071-应用层协议 |
最终释放的恶意程序使用80端口上HTTPS协议进行通信 |
TA0011-指挥与控制 |
T1132-数据编码 |
传输的信息经过base64编码处理 |
TA0011-指挥与控制 |
T1573-加密通道 |
使用SSL/TLS加密通道传输信息 |
TA0011-指挥与控制 |
T1008-备用通道 |
C2地址可同时通过HTTP和HTTPS两种方式进行连接 |
TA0010-外传信息 |
T1020-自动外传 |
自动发送收集到的受害者机器信息 |
事件详情
此次捕获到的样本是一个伪装成docx文档的可执行文件,其名为Profit from the Internet Profit from the Internet 49873963 docx.exe,此样本释放的诱饵文档名为Profit from the Internet.docx,以互联网盈利为目的诱骗用户。
攻击流程
样本分析
瑞星威胁情报平台在此次攻击行动中捕获到的恶意文件,由Delphi语言开发,使用docx文档图标以达到伪装目的,通过释放白名单诱饵文档和创建快捷方式实现隐蔽性及持久性。此文件属于远控木马类恶意程序,与远程服务器建立通讯后,使用443端口进行TLS/SSL加密通信。此外,该恶意程序会将收集到的本地敏感信息经过在地加密处理后上传远程服务器,不易被流量监控所检测到,隐蔽性更强。
诱饵文档分析
| 字段 | 内容 |
|---|---|
| 原始文件名 | Profit from the Internet.docx |
| 文件大小 | 15.44KB(15814 bytes) |
| 文件MD5 | 79f706153bad3fd0f623932c522bfab3 |
| 文件类型 | Word文档 |
| 备注 | 由恶意程序释放的诱饵文档,无害 |
初始样本分析
| 字段 | 内容 |
|---|---|
| 原始文件名 | Profit from the Internet Profit from the Internet 49873963 docx.exe |
| 文件大小 | 2.92MB(3062272 bytes) |
| 文件MD5 | 79f706153bad3fd0f623932c522bfab3 |
| 文件类型 | EXE |
| 病毒名 | Backdoor.[APT-C-23]Micropsia!1.D32D |
该恶意样本由Delphi开发,其主要恶意代码位于程序中自定义的名为Form1的窗体内,此窗体内定义了四个定时器和四个Button点击事件,具体功能模块由Button事件完成,通过对定时器的时间设置交叉执行不同功能的Button事件模块。
- Timer1:TButton代码分析
代码功能分两部分:释放并打开诱饵文档、执行Button1:TButton函数,Button1:TButton函数代码将在Timer4:TButton模块内进行分析。
获取第一个命令行参数,判断是否为-start,如果参数正确,则不再释放诱饵文档。
- Timer3:TButton代码分析
该处代码主要是调用执行Button4:TButton函数,该函数功能为创建快捷方式文件,其内容指向恶意程序自身,并移动到系统的启动目录下以实现自启动目的。
- Timer4:TButton代码分析
此定时器代码直接调用了Button1:TButton函数,相比于Timer1:TButton对此函数的调用,传递的参数不同。其中Button1:TButton函数执行恶意程序的核心功能,包括收集用户名、电脑名、反病毒产品等信息并加密,然后与远程服务器通讯,执行上传和下载功能。
与远程服务器进行通信。首先获取远程服务器地址,由代码可知,通信方式使用了http和https两种通讯协议,而且不同的Button事件是与服务器中不同的页面建立连接,远程服务器地址为:rebecca-proctor.com/s4fkM2JLKN5kwCRc/yQjTbS57kQtKj2cG/[页面字段]。页面字段分别为:yX9ZwfAYgEpsh7wc、Qvum7qPTzpJRjuFR、c3SfXzY5p5AA3N8F和xRKwXFXXw5ARC6Qg。
接收服务器指令执行相对应的功能。与远程服务器建立通信后,恶意程序将从服务器获取指令从而进行下一步操作,但远程服务器在该样本被捕获到之后就已经关闭,无法收到服务器指令。根据对静态分析,接受指令后的代码如下。
指令共四个:S123S、L123G、C123D、D123L,由于服务器已经关闭,无法获取指令进行动态调试,而相关函数地址在内存中为动态获取,目前只知道指令D123L是以读取服务器流的方式下载文件到本地,路径为%appdata%\\tempfile.tmp。
关联分析
APT-C-23组织又以中文名双尾蝎所为人熟知,国内相关安全厂商对其组织有过多次追踪报告,其中2020年12月份国内的一份该组织报告与本次攻击事件的手法及其相似。该报告中的样本为Pascal后门(md5: faff57734fe08af63e90c0492b4a9a56),此恶意样本同样为伪装成docx文档的可执行文件,都是以释放并打开内嵌于自身的docx文档开启,以此欺骗用户,持久化方式也同样都是通过启动目录的快捷方式等,可知与本地攻击手法几乎一致。其攻击行动中使用的恶意程序的功能有所升级,但是相似度还是挺高的。
攻击行动中将收集到的本地信息经过Base64编码后与特定字符串拼接后上传远程服务器,其字段对应信息如下。
| 字段 | 对应信息 |
|---|---|
| vcllgracv | 系统版本信息 |
| vcwjlxycv | 当前运行目录 |
| vccodwfcv | 软件版本 |
| vcnwaapcv | 反病毒软件信息 |
总结
APT攻击有着针对性强、组织严密、持续时间长、高隐蔽性和间接攻击的显著特征,针对的目标都是具有重大信息资产,如国家军事、情报、战略部门和影响国计民生的行业如金融、能源等,国内相关政府机构和企业单位务必要引起重视,加强防御措施。
预防措施
-
不打开可疑文件。
不打开未知来源的可疑的文件和邮件,防止社会工程学和钓鱼攻击。
-
部署网络安全态势感知、预警系统等网关安全产品。
网关安全产品可利用威胁情报追溯威胁行为轨迹,帮助用户进行威胁行为分析、定位威胁源和目的,追溯攻击的手段和路径,从源头解决网络威胁,最大范围内发现被攻击的节点,帮助企业更快响应和处理。
-
安装有效的杀毒软件,拦截查杀恶意文档和木马病毒。
杀毒软件可拦截恶意文档和木马病毒,如果用户不小心下载了恶意文件,杀毒软件可拦截查杀,阻止病毒运行,保护用户的终端安全。
-
及时修补系统补丁和重要软件的补丁。
沦陷信标(IOC)
-
MD5
79f706153bad3fd0f623932c522bfab3 -
Domain
rebecca-proctor.com