概述
瑞星威胁情报于11月捕获到一起针对中国企业的攻击事件,此次事件中瑞星捕获到一个XLSM格式的宏文档。通过对宏文档的分析,得知其主要是利用宏代码在Windows自启目录下释放恶意程序,再通过此程序上传用户数据和接收攻击者下发数据以便进行下一步操作。通过对行动中所使用的攻击技术,战术等分析,发现其疑似BlackTech组织所为。
BlackTech是一个至少从2010年就开始对目标发起网络攻击的威胁组织,该组织又被称为Circuit Panda、Radio Panda、Palmerworm、TEMP.Overboard和T-APT-03等,疑似来自中国,主要进行信息盗取和间谍活动。BlackTech组织攻击的对象包括中国、日本、台湾以及香港等,涉及的领域有建筑、金融、政府、医疗和媒体等。
ATT&CK矩阵
| 战术 | 技术 | 具体行为 |
|---|---|---|
TA0002-执行 |
T1059-命令和脚本解释器 |
攻击者可能会执行cmd命令 |
TA0002-执行 |
T1204-用户执行 |
诱骗用户主动执行 |
TA0003-持久化 |
T1547-启动或登陆自动执行 |
Windows自启动目录Startup中被放入了恶意程序 |
TA0005-防御规避 |
T1036-伪装 |
释放的远控木马及中间文件修改文件名伪装成正常文件 |
TA0005-防御规避 |
T1027-混淆过的文件或信息 |
下载的木马下载器文件及远程发送的命令均进行了加密和混淆 |
TA0007-环境发现 |
T1082-收集系统信息 |
收集受害者机器信息 |
TA0009-收集信息 |
T1119-自动收集 |
自动收集受害者机器信息 |
TA0009-收集信息 |
T1005-来自本地系统的数据 |
收集受害者机器信息 |
TA0011-指挥与控制 |
T1071-应用层协议 |
最终释放的恶意程序使用80端口上HTTPS协议进行通信 |
TA0011-指挥与控制 |
T1105-文件传输工具 |
下载文件在受害者机器上执行 |
TA0010-外传信息 |
T1020-自动外传 |
自动发送收集到的受害者机器信息 |
TA0010-外传信息 |
T1041-通过C2通道外传 |
最终释放的恶意程序收发指令和外传数据共用同一条通道 |
事件详情
此次捕获到的样本是一个名为俞通才周报1025-1031.xlsm的宏文档,根据进一步搜索发现此文档另一个名字为2021-10工资中公积金问题咨询.xlsm,根据中文名称判断疑似是针对国内企业。该文档有两个根据宏代码控制其显示或隐藏属性的工作表,通过诱骗用户主动执行宏代码显示不同的工作表,同时释放以硬编码形式存放于宏代码中的恶意程序,以此达到隐藏自身恶意行为的目的。
攻击流程
样本分析
瑞星威胁情报捕获的名为俞通才周报1025-1031.xlsm的宏文档,通过对该文档的分析,得知其主要是利用宏代码在Windows自启动目录Startup下释放恶意程序。该程序的主要作用是通过和centos.onthewifi.com建立通信,上传用户数据和接收攻击者下发数据以便进行下一步操作。
初始文档分析
| 字段 | 内容 |
|---|---|
| 原始文件名 | 俞通才周报1025-1031.xlsm |
| 文件大小 | 1.09MB |
| 文件MD5 | 38469AC823660B94CCE5A1D04800772B |
| 文件类型 | Excel |
| 病毒名 | Dropper.[BlackTech]Agent/VBA!1.C443 |
| 备注 | 此文件又名2021-10工资中公积金问题咨询.xlsm |
该文档内嵌宏代码的功能包括设置工作表显示属性以及释放以编码格式存储于代码中的恶意程序。如果保存文档而触发Workbook_BeforeSave事件,则设置表sheet1显示,这样可以实现不论是否保存对文档的修改都会在每次重新打开文档时显示表sheet1,而表sheet只有在执行宏代码后才会显示,此功能在过去该组织的攻击活动中也有体现。
宏代码释放的内嵌恶意程序的路径为%appdata%\Microsoft\Windows\Start Menu\Programs\Startup\dwm.exe,以此实现自启动。
远控木马分析
| 字段 | 内容 |
|---|---|
| 原始文件名 | dwm.exe |
| 文件大小 | 517KB |
| 文件MD5 | EEDE3A7F749A3A4AA8A70AE1B2506E2B |
| 文件类型 | EXE |
| 病毒名 | Backdoor.[BlackTech]SpiderPig!1.DA8D |
| 主要功能 | 远控类木马,负责上传信息及下载 |
dwm.exe的主要作用和centos.onthewifi.com建立通信,上传和接收数据。以下是关于dwm.exe主要功能的分析。
C2服务器域名及端口以编码形式存储于文件中
收集受害者机器信息,收集的信息包含电脑名、用户名、CPU信息、卷信息、主机名以及IP地址。
收集到的本地信息还包括根据当前进程ID计算得出的随机数,该数字会随着收集到的本地信息一起在后续发送给C2服务器,对当前受害主机进行标识。
样本通过多线程方式分别实现与远程服务器通讯和下载并执行文件的功能。
线程函数1主要负责与C2服务器通讯,执行上传收集的信息并接收服务器指令。
关联分析
通过追溯发现,此次攻击事件和今年10月Nttsecurity披露的关于BlackTech组织相关的攻击事件类似,攻击过程中都是通过xlsm文档启动攻击行为,在10月份事件中的文档(MD5:8D3E29BD96352A306022393E94A7270B)含有的宏代码与本次事件中的代码高度相似,最后都会在Windows自启动目录下释放dwm.exe,利用该程序与C2服务器通信,下载文件并执行。
总结
APT攻击有着针对性强、组织严密、持续时间长、高隐蔽性和间接攻击的显著特征,针对的目标都是具有重大信息资产,如国家军事、情报、战略部门和影响国计民生的行业如金融、能源等,国内相关政府机构和企业单位务必要引起重视,加强防御措施。
预防措施
-
不打开可疑文件。
不打开未知来源的可疑的文件和邮件,防止社会工程学和钓鱼攻击。
-
部署网络安全态势感知、预警系统等网关安全产品。
网关安全产品可利用威胁情报追溯威胁行为轨迹,帮助用户进行威胁行为分析、定位威胁源和目的,追溯攻击的手段和路径,从源头解决网络威胁,最大范围内发现被攻击的节点,帮助企业更快响应和处理。
-
安装有效的杀毒软件,拦截查杀恶意文档和木马病毒。
杀毒软件可拦截恶意文档和木马病毒,如果用户不小心下载了恶意文件,杀毒软件可拦截查杀,阻止病毒运行,保护用户的终端安全。
- 及时修补系统补丁和重要软件的补丁。
沦陷信标(IOC)
-
MD5
38469AC823660B94CCE5A1D04800772B EEDE3A7F749A3A4AA8A70AE1B2506E2B 8D3E29BD96352A306022393E94A7270B -
Domain
centos.onthewifi.com