"黃金鼠"組織近期攻擊樣本分析
報告編號:B6-2018-101801
報告來源:360-CERT
報告作者:360-CERT
更新日期:2018-10-18
0x00 背景介紹
黃金鼠組織(APT-C-27)是一個長期針對敘利亞等阿拉伯國家實施網路間諜攻擊的惡意團伙。其團伙主要以APK、PE、VBS、JS檔案作為攻擊載體,涉及Android和Windows兩大平臺,利用社交網路和魚叉郵件等方式散佈和傳播惡意載荷。
本次360 CERT捕獲的惡意樣本是內嵌Package物件的Office釣魚文件。從樣本型別來看,此次攻擊行動疑似採用魚叉郵件的方式向受害者進行投遞。樣本偽造聯合國近東巴勒斯坦難民救濟和工程處釋出內嵌一份重要表格的公函誘使受害者執行Package物件執行攻擊載荷。
0x01 攻擊鏈分析
從360 CERT捕獲的樣本來看,此次攻擊事件由包含Package物件的Office釣魚文件開始。整個攻擊鏈由釣魚文件、Dropper指令碼和後門程式組成。
誘餌文件內容顯示由聯合國近東巴勒斯坦難民救濟和工程處釋出的一份公函<A special form for UNRWA>。在受害者執行內嵌Package物件後,顯示另一份Word文件<السيرة الذاتية>(中文翻譯:簡歷)。從文件使用的語言來看,此次攻擊主要針對阿拉伯語受害者。利用欺騙文件騙取受害者填寫個人詳細資訊。
內嵌Package屬於Microsoft Office的特性,其相容性非常強,在各版本Office下都能穩定執行。一旦使用者雙擊執行該物件,內嵌的VBS指令碼將得到釋放並執行。
Word程序下的指令碼是個Dropper,它會釋放下一階段執行的VBA後門和<السيرة الذاتية>文件。並利用該後門指令碼和C2互動。和常見的攻擊流程不同的是,整個攻擊鏈中沒有出現PE檔案,黃金鼠組織選擇直接使用指令碼和C2進行通訊。經過解混淆之後我們發現這段指令碼在網路上流傳較久的經典的指令碼後門,黃金鼠組織曾經也使用過該段指令碼進行網路攻擊。
0x02 樣本技術分析
2.1 釣魚文件分析
該釣魚文件主要使用的技術是在帶有迷惑資訊的Word文件中內嵌惡意VBS指令碼。以UNRWA(聯合國近東巴勒斯坦難民救濟和工程處)的名義釋出公函誘使受害者信任文件來源並雙擊內嵌Package圖示得以執行惡意操作。
根據Office文件內嵌Package的屬性,對\word\embeddings\目錄下的檔案進行分析獲取攻擊者插入物件的路徑為C:\Users\gorin fulcroum\Desktop\CV.vbs
該誘餌文件的作者是:مستخدم Windows,文件最後修改時間為:2018-09-19T09:53:00Z,從文件作者名前後對比判斷這是其長期使用的工作環境。
2.2 Dropper分析
該Dropper經過一定程度的混淆以及使用Base64編碼資料。對殺軟廠商的檢測存在一定程度的干擾。
對Dropper指令碼解混淆之後,明顯看到其主要功能是儲存並執行sh3r.doc文件和program.vbs指令碼。其原始內容存放在兩段經過base64編碼的字串中。
2.3 Backdoor分析
program.vbs指令碼是經過嚴重混淆的後門程式。其編碼插入大量無效的程式碼、不可見的特殊字元、經過編碼的字串和雜亂的編碼方式進行干擾。
對該後門指令碼解混淆之後,如前文提到,我們發現這是一段在網路上流傳較久的經典的後門程式。功能涵蓋獲取系統資訊並上傳、設定計劃任務、下載檔案、執行Shell命令、刪除檔案、結束程序、遍歷檔案驅動和程序等等。後門指令碼執行流程和主要功能為如下四點。
一.將自身指令碼備份到%APPDATA%\MICROSOFT\目錄。
二.解碼一段base64字串將其儲存為%temp%\R.jpg。以XML格式解析R.jpg將備份的後門程式建立為計劃任務WindowsUpda2ta
三.獲取磁碟卷標號、計算機名、使用者名稱、作業系統版本等基本資訊回傳C2伺服器。
四.接收並響應C2伺服器指令,完成後續攻擊步驟。接收的指令包括執行Shell命令、更新後門程式、解除安裝等等。
完整的指令及其功能如下表所示:
0x03 網路基礎分析
後門程式使用IP和C2伺服器通訊。主機IP為:82.137.255.56,通訊埠為:5602。這個IP地址是黃金鼠組織的固有IP資產,曾經多次在其攻擊活動中出現。該IP的地理位置位於敘利亞,ASN為AS29256。
近幾月沒有域名解析到該IP地址。對外開放了80和82兩個公認埠。通過對其進行埠掃描,編寫報告時,埠5602沒有開放。
通過 360netlab 圖系統進行資料關聯:
0x04 總結
很明顯,此次事件仍然是黃金鼠組織針對阿拉伯國家發起的網路滲透活動。從構造的文件內容、文件作者名字以及程式碼註釋部分的阿拉伯文可以判斷黃金鼠組織成員熟練掌握阿拉伯文。阿拉伯語可能是其母語。
釣魚文件偽造聯合國近東巴勒斯坦難民救濟和工程處釋出的一份公函,不但在攻擊環節獲取受害者計算機資訊控制受害者計算機系統,而且偽造的表格讓受害者填寫個人詳細資訊從而詳細掌握受害者情況。
雖然攻擊鏈的最後載荷使用網路上流傳已就的VBS指令碼後門。但其對該指令碼使用錯綜複雜的混淆技巧使得後門程式並不容易被殺軟廠商檢測,從而anti-av。
事件使用的C2伺服器是黃金鼠組織的固有資產,從其對該IP資產的使用和該資產目前的狀況開看,在近期一段時間,該組織可能會繼續使用該IP資產進行網路攻擊活動。
0x05 IOC/">IOCs
5.1 MD5
- 58810256A122133B2852298F38605210
- BF6A9C0F3C53FB0CF851ED6F67A0C943
- 442F82D42E0653B401AAA7E59D6A7561
- 247CB80067CCF287F1BB0472D8449A87
5.2 IP
- 82.137.255.56
5.3 Path
- C:\Users\gorin fulcroum\Desktop\CV.vbs
- C:\Users\gorin fulcroum\Desktop\UNRWA2.jpg
- C:\Users\gorin fulcroum\Desktop\11041741_397385303770904_615368227431765789_n.jpg
0x06 時間線
2018-10-15 360 CERT捕獲樣本
2018-10-16 360 CERT開始分析樣本
2018-10-18 360 CERT完成本次報告
0x07 參考連結
- ofollow,noindex">https://ti.360.net/blog/articles/analysis-of-apt-c-27/
- http://csecybsec.com/download/zlab/20180723_CSE_APT27_Syria_v1.pdf
宣告:本文來自360CERT,版權歸作者所有。文章內容僅代表作者獨立觀點,不代表安全內參立場,轉載目的在於傳遞更多資訊。如需轉載,請聯絡原作者獲取授權。