針對義大利海軍的MartyMcFly惡意軟體
一、背景
上週,Yoroi CERT的分析人員發現了幾起針對義大利海軍和國防工業的攻擊。攻擊者使用電子郵件作為傳播媒介,通過傳送特製的xls檔案來感染受害者。已識別的攻擊觸發內部defcon升級,據此評估威脅程度並最終分析此特殊惡意軟體。
10月9日至15日,在我們的CSDC(網路安全防禦中心)運營期間,分別攔截了兩起不同行動的可疑電子郵件,每起行動都有一次或多次嘗試,社會工程技巧略有不同。
二、惡意郵件
第一個截獲的惡意電子郵件的發件人為“markvanschaick.nl @qixnig .com”。攻擊者選擇特定人名試圖利用荷蘭海運服務公司“Mark Van Schaick”的名譽,但發件人的域名和IP地址與該組織沒有直接關係。
圖1. 第一波攻擊SMTP頭部詳細資訊
該訊息從Roundcube Webmail伺服器lord.vivawebhost .com(173.237.190.12 COLO4-BLK7 US)傳送,這顯然與發件人的域名無關。此外,“qixnig .com”(發件人域名)解析為另一個不同的IP地址66.45.243.148(INTERSERVER US)。有趣的是對所有訪問使用者精心設計的重定向:HTTP 301程式碼重定向到Dan Marine Group的官方入口網站。
圖2.重定向到Dan Marine Web門戶
第二起電子郵件活動與第一起活動略有不同。它起源於mail.dbweb .se(52.58.78.16 AT-88-Z US)託管的另一個Roundcube網路郵件服務:
圖3. 第二波的SMTP頭部詳細資訊
在此情況下,虛假的通聯過程模仿“Naviera Ulises Ltd <[email protected]>”和“Evripidis Mareskas(Mr)<supplies.ulisnav @ kiramko .com>”之間的互動。提取的域名r恰好是“kiramko .com”並且它解析為在第一個波中發現的相同遠端IP地址(“qixnig .com”,66.45.243.148 INTERSERVER US)。所以可以認為這些行動密切相關。在撰寫本文時,“ulisnav .gr”似乎並未註冊。
截獲的電子郵件提出了精心準備的網路釣魚計劃,專門針對義大利海軍部門。觀察到的標題和網路環境顯示,攻擊者試圖冒充海事部門和海軍服務供應商,誘使受害者開啟附件。
例如,前兩次檢測到的嘗試試圖模仿中國丹海洋集團的詢問,假裝驗證發件人的域名“qixnig .com”由該集團擁有。然後,它試圖將訪客重定向到Dan Marine官方網站。另一個截獲的電子郵件將受害者作為BCC插入希臘Naviera Ulises有限公司的技術支援與其僱主之一(在linkedin上公開的資料)之間的虛假通訊。
這些通訊中沒有一個是真實合法的,實際上截獲的資料並不表明攻擊者可以訪問任何實際目標。
三、附件
截獲的電子郵件包含多個附件文件:在第一個電子郵件活動中,我們觀察到相同Excel檔案的兩個副本(5c947b48e737648118288cb04d2abd7b)封裝CDFV2加密資料並在VT的AV測試中得分相對較低(撰寫本文時為9/59)。
該文件能夠從受感染的入口網站下載可執行的有效載荷(66b239615333c3eefb8d4bfb9999291e):
圖4.截獲的下載惡意軟體的HTTP請求
有關規避技術的更多詳細資訊,特別是與VelvetSweatshop技巧和用於釋放惡意軟體的公式編輯器漏洞利用有關的內容,可在此處獲取( ofollow,noindex">link )。
圖5.惡意Excel文件
第二波攻擊中的附件是Excel檔案的副本和另一個名為“Company profile.pdf”的PDF文件(6d2fc17061c942a6fa5b43c285332251),此文件是在網路釣魚嘗試的同一時間段內生成的:在惡意訊息傳送前30分鐘由一個MS Word 2013文件生成。
圖6. “Company Profile.pdf” 元資料
嵌入式附件已於10月中旬使用多個名稱分發,其中大多數名稱與海軍行業相關,包含機械部件的報價、查詢或訂單。
圖7.提交時間和樣本名稱
話雖如此,現在來解釋此攻擊系列“MartyMcFly”名稱的來歷,該名稱來自VT平臺報告的“Wild In First Seen in the Wild”值以及部件中找到的元資料,此部件非常有趣值得討論。
四、Payload
可執行的有效載荷從一個可能受到感染的網站下載,該網站由一家銷售機械備件的土耳其公司合法擁有,表明攻擊者已經仔細處理好了惡意軟體分發基礎設施。
PE32檔案66b239615333c3eefb8d4bfb9999291e包含從Delphi原始碼(BobSoft Mini Delphi)編譯的可執行二進位制程式碼。
執行的第一階段包含了幾種反分析模式和技巧,例如在0x0045e304,惡意軟體檢查作業系統中配置的本地時間年份是否在2017之後(圖8),此外在0x045e393它會呼叫SleepEx庫函式降低執行速度(圖9)。
圖8. 本地時間檢查
圖9.通過SleepEx減慢程式碼速度
惡意程式碼中繞過所有除錯檢查和規避技巧會導致在對映在0x012e0000位置的RWX程式碼段中動態載入.NET模組。
圖10.在記憶體中解壓縮的可執行模組
Yara簽名證實提取的PE32模組可歸因於武器化版本的“QuasarRAT”: github 上免費提供的開源遠端管理工具。
圖11.轉儲的.NET模組上與Yara簽名匹配
圖12中報告的手動驗證確認提取的有效載荷與github儲存庫上釋出的QuasarRAT模組匹配。此外,後面的IoC部分報告了惡意軟體配置中的C2伺服器。
圖12. QuasarRAT使用的模組名稱和訊息示例
目前沒有歸屬於已知組織的可能性,許多威脅行為者選擇使用或定製開源工具以試圖使溯源更難,例如APT-10以及Gorgon組織的武器庫中都包含 QuasarRAT 。
IoC
Malspam
· INQUIRY FOR Engine Requisition: Spare parts: Valves: Cylinder etc
· “Mark Van Schaick Marine” <markvanschaick.nl @qixnig[.com>
· Mark van Schaick Enquiry – Marine Parts, Valve, Cylinder ets..xlsx
·Mark Van Schaick Company Profile.xlsx
· “INQUIRY MJ1409-FWS-FBR-61 / 18092867Q1/ MARINE PARTS”
· “Cherry dan” <cherry.dan-marine @ qixnig[.com>
·Engine_9463.xlsx
·List of order spares parts.xlsx
·Company Profile.pdf
· lord.vivawebhost[.com
·mail.dbweb[.se
Dropurl
· http://apexmetalelektrik[.com/js/jquery/ui/jquery/file/alor/GEqy87.exe
C2
· secureserver.marinelectricsystems[.com:4783
·safebridge.marinelectricsystems[.com:4783
· neumeistermcntrade[.ddns[.net:4783
·mcntradeandreas.ddns[.net:4783
· 79.172.242[.87:4783
Hash
· a42bb4900131144aaee16d1235a22ab6d5af43407a383c3d17568dc7cfe10e64 xlsx
·3b5bd3d99f1192adc438fb05ab751330d871f6ebb5c22291887b007eaefbfe7b pdf
·1aa066e4bcc018762554428297aa734302cfbb30fef02c0382f35b37b7524a4a exe