新變種的Olympic Destroyer惡意軟體暴露其背後APT的變化
今年早些時候,一種名為Olympic Destroyer Wiper的惡意軟體曾短暫的干擾過韓國冬奧會。現在它又帶著一種新型別的dropper變種回來了,有重要變化顯示錶明其背後的APT組織發生了變化。
儘管名為Olympic Destroyer,但自今年2月以來,Olympic Destroyer早已將攻擊目標轉移到了奧林匹克賽事之外。該惡意軟體最初的傳播途徑,是靠其背後的APT組織大肆傳送帶有惡意附件的魚叉式釣魚電子郵件來實現的。Check Point的研究人員表示,據他們觀測結果顯示,在惡意附件中,巨集的複雜性隨著時間的推移而愈發增加,為了掩人耳目,Hades每個月都會出現新的版本。然而到了十月份,這個情況發生了變化。
Check Point的研究人員在最近發表的一篇文章中指出,
通過對字串編碼方法以及一些其他常用指標的研究表明,大多數惡意文件都是由同一個威脅行為者建立的,使用的是相同的混淆工具集,每月更改一次。但最新樣本顯示出了與Hades APT的巨集通常所採用的、常規進化路徑的偏離,出現了一種全新的變種。
具體來講,就是該變種中引入了反分析和延遲執行等新特性,這些特性過去只在第二階段Wiper負載中使用。
Hades APT的doc檔案和巨集混淆器具有一些獨特的特徵,通過這些特徵,可將它們與其他dropper區分開來。例如,Hades大多數的dropper都包含了下列三個文件作者簽名:James,John或AV。分析師表示,這些“指紋”對追蹤該組織的研究人員來說非常重要,因為它們很少見。在缺乏區別特徵、程式碼中內建了大量錯誤標誌的情況下,卡巴斯基實驗室仍舊致力於識別此組織的特徵。
Check Point的研究人員表示,
眾所周知,Hades利用公開的工具進行偵察和後期開發,這使得對攻擊第一階段的分析和檢測變得更加重要,這也是區分該組織與他人的行動,乃至追蹤其全球活動的方法之一。
Check Point說,
在Olympic Destroyer Wiper最近的一次更新中,使用者首先會看到一個空白頁面。一旦啟用,巨集就會將白色文字變為黑色,內容就會顯示出來。這份檔案的文字是可以在網上找到的合法檔案。接著巨集本身執行沙箱規避;它檢索執行程序的列表,然後將其與流行的分析工具使用的程序進行比較,並計算總共有多少個正在執行的程序。這個過程計數對沙箱和分析環境很有效,因為通常有一些程序在執行。
在此之前,這些工作都是在舊版本的Shell/">PowerShell階段進行的。最新的dropper能還將解碼的HTA檔案寫入計算機的磁碟,並安排它在早上執行。HTA檔案利用VBScript對下一級命令列進行解碼,使用與巨集相同級別的技術和解碼器。
除了第一階段變化之外,Check Point的研究人員還發現了一些新情報,比如Hades的droppers使用受感染伺服器作為第二階段命令和控制(C2)。
Check Point表示,
儘管人們對Hades的基礎設施知之甚少,但一些與他們C2相關聯的droppers暴露了一些伺服器問題,這些問題表明受損的伺服器僅充當代理,請求實際上被重定向到另一臺伺服器,該伺服器承載著Hades整個組織的後端。
總體而言,這些變化表明,為了避免被找到任何蛛絲馬跡,該組織在持續創新當中。之前在奧運會期間,Hades就操作了偽旗行動;而其最新的dropper也在隱匿著自己的行蹤。
Check Point的研究人員表示,
Hades沒有表現出放慢運作的跡象,他們的能力與他們的受害者名單一起增長。