概述
APT組織通常會使用一些不常見的檔案類型來承載惡意程式碼,以提高針對防毒軟體的免殺概率,比如近年來我們監測到被濫用的光碟映像檔案(.iso)和虛擬硬碟檔案(.vhd)。並且使用這兩種格式的檔案可以有效的規避MOTW機制(這是一種安全措施,當使用者試圖打開從網際網路下載的檔案時,Windows會顯示一條警告訊息)。早在22年11月我們披露Lazarus組織的攻擊活動時,其使用vhdx格式的攻擊元件在VirusTotal上查殺率就為0,其效果可見一斑。
在對近期上傳的vhdx檔案進行梳理時我們發現,在2022年9月至12月,疑似Kasablanka組織一直對俄羅斯進行攻擊,其攻擊對象包括俄羅斯聯邦政府合作署、俄羅斯阿斯特拉罕州對外通訊部等,並且部分樣本查殺率一直為0。
對捕獲的樣本進行分析整理,Kasablanka組織通過社會工程學處理後的魚叉郵件為入口進行攻擊,附件為虛擬磁碟映像檔案,裡面嵌套了包括lnk檔案、壓縮包、可執行檔案等多種下階段載荷的執行檔案。在攻擊初期最終執行的是商業木馬Warzone RAT,在攻擊後期我們觀察到執行的木馬變成了Loda RAT。
誘餌檔案
針對俄羅斯聯邦政府獨聯體事務、海外僑民及國際人道合作署,簡稱「Россотрудничество」, 中文簡稱「國合署」的魚叉郵件攻擊。
魚叉郵件內容翻譯如下:
針對俄羅斯阿斯特拉罕州對外通訊部的魚叉郵件攻擊。
魚叉郵件內容翻譯如下:
其中魚叉郵件附件以2022年土耳其共和國相關情況作為誘餌。
以2015年俄羅斯進口替代和移民政策相關文章為誘餌進行攻擊。
此外,Kasablanka組織還從俄羅斯聯邦政府官方網站發佈的第1725號決議中擷取第一頁作為誘餌。
並且以吉爾吉斯斯坦數字法典草案相關內容為誘餌。
樣本分析
所捕獲的樣本均為虛擬磁碟映像檔案(.vhdx後綴),樣本誘餌名稱與內容均為俄語,且為俄羅斯地區上傳。其中部分樣本使用lnk檔案作為下階段載荷的下載器。
有的攻擊樣本則是將誘餌與Warzone RAT打包成壓縮包放在虛擬磁碟映像檔案中。
又或者沒有誘餌檔案,直接將lnk檔案偽裝成檔案夾誘導受害者點選。
我們整理了相關的後續載荷下載連結,如下表所示:
連結 | 備註 |
http://179.60.150.118/new.exe | Warzone RAT |
http://89.22.233.149/ms7.hta | 未知 |
http://193.149.129.151/vmsys | 未知 |
http://45.61.137.32/www.exe | Warzone RAT |
http://45.61.137.32/svvhost.rar | Loda RAT |
http://45.61.137.32/Scanned_document.exe | Loda RAT |
Warzone RAT
Warzone RAT又名AveMaria RAT,是一款純C/C++開發的商業木馬程序,該程序自2018年開始便在網路上以軟體訂閱的方式公開售賣,適配目前Windows 10以下系統,具備遠端桌面、密碼竊取、鍵盤記錄、遠端命令、許可權提升、下載執行等多種遠端控制功能。自售賣以來便被多個APT組織使用,已知的便有魔羅桫(Confucius)、蔓靈花(Bitter)、盲眼鷹(APT-Q-98)等組織使用過該商業木馬。
此次捕獲的Warzone RAT最終與伺服器hbfyewtuvfbhsbdjhjwebfy.net(193.188.20.163)建立TCP連接,與伺服器通訊。
其遠端控制指令種類繁多,包含如下功能:
功能號 | 功能 |
0x0 | 獲取被控制機器資訊 |
0x2 | 獲取進程列表資訊 |
0x4 | 獲取驅動器資訊 |
0x6 | 獲取目錄資訊 |
0x8 | 從受害設備的檔案夾中檢索檔案 |
0xA | 刪除指定檔案 |
0xC | 結束指定進程 |
0xE | 遠端shell |
0x10 | 結束指定執行緒 |
0x12 | 列出受害者的相機設備資訊 |
0x14 | 開啟攝像機 |
0x16 | 停止攝像機 |
0x18 | 獲取活動程序的標題 |
0x1A | 退出並刪除自身檔案 |
0x1C | 下載檔案到被控制端 |
0x20 | 獲取瀏覽器密碼 |
0x22 | 從給定的URL下載檔案到被控端並執行 |
0x24 | 線上鍵盤記錄 |
0x26 | 離線鍵盤記錄 |
0x28 | 在受害者的設備上安裝 HRDP Manager |
0x2A | 啟用反向代理 |
0x2C | 停止反向代理 |
0x30 | 啟動遠端VNC |
0x32 | 關閉遠端VNC |
0x38 | 反向代理埠設置 |
0x3A | 執行或打開指定檔案 |
0x48 | 注入指定進程 |
0x4A | 遍歷獲取檔案資訊 |
0x4C | 多種命令後細分,包括關機、網路測試、退出等 |
Loda RAT
Loda RAT是一款利用AutoIt手稿語言編寫的專屬惡意軟體,最早由Proofpoint 在2016年9月首次在野捕獲並披露,‘Loda’這個名稱源自惡意軟體作者選擇寫入鍵盤記錄程序日誌的目錄為Loda,後續由思科發現了Loda RAT的多個變種,包括發現該RAT增加了Android平臺的間諜功能。思科在經過一系列調查後認為使用該惡意軟體的組織總部位於摩洛哥,並將該組織命名為Kasablanka(摩洛哥最大城市)【1】。
對捕獲的樣本進行分析,樣本使用C#編寫,並對其進行了大量的混淆,常見的工具不能對其進行反編譯,並且在PE檔案末尾添加大量的00資料,使整個檔案大小膨脹到741MB。
樣本執行後首先在%appdata%目錄釋放並執行AutoIt打包的Loda RAT。利用奇安信威脅情報中心雲沙箱的深度解析功能可以將AutoIt腳本進行還原,分析該腳本便可知該木馬的行為與功能。
Loda RAT首先通過wmi檢測受害者機器上有哪些殺軟。
隨後便是一些受害主機資訊的收集,包括許可權、作業系統版本等。
添加持久化操作,創建%appdata%\Windata\svshost.exe,在windows啟動目錄創建指向svshost.exe的NFOKQN.lnk快捷方式。
上傳收集的資訊,並截圖。
隨後進入遠控流程,通過對C2返回的資料進行處理後,再對應在詳細的遠控指令上,並且其遠控指令劃分的功能比較細,粗略統計有144個遠控指令,由於篇幅的原因,我們就不做詳細介紹,大致概述其遠控功能。
錄音
上傳下載檔案
執行指定檔案
關機
關閉指定進程
竊取使用者cookie、密碼
開啟鍵盤記錄器
刪除鍵盤記錄器資料
從指定的URL下載並執行檔案
獲取檔案或目錄大小
通過修改註冊表允許RDP連接
壓縮/解壓縮檔案
複製檔案或目錄
列舉連接的驅動器
列舉常用檔案夾位置
檢測 UAC 設置
發送滑鼠點選(向左或向右是單獨的命令)
捕獲螢幕截圖併發送到C2
打開/關閉 CD 托盤
錄影
關閉Windows防火牆
將正在運行的進程名稱發送到 C2
退出、卸載
創建一個 GUI 聊天窗口將受害者/攻擊者對話保存到檔案中
此外,在之前版本中,LodaRAT從AutoIt官方網站下載SQLite3.dll,因為需要SQLite3.dll從瀏覽器資料庫中提取敏感資訊,但是一直以來內嵌的URL都無法下載,於是在最新的版本中,Kasablanka組織將其直接將其轉碼為16進位制,內嵌在腳本中。
溯源關聯
在C2:193.149.129.151中,我們溯源到木馬systeml.dll,該木馬由C#編寫且僅有8.5KB大小,其功能為下載WinScp工具與遠端計算機同步檔案,並設置計劃任務實現持久化,使其成為一個潛在的後門。
而在另一個C2: 179.60.150.118中,我們關聯到兩個由Pyinstaller打包的檔案,兩者均為下載器,且核心程式碼均相同。
經Base64解碼後可以清晰看到通過請求179.60.150.118的443埠獲取後續來執行,而後續則是Warzone RAT或CS木馬。
一直以來,國內外部分安全廠商認為Loda RAT是Kasablanka組織的特有木馬,但是由於Loda RAT是由AutoIt腳本編譯而來,通過對其反編譯即可獲得其源程式碼,因此不能排除其它組織利用反編譯後的源程式碼進行的‘假旗’活動。
而在攻擊動機方面,我們認為此次攻擊活動目的主要是為了資訊收集和間諜活動,考慮到當前的俄烏局勢,情報刺探與間諜活動更符合國家級背景駭客組織的攻擊目的,因此我們有部分信心將此次攻擊活動歸屬到Kasablanka組織。
總結
在之前的披露Kasablanka組織行動中,其攻擊對象包括孟加拉國、南美洲和美國等地,並且其Loda RAT不僅有Windows版本,還有Android版本。現階段該組織在其攻擊活動中常常利用商業RAT進行攻擊,這不僅降低了開發成本,也給組織溯源帶來了一定難度。
奇安信紅雨滴團隊在此提醒廣大使用者,切勿打開社交媒體分享的來歷不明的連結,不點選執行未知來源的郵件附件,不運行誇張標題的未知檔案,不安裝非正規途徑來源的APP。做到及時備份重要檔案,更新安裝補丁。
若需運行,安裝來歷不明的應用,可先通過奇安信威脅情報檔案深度分析平臺(https://sandbox.ti.qianxin.com/sandbox/page)進行判別。目前已支持包括Windows、安卓平臺在內的多種格式檔案深度分析。
目前,基於奇安信威脅情報中心的威脅情報資料的全線產品,包括奇安信威脅情報平臺(TIP)、天擎、天眼高級威脅檢測系統、奇安信NGSOC、奇安信態勢感知等,都已經支持對此類攻擊的精確檢測【2】。
IOCs
MD5
4d75d26590116a011cbebb87855f4b4f
574e031a4747d5e6315b894f983d3001
56d1e9d11a8752e1c06e542e78e9c3e4
db9f2d7b908755094a2a6caa35ff7509
8f52ea222d64bbc4d629ec516d60cbaf
c3b3cb77fcec534763aa4d3b697c2f8c
9ea108e031d29ee21b3f81e503eca87d
23d5614fcc7d2c54ed54fb7d5234b079
6be3aecc5704c16bf275e17ca8625f46
e4a678b4aa95607a2eda20a570ffb9e1
11ed3f8c1a8fce3794b650bbdf09c265
8a548f927ab546efd76eeb78b8df7d4c
6d710d1a94445efb0890c8866250958e
6b42e4c5aecd592488c4434b47b15fbb
d82743e8f242b6a548a17543c807b7b0
32a0a7fa5893dd8d1038d1d1a9bc277a
bd5c665187dfb73fc81163c2c03b2ddf
a07c6e759e51f856c96fc3434b6aa9f8
0dcd949983cb49ad360428f464c19a9e
87125803f156d15ed3ce2a18fe9da2b8
4f7e2f5b0f669599e43463b70fb514ad
00b9b126a3ed8609f9c41971155307be
C2
179.60.150.118
45.61.137.32
89.22.233.149
193.149.129.151
193.149.176.254
參考連結
[1] https://blog.talosintelligence.com/kasablanka-lodarat/
[2] https://ti.qianxin.com/
點選閱讀原文至ALPHA 5.0
即刻助力威脅研判
