至少自2017年以来,通常与中华人民共和国(PRC)有关或评估位于中华人民共和国(PRC)的各种威胁行为者使用了a被称为皇家之路的恶意文件生成器作为网络钓鱼活动的一部分。与多个不同的威胁参与者一起观察,Royal Road提供了一种机制,可以在富文本格式(RTF)文件中嵌入恶意编码对象。代码执行和对象交付依赖于利用微软方程编辑器中的几个漏洞之一.
作为记录由几个研究人员,多个攻击者利用Royal Road针对不同行业,在受害者环境中提供不同类型的有效载荷。
在撰写本文时,据评估,超过7个不同的威胁组织使用Royal Road文件进行初始访问操作,事件主要针对东亚和东南亚以及俄罗斯实体。
2021年4月,DomainTools研究人员在商业恶意软件数据库中发现了一个与Royal Road特征匹配的恶意文档。进一步的研究表明由Proofpoint的研究人员首次发现.除了代表了皇家之路相关文件和开发后行为的演变之外,现有信息表明了已确定活动的有趣目标重点。
虽然DomainTools最初通过恶意文档发现了有问题的活动,但对各种来源的审查将文档链接到电子邮件作为传递媒介:
虽然从技术上讲没有描述(消息只是附带恶意RTF的简短注释),但其他上下文细节非常有趣。检查实际内容和地址,可以得出以下观察结果:
虽然所有这些项目都可以通过开源研究和分析来确定,但它们在主题和可能的信息目标方面代表了一定程度的特异性。根据现有的细节,负责构建和发送这条信息的实体努力模仿代表俄罗斯联邦研究潜艇和水下武器技术的国家指导组织之间的现有关系。这些主题延续到恶意RTF本身:
这份名为“AUV的初步设计结果”的文件很简单,只有一个横幅图形和几个看似是AUV设计的角度。该文件具有以下识别特征:
MD5: 027f5ae272bbb6bbc3e1fdf230a4e3f6 SHA1: 57142832e5453cb0e2c3e6c1a3d7536131b3ed72 SHA256: 774a54300223b421854d2e90bcf75ae25df75ba9f3da1b9eb01138301cdd258f
回顾文档元数据显示了几个有趣的特征:
进一步检查文件(使用OLEtools框架)显示嵌入的对象遵循相同的模式(尽管命名惯例略有不同)作为历史上的皇家道路活动:
第一个OLE对象是一个包含混淆代码的文件,而第二个包含Microsoft Equation Editor漏洞。在易受攻击的Microsoft Word版本中打开时,文档会将第一个OLE对象写入磁盘到以下位置:
C:\Users\[执行用户]\ AppData \ \ Temp \ e.o
接下来,将启动方程编辑器,解码“e”的内容。“O”,然后写a动态链接库(DLL)对象以microsoftoffice外接程序项的形式加载到磁盘;
C:\Users\[执行用户]\微软AppData \漫游\ \ \启动\ winlog.wll
除了编写上面的文件外,“e。对象也作为这个过程的一部分被删除。在这一点上,武器化文档的行为停止,不再发生进一步的直接操作。
上面描述的倒数第二个操作,编写“winlog. exe”文件。将DLL移至Word启动位置,表示下一阶段的执行以及在受害环境中的持久性。作为之前的记录对于Royal Road,使用WLL文件类型(通常与Microsoft Word外接程序对象相关联)可以确保每次Microsoft Word启动时执行恶意DLL在未来。
在本例中,使用winlog。WLL通过以下约定调用:
Rundll32.exe winlog。DllEntry28 [Unix时间戳格式的当前系统时间]
在分析时,DLL(特别是“DllEntry28”导出)包含许多系统和分析检查,防止在被监视的环境中执行。但是,对该文件的进一步分析表明,可以通过调用不带参数的导出“DllEntry18”来触发直接功能。Word下次打开时的后续执行与启动期间调用的默认DLL导出中存在的检查相结合,提供了一种相对简单(如果有效的话)的机制来逃避沙箱和行为分析。总体执行流程如下:
恶意DLL值得进一步调查。该文件似乎是在发送网络钓鱼邮件前几天(2021年3月27日)编译的,具有以下特征:
MD5: 70da6872b6b2da9ddc94d14b02302917 SHA1: b2da45913353bfc66d189455f9ad80ef26968143 SHA256: 2d705f0b76f24a18e08163db2f187140ee9f03e43697a9ea0d840c829692d43c
虽然" DllExport18 "和" DllExport28 "是DLL的唯一功能导出,但DLL总共引用了34个导出函数(从" DllExport00 "到" DllExport33 ")。除了已经讨论过的两个之外,其余的没有相关的功能,并且可能代表一种转移或另一种反分析技术。
当通过“DllExport18”执行时,恶意软件通过TCP 443向以下IP地址发送单个信标:
162年45.63.27(。)
托管在澳大利亚和Vultr或CHOOPA托管服务的一部分,对DomainTools被动DNS (pDNS)数据的审查显示,自2020年11月以来没有主动域名解析。乐动体育网址
自2020年底以来,该IP地址似乎处于休眠状态,直到2021年初被纳入此次活动。
检查DLL进一步通过明文字符串确定潜在的附加功能。具体来说,似乎有构建HTTP头的参考,包括硬编码的用户代理字符串等项目,用于额外的通信:
连接HTTP/1.0用户代理:Mozilla/5.0 (Windows NT 10.0;Win64;x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/70.0.3538.102 Safari/537.36 Edge/18.18362 Proxy-Connection: Keep-Alive Content-Length: 0 HOST: %s Pragma: no-cache %s:%s
根据对DLL的分析,功能似乎是通过接收对初始信标的响应来确定的。上面标识的字符串表明DLL可以通过HTTP CONNECT方法响应随后的命令与控制(C2)通信。
DomainTools的研究人员试图识别更多的样本,这些样本可能表明一个具有类似特征的更广泛的活动。虽然我们无法识别任何额外的恶意DLL样本,但进一步搜索文档元数据发现了两个具有相同功能的额外文档:
SHA256 | 文件名称 | 首次发现 |
---|---|---|
b60c9b59e03101277196bce597701eab5cfb0fd6b37442a5029673a11ffb9295 | Перспектива_A.rtf | 2021年4月9日 |
aec6271de4436ddf0067e67c389cbddb82f73d749e4713f5c8b375ad0ee7da9c | N/A | 2021年4月5日 |
虽然文档具有相同的最终功能(包括相同的嵌入式OLE对象),但文档本身的表示有些不同。其中一个仅包含该报告中最初分析的项目的图表部分,而另一个则包含有限的文本片段。
观测日期表示本报告分析的原始RTF构建和交付后的可见性(2021年4月1日),此信息仅表示项目出现在第三方数据集中的时间,而不是实际创建或构建的时间。一种可能性是,这些格式较差的文档是在测试或类似的变体,用于网络钓鱼活动中交付的更精细的项目。它们是如何在商业恶意软件存储库中结束的不得而知,尽管我们也需要考虑这些文档被用于其他身份不明的网络钓鱼活动。无论来源如何,这些文件初步表明,这种活动的范围比单个网络钓鱼电子邮件附件更广泛。
已识别的活动代表了Royal Road恶意RTF功能的演变,包括嵌入式OLE对象的新命名模式和DLL有效负载,该有效负载与通过该技术交付的先前对象明显不同。从防御者的角度来看,该活动利用了许多可以通过策略识别、阻止或潜在禁止的项目:使用更新的Microsoft Office软件来消除漏洞;跟踪奇怪的进程执行链,如从Microsoft Office进程派生的rundll32.exe;或者识别奇怪的通信项,比如直接到ip的HTTP CONNECT观察。
虽然许多组织都可以采取防御措施,但这份文件背后的目标和可能的意图令人好奇。考虑到电子邮件的发送地址、主题和文档内容,DomainTools非常有信心地得出结论,该活动的目标是俄罗斯联邦的水下研究和武器开发组织。此外,与皇家公路运营相关的历史活动模式,结合本报告分析的主要文件中使用的观察到的语言集,强烈表明至少与中国语言实体存在关系,如果不是中国本身的话。然而,由于缺乏样本和最小的观察目标和沟通,存在的证据不足,不足以使这种联系达到比低置信度更高的程度。
无论归因如何,已识别的网络钓鱼实例显示了许多威胁参与者广泛部署的恶意文档框架的持续使用和演变。结合敏感的目标和强化最终有效载荷的尝试,似乎对手也在努力逃避对其活动的分析。尽管这次活动似乎是专门针对俄罗斯联邦的一个实体,但这次活动的潜在行为——从恶意文件使用到二进制执行护栏和控制——为了解对手的间谍技术提供了有益的见解,所有防御者都可以从中吸取宝贵的教训。
订阅DomainTools每月通讯,接收创新的、实用的建议,以改善他们的安全状况。我们的目标是帮助组织在其组织的日常防御中变得更有效、更有知识、更主动。