背景
多个对手,从犯罪集团来政府主导的实体自2020年3月以来,从事利用COVID-19大流行主题的恶意网络活动。对手继续以各种方式利用大流行,这可以说是撰写本文时全球最重要的问题。然而,最持久的途径仍然是使用COVID-19主题构建恶意文档文件。例子包括与云地图集链接的活动而且更广泛地针对卫生当局.
鉴于大流行的持续重要性以及对手持续使用大流行主题,DomainTools研究人员持续监控利用COVID-19内容进行恶意目的的项目。在进行这项研究时,DomainTools分析师发现了一个有趣的恶意文档,该文档似乎具有独特的分期和执行机制。
初始钓鱼文件
2021年3月23日,DomainTools研究人员遇到了以下可疑的微软Excel文件:
名称:Vaksin_COVID_19_top_10.xls MD5: 9de48973af4acb5f998731a527e8721d SHA256: 0be5cdea09936a5437e0fc5ef72703c4ce10c6ceb0734261d11b05b92aaba2ff
有趣的是,由于标记的安全问题,微软Office的最新版本和补丁版本无法打开该文件。在旧版本中,用户被提示在打开时执行Visual Basic for Applications (VBA)宏,其中执行以下命令:
上面的VBA宏执行Microsoft findstr实用程序在文档文件中查找几个字符串,然后将输出(如果找到包含字符串的行)重定向到文件" C:\users\public\cmd "。最后,脚本调用微软FTP实用程序并将新创建的文件“cmd”传递给它执行。起初,这看起来令人困惑,而且用处相当有限,直到进一步检查XLS文件。
嵌套命令执行
查看文件中的字符串,会出现以下序列:
该脚本用于提取嵌入在原始电子表格中的命令,以执行后续的系统命令。在本例中,脚本将以“TVNDRgAAAA”开头的文本字符串写入临时文件。字符串是一个base64编码的对象,解码为Windows机柜文件.脚本通过扩展工具,然后执行其中一个包含的文件。执行的文件具有以下特征:
名称:interrupts .exe MD5: e6ca15e1e3044278ea91e32ae147964b SHA256: c30fa389edb7e67e76e1a23da32e6396334c9ec09a0fd120958a2c66e826b06c
进一步检查,可执行文件是一个经过签名的合法二进制文件。该文件最初名为“fsstm.exe”,是安全公司的一个应用程序乐动体育官网下载f - secure.可执行文件并不是唯一的在Cabinet文件中——里面还有三个额外的文件:
FSPMAPI.dll '~Vaksin_COVID_19_top_10.xls' was medical . ncex .nu.etl
第一个是动态链接库(DLL),与F-Secure Management Agent库的名称相匹配。然而,虽然合法的库是由F-Secure签名的,如“fsstm.exe”,但包含在Cabinet文件中的副本不是。相反,DLL似乎是合法库的修改版本。基于动态和行为分析,当interrupted .exe启动时,它会加载未签名的FSPMAPI.dll库,这种技术称为DLL搜索命令劫持.在这种技术中,攻击者利用所请求DLL的默认搜索顺序,将与所需实体具有相同名称的DLL放置在DLL搜索顺序中优先级高于合法项(如果存在)的文件夹中。在这种情况下,所有项都被写入“c:\users\public\cmd\”位置,合法(但重命名)可执行文件将加载修改(但正确命名)的DLL。
当观察到时,执行加载DLL,然后访问文件“wasmedical . nexx .nu.etl”。该文件由编码的指令组成,这些指令由DLL解码,然后执行。
Post-Execution观察
作为执行的一部分,会发生以下三件事:
- 文档的伪版本显示给用户,而其他进程则在后台进行。
- 恶意软件通过在系统注册表中创建“Run”键在受害机器上建立持久性。
- 恶意二进制文件开始通过域前端与对手控制的网络基础设施通信。
这份假文件与滴管文件的原名有关:COVID-19疫苗的信息。在这种情况下,电子表格显示了可用的COVID-19疫苗列表及其据称的安全性排名。
当这显示时,恶意软件通过注册表“运行”键为当前用户建立一个持久性机制:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ wbemengine <提取的机柜文件路径>\ interrupts .exe
当最初打开电子表格的用户登录时,上面的程序将执行“interrupts .exe”二进制文件。这将再次启动这里描述的事件序列,这意味着下面详细介绍的命令和控制(C2)项将用作接收进一步命令或将控制传递给活动实体的签入。
网络活动
观察到的网络活动最初似乎指向合法的google托管资源,例如以下捕获的PCAP:
然而,对恶意软件流量和后续监控的进一步分析表明,流量被重定向到另一个资源,特别是同一主域的以下子域之一:
安全[,]rabityli[。com中心[,]rabityli。com
在分析和使用DomainTools被动DNS (pDNS)信息时,两个子域都解析到相同的IP地址:51.77.34[.]201。
不幸的是,注册细节不能为分析或旋转目的提供重要的额外信息:
基于上述信息,我们可以在注册商(Namecheap)、域名服务器(Registrar -servers[.]com)和托管(IP地址通过波兰的OVH托管)中识别出可能的对手倾向,但这些本身太宽泛了,无法得出任何确定的结论。
对实际流量和后续活动的进一步分析显示了其他有趣的活动,突出了对手的行动和谍报技术。
钴罢工活动
检查行为和网络活动,加载和执行的恶意软件有效载荷执行域面对使用合法的谷歌视频[。]com域,以屏蔽指向rabityli[.]的实际网络流量。com子域。具体来说,示例部署了Cobalt Strike灯塔使用域前端通过谷歌服务命令及控制(C2)及后续操作。
DomainTools分析师识别并提取了Cobalt Strike Beacon配置,允许进一步审查和确认活动:
配置与观察到的行为相匹配,并确定一旦对手控制了植入程序,预期的后续活动。其他观察结果包括:
- 在同一个根域rabityli[.]com上的两个观察到的子域上使用故障转移C2服务器。
- 通过反映YouTube和谷歌视频服务的指定参数配置域前端活动。
- 指定Windows压缩工具作为“钴打击”的一部分,注入更多有效载荷的临时过程可塑C2型材.
恶意文档的整体功能现在很清楚了:向用户提供一个诱饵文档,利用一个签名的二进制文件和一个修改的DLL来执行Cobalt Strike Beacon有效载荷。
转向更多样本
正确的分析不能依赖于单个样本进行进一步研究,例如将活动与潜在的对手或行为集群联系起来。为了更多地了解这种活动及其肇事者,DomainTools分析师遵循了几种调查路径:查看结构或行为相似的文档,并确定潜在的交付载体。
查找相似文档
DomainTools分析师首先寻找使用类似基础设施或技术的文档。对可能链接的基础结构的分析显示,目前没有其他示例与前面描述的C2活动中标识的域或IP地址相关联。
换个角度看,文档本身包含几个基于结构和功能的有趣标识符。具体来说,可以使用一些感兴趣的字符串模式来识别其他示例:VBA脚本的Shell部分中的硬编码命令序列;对应嵌入式Cabinet文件的“TVNDRgAAAA”的“findstr”参数;和应用程序。等参数。
通过搜索几个恶意软件存储库,DomainTools研究人员通过前面提到的标准确定了另外三个样本:
| SHA256 | 文件名称 | 首次观测日期 | C2 |
|---|---|---|---|
| 06 e2d46bcc4498fe7272e073fa313a0f62fcef283ca4b107b8960896cfdb7601 | N/A | 2021年1月13日 | N/A |
| 7 bc5fb6bdf7e89e01b091bfaee8e16f476f8ee6c53d973c70f99f5eaa2b74eee | Danh sach ung vien Bo chin tri va Ban Bi thu khoa XIII.xls | 2021年1月7日 | N/A |
| 729年f12b7ca02aa43785645aa14c72f414d6336a13d14ed190d634b5724d00a08 | Danh sach ung vien BCT va BBT khoa XIII.xls | 2020年12月23日 | zarykon.com |
在含有相同VBA的三个恢复样本中,有两个是无功能的。第三个版本首次出现在2020年12月下旬,使用了与上面描述的文档相同的功能和方法,但C2目的地不同:fril[.]zarykon[。com和haikyu[.]zarykon[.][.] . com at 185.225.17研究了在DomainTools虹膜,我们看到了与之前识别的域相同的通用注册模式:
基础设施的相似性和文档结构相结合,将这些项目联系在一起,作为至少从2020年12月到2021年3月的活动的一部分。
观察相似的传递向量
采用不同的角度,原始文件以前可在以下位置下载:
[,] http://f14-group-zf [] zdn vn / 84 ee4531354cda12835d / 6104412318511785684
首先,这意味着原始文档是通过恶意链接(可能是通过钓鱼消息发送的)传递的,而不是通过消息的附件。第二,根域- zdn[。vn -似乎是一个越南主机或动态DNS (DDNS)提供商。在这种情况下,“zdn[。vn”将是一个合法的(如果可能不值得信任)根域,对手可以在其上创建恶意目的的子域。查看子域“f14-group-zf”的链接。vn”的主域,DomainTools研究人员确定了另外两个文档:
| SHA256 | 文件名称 | 首次观测日期 | C2 |
|---|---|---|---|
| 6 a4f055a5f682ca6aa8791485e780fbe1bacef435e229c9b5040f53612a18720 | NHẬN XÉT THỂ DỤC.xls | 2021年2月2日 | N/A |
| 3301年b2d67a086ea0a53ff16e5428939d020b0aca9ff6d83fd4cc9b795141337d | PGV TBC+ NVKD (CN HBT 2021).xls | 2021年1月20日 | N/A |
虽然两者都是宏启用的,并执行看似恶意的功能,但都不会导致导致命令和控制活动或任何其他明显活动的完整利用链。鉴于与前面分析的恶意文档类似的命名约定和托管,这些项目显然是可疑的,但目前它们似乎在功能上不完整。
可能与“妖精熊猫”有关
检查到目前为止所分析的文件中所部署的具体技术,有几个项目突出地具有长期的先例。最值得注意的是,利用合法F-Secure文件使用的执行路径不仅是已知的,而且在五年前的入侵中已经观察到。
在2014年,Verint分析师记录使用媒体播放器软件的修改版本,通过DLL路径劫持相同的F-Secure签名二进制文件来交付类似的加载器。在这种情况下,最终的有效载荷是PlugX恶意软件.德国政府当局后来在同一年发现了类似的活动——同样使用合法的F-Secure二进制文件作为初始执行机制。
考虑到当前的活动,2014年的活动很有趣,但已识别的入侵从未与任何实体联系起来。目前活动的其他方面与一个特定的威胁演员相似:妖精熊猫。
妖精的熊猫是一个与未指明的中国实体有关的威胁行为者,至少自2013年以来一直以某种形式活跃。Goblin Panda的行动包括广泛的网络钓鱼活动,主要针对东南亚实体从历史上看这演员依赖于在富文本格式(RTF)文档上。同时也可能与更有野心的活动在美国,该组织似乎专注于间谍活动,重点是越南等东南亚国家。
另一个常见的历史Goblin Panda操作是使用DLL搜索命令劫持。由多个实体,妖精的熊猫经常使用此技术通过初始的、签名的可执行文件执行具有一定信任程度的恶意有效负载。虽然具体的F-Secure项目之前没有在Goblin Panda的历史行动中观察到,2014年确定的活动与实体无关,但整体技术作为网络钓鱼的后续是很常见的。
最后,利用旧漏洞和执行路径的奇怪之处(如本次活动中的恶意文档所示)与之前的Goblin Panda操作有关。作为Fortinet研究人员注意到“Goblin Panda”之前利用了超过五年的漏洞作为攻击的一部分,可能是由于预期的受害者环境没有打补丁或转移到更安全的最新软件。
结合对目标的强调——四份被确认的诱饵文件中有两份是越南文,暗示针对越南——这一系列行为似乎与历史上的妖精熊猫倾向有关。目标被确认为官方目标越南政府存在通知,提醒当局注意前面分析中确定的一些文件。
然而,与妖精熊猫建立直接联系仍然存在担忧。首先,Goblin Panda在历史上与使用武器化RTF文件或通过Office文档中的OLE对象丢弃有效载荷有关,而base64编码的Cabinet文件是一种独特的(可以说是更原始的)行为。此外,虽然本报告中分析的文档使用了相当标准的注册表“运行”键持久性机制,但Goblin Panda以前使用了不太常见的路径,例如将启动文件夹武器化.最后,目前还没有Goblin Panda利用Cobalt Strike作为入侵后工具的例子。
总的来说,已确定的活动包含一些与先前已确定的行为和目标有关的地精熊猫重叠。然而,其他项目似乎是妖精熊猫活动的倒退,与这群人的行动明显不同。根据现有的证据,虽然这次活动与历史上的“妖精熊猫”活动之间可能存在某种联系,但目前的网络钓鱼活动似乎与该组织没有高度关联。
结论
在大流行期间,以COVID-19为主题的网络钓鱼和恶意文件几乎肯定仍将是威胁格局的一个特征。在这种特定情况下,COVID-19诱饵以及其他使用医疗主题的物品似乎与2020年底至2021年初针对越南实体的入侵活动有关。虽然所讨论的活动可能与地精熊猫的行为有关,但目前没有足够的证据能确定这种联系。
总的来说,辩护者和分析人士必须继续对利用当前事件主题和类似机制的机会主义活动保持警惕。此外,在该活动中使用Cobalt Strike凸显了一个持续的趋势,即各种对手——从犯罪分子到国家支持的实体——将入侵后的操作迁移到这个平台上。最后,虽然本次活动中使用的网络基础设施无法识别额外的、相连的基础设施,但通过观察时的域名丰富对此类项目进行分析和检查,可以识别注册商中的可疑指标和其他特征,从而能够更快地发现和响应。