背景
2020年11月,在与来自黑莲花实验室在流明, DomainTools研究人员披露了一个正在进行的活动与行业报告中称为“云阿特拉斯或"《盗梦空间》“云图是一个有趣的实体,因为它与多个冲突地区和国家部门的企图入侵有关,但从未与任何已知对手或甚至一般战略利益有决定性联系。
自2020年底发布以来,DomainTools研究人员继续通过基础设施创建和识别恶意软件样本跟踪云图相关活动。虽然该组织的一般行为和特征保持相对稳定,但DomainTools的研究人员发现,除了该组织通常关注的欧洲国家和前苏联部分地区,该组织可能会在目标地区扩张。
识别新的基础设施
在DomainTools对云图活动的原始分析中,出现了一个清晰的模式,用于创建与该组织恶意文档链接的第二阶段有效载荷。DomainTools特别注意到以下几点:
- 使用一致的域名命名“主题”,如包括术语“office”、“update”或“ms”,后者可能是为了欺骗与微软相关的项目。
- 依赖于几个基于欧洲的托管提供商,如Hostkey和OVH。
- 注册详细信息、名称服务器使用和邮件交换(MX) DNS记录中的各种一致性。
根据上述观察,DomainTools以不同的置信度确定了18个与云图相关的域,其中包括7个以前没有与该组相关的域:
| 域 | 创建日期 | IP地址 | 托管提供商 | 举办地点 | 信心 |
|---|---|---|---|---|---|
| ms-template。com | 19 - 2月- 2021 | 139.60.161 [] 52 | Hostkey | 我们 | 高 |
| 全球政策。org | 19 - 2月- 2021 | N/A | N/A | N/A | 媒介 |
| eurasia-research。org | 2月18 - - 2021 | N/A | N/A | N/A | 媒介 |
| newmsoffice。com | 2021年- 2月15日 | 234年51.38.162(。) | OVH | FR | 高 |
| ms-update。org | 8 - 2月- 2021 | 137年79.143.87(。) | 九头蛇通信 | 红外 | 高 |
| wordupdate。org | 21 - 12月- 2020 | 5.39.221。48 | Hostkey | 问 | 媒介 |
| ms-officeupdate。com | 18 - 12月- 2020 | 90年146.0.77(。) | Hostkey | 问 | 高 |
| msofficeupdate。com | 10 - 11月- 2020 | 185.25.51。24 | 信息系统与技术 | LT | 高 |
| msofficeupdate。org | 20 - 8月- 2020 | 236年46.30.188(。) | Quadranet | 问 | 高 |
| msupdatecheck。com | 10 - 7 - 2020 | 150年167.114.44(。) | OVH | CA | 媒介 |
| newupdate。org | 4 - 6月- 2020 | 141年46.183.221(。) | DataClub | 热晕 | 低 |
| upgrade-office。org | 7 - 4月- 2020 | 239年66.248.206(。) | Hostkey | 问 | 高 |
| upgrade-office。com | 18 - 3月- 2020 | 205年158.69.30(。) | OVH | CA | 高 |
| update-office。com | 3 - 3月- 2020 | 192.52.166。12 | Quadranet | 我们 | 媒介 |
| officeupgrade。org | 29日- 11月- 2019 | 198.24.134。13 | 安全服务器有限公司 | 我们 | 高 |
| template-new。com | 27日- 8月- 2019 | 66.70.218。38 | OVH | CA | 高 |
| ms-check-new-update。com | 8 - 7 - 2019 | 87.121.98。51 | Tamatiya | BG | 高 |
| newoffice-template。com | 12 - 6月- 2019 | 193年147.135.170(。) | OVH | FR | 高 |
除了一致使用“office”和“upgrade”主题外,DomainTools还确定了两个在注册和托管特征方面相关联的项目,包括新的命名约定:
全球政策。orgeurasia-research。org
虽然与该集团的典型命名主题明显不同,但这些项目与云图对政治和国际关系主题的关注重叠,下面将详细探讨。使用DomainTools Iris可视化映射,即使活动跨度将近两年,这些项目之间的联系和重叠也变得清晰起来。请注意,在一些较老的域名的情况下,当这些项目被重新注册时,注册详细信息与这些项目在云图相关活动中积极使用时已经发生了变化,导致三个明显的“异常值”,在以前的注册详细信息下将密切相关。
识别出这些项目后,DomainTools研究人员搜索了与上述域和相关基础设施相关的任何文档或恶意软件样本。
从基础设施转向样本
DomainTools研究人员从前一节中确定的域列表中确定了多个与云图活动相关的新样本。以下列表包括以前识别的样本以及七个新识别的恶意文档,以及相关的C2基础设施:
| MD5 | SHA256 | 文件名称 | 第一次见过 | C2的基础设施 | 提交的 |
|---|---|---|---|---|---|
| 129年ca14849f2b9e1171d241997318ab3 | 4011年b1fff8c088fcb4ac4a05a5a156912162293bbda8147597a41e09725b3ebf | ЛичныеданныеАлмаз. doc | 2021年2月23日 | newmsoffice。com | 通过 |
| 601年c6f7640ea94ee4335299152be36d6 | 439032 cbee22ae75cce7e2340ca7ffe521dce3e18702ccd703cc5849dbf8954b | 概念文件草案EEC 2021年3月10日 | 2021年2月23日 | newmsoffice。com | FR |
| 1 ca8b287ea91be2f3d9bb5ad6f27cf34 | 668236000 a483b1735b7f8e244ae867804ee20fbd18e07860d1764a30e3ba60d | - 0 - covid - 19. - doc | 2021年2月22日 | 185年217.182.9(。) | 西文 |
| 114年cee0e385240c784521641ef5476e7 | 46 c203cf15a4126f10b3933376215063fe385aba3be971d63fc4e7be34aaf171 | Таможенное didn ' t е ии ование едп и тии и.doc | 2021年2月18日 | ms-update。org | 通过 |
| 0 d5df6bb2b1eee5cc497d6510ba1bc8a | 4 eb0f1b0c04fc7e845e2ad7c3c84866f3a07586ccbe5ecad6f69d972e8ccac98 | EUISS反射纸- CSDP.doc | 2021年2月18日 | ms-update。org | FR |
| 89年c625189174b28564b67b92c3a3e55c | 94年d467e169ed52ff4df5aa7321412a797293f24b00e58985a41ca5968cf4b047 | Методикапрофкультуры_госорганы. doc | 2021年2月18日 | ms-update。org | UA |
| 64481 a824b077854a870dcb8c56bc010 | 21 ff553d752df93e10e45d0393eb097d5231346737e786ab8ad41324c299342a | N/A | 2021年2月9日 | ms-officeupdate。com | 俄文 |
| ded1d4636a2ad6ade4665908f8702e65 | 07655 ebfac8b7e5b2f1c2e661f6a7c16f3ac97df137d96f4c01e0f225918a149 | 基地组织的外部行动,博士 | 2021年2月1日 | 155年51.89.50(。) | 千瓦 |
| b6ab958a703e5977f1334e8c6ab86377 | e83f79a6442bc7796d9b6e088d144f1c842f0a4716732c30a4edfa37e227586b | ЕАЭС инте е р ра а | 12月22日 | msofficeupdate。com | 是乌斯 |
| 03382 feadb1044abc5d469dccc1590c3 | ceb060e6a169ba18e6b204ce9aafc7880fceee9aafcfe50cc75d24f0b09705ef | Информационноеписьмо! . doc | 12月04日 | msofficeupdate。com | UA |
| e744dfa3e039d375eda47c7103dff003 | d8f13e6945b6a335382d14a00e35bfefadbdfb625562e1120e5ed0b545f63e11 | at00001 - копи .doc | 2020年11月9日 | template-new。com | N/A |
| ab7a77f8a44cc70c6955c2bd099707fe | 348年b25023c45ed7b777fa6f6f635cb587b8ffbf100bfa6761d35610bba525a11 | Минтрудгосслужба. doc | 2020年11月3日 | msofficeupdate。org | UA |
| a2f00c5cbd026331053ae1abad0dc85d | 93279005 aa4c8eddf01020b31bc2b401fe1366cbcc9bb2032ffaeb2984afcd79 | Минтруд госслужба 1.doc | 2020年11月3日 | msofficeupdate。org | UA |
| e963cc1caddfd957d9f7ec78de715de2 | e5a4957d0078d0bb679cf3300e15b09795167fdcfa70bbeab6de1387cd3f75bf | 战略防御与安全审查(2021 SDSR).doc | 2020年10月31日 | msofficeupdate。org | 如果 |
| bab23837dfc20743338f8d95b3f1e3b9 | 7 a1effd3cfeecdba57904417c6eeaa7a74d60a761138885b338e8dc17f2c3fbc | СправочникАП_26.10.2020_.doc | 10月29日 | msofficeupdate。org | UA |
| e00af9b6303460666ae1b4bdeb9503ba | 7 c495c21c628d37ba2298e4a789ff677867521be27ec14d2cd9e9bf55160518f | 纳戈尔诺-卡拉巴赫的库尔德工人党武装分子 | 10月12日 | msofficeupdate。org | 阿兹 |
| 22542 d90a4c82005fe70f4b58a815db3 | 0 b116f5b93046c3ce3588bb2453ddbb907d990c2053827600375d8fd84d05d8b | НовыепоправкикГоспрограммепереселениявРФ(вст。в силу 01.07.2020).doc | 9月16日2020 | upgrade-office。com | UA |
| 4 ecf8aeed764d7b4da0c8d2abb618760 | 79年c0097e9def5cc0f013ba64c0fd195dae57b04fe3146908a4eb5e4e6792ba24 | N/A | 9月16日2020 | newoffice-template。com | GB |
| b2d173f1eaedf22f6309172882ea68da | 68年bde4ec00c62ffa51cef3664c5678f1f4985eb6054f77a5190b4d62bd910538 | xyz.doc | 9月13日2020 | msofficeupdate。org | TR |
| 965年e187680297f9e782bdaaca96495c7 | 1 f117d5f398e599887ec92a3f8982751ceb83f2adb85d87a2c232906104e8772 | c . Bayramov.doc | 2020年7月25日 | upgrade-office。org | 阿兹 |
| 3883年e47d8626b12667eab3656a2eeed4 | 4 ad0e64e8ebed1d15fac85cd7439bb345824f03d8b3c6866e669c24a42901daa | 导致346人死亡的丑闻 | 2020年5月29日 | upgrade-office。com | 阿兹 |
| 9661464 bae94391b23f0b01f563e27e7 | c630aa8ebd1d989af197a80b4208a9fd981cf40fa89e429010ada56baa8cf09d | Планируемые расходы 2020(1).doc | 12月28日 | officeupgrade。org | UA |
| c037ee4d91b62627665fa9df82c641ab | 7 ba76b2311736dbcd4f2817c40dae78f223366f2404571cd16d6676c7a640d70 | ФадеевМ1.文档 | 2019年12月18日 | officeupgrade。org | UA |
| 2 bf501cf34f19b9243528bd35e90df6b | 89503 c73eadc918bb6f05c023d5bf777fb2a0de1e0448f13ab1003e6d3b71fef | О п О ст та - ке з зенит т с акетн систем С-400.doc | 12月11日 | officeupgrade。org | 阿兹 |
除了指向已识别的基础结构的链接外,所有文档都具有文档中的相同模板字符串DomainTools之前的报告:
作为之前由卡巴斯基的研究人员记录,这些文档试图通过PowerShell或VBScript检索并执行外部有效负载,以便后续执行。虽然大多数确定的示例继续通过HTTPS利用远程模板检索,但一些示例还包括直接到IP地址的服务器消息块(SMB)引用(下面将更详细地讨论)。根据以前的研究,来自文档的初始有效负载可以是进一步传播感染的恶意脚本对象,也可以是设计用于进一步确认受害者身份,消除法医痕迹.
复杂的分析,正如其他研究人员对过去与云图相关的活动所指出的那样,第二阶段的链接和资源通常是“封闭的”。资源只能从指定的位置检索,可能是通过IP地址allow-listing。因此,DomainTools无法直接从上述文档中检索任何后续活动的示例。
可能的PowerShell第二阶段框架
在研究上述项目时,DomainTools研究人员,与研究员Florian罗斯,发现了一个PowerShell脚本,其中包括对链接到云图注册活动的一个域的引用:
名字:rr3。ps1 MD5: 95885b0306642d71f295faa22b1831c0 SHA256: ca2a5c131af2ffb14bea01d458e149e8ad4a6e9c51af8ada6a1aec9d89a8cce4
该脚本试图从以下位置检索资源:
hXXp: / / ms-check-new-update com/deeplyset/Framonts/sheintsis/calycophorae/beshackled/parcleanup/cheilitiss26/p。
虽然表面上类似于恶意文档基于http的通信,但有显著的区别:
- 文档模板通信通过HTTPS使用加密通信,域与Sectigo SSL/TLS证书相关联,而脚本通过未加密的HTTP通信。
- 当PowerShell请求解析带有“/”的完整URI时,来自文档的HTTPS信标由单个URI参数组成,其中各个“单词”由数字分隔。
通过查看恶意文档中的信标示例,可以看出其中的差异:
hXXps: / / ms-update org/tanked7inevitable3tricorn8suppuration9t。
尽管域创建和注册工件显示了PowerShell脚本中使用的域与恶意文档文件中使用的域之间的相似性,但使用上的差异使得DomainTools很难以较高的可信度将已识别的脚本链接到同一活动集群(疑似云图)。
与云图相关的操作以前使用脚本框架作为操作的一部分,用于各种目的,来自卡巴斯基而且帕洛阿尔托.在以前的实例中,与云图相关的脚本执行如下功能:
- 初始受害者系统侦察和系统调查。
- 系统数据和文件收集。
- 数据漏出。
- 反分析和反取证行动。
在这种情况下检索的脚本对象似乎更有限,主要集中在创建持久性机制和逃避分析,同时尝试下载额外的有效负载。根据先前对Cloud atlas相关活动的分析,尽管精确的持久性机制似乎是新的,但这种迭代性质并不出乎意料。
例如,下面通过计划任务建立持久性:
下面提供的脚本部分检查先前对后续有效负载的检索和计划任务的存在(“显示更新”),同时还通过Windows注册表修改系统参数,通过屏幕外的硬编码放置值“隐藏”taskg .exe窗口。
由于taskg .exe将启动一个窗口(即使是暂时的),以上将“隐藏”执行的这一方面。从表面上看,这种技术与另一种技术相似研究人员先前记录过,部署在云图相关的活动中.
最后,脚本包含一个函数来消除与脚本执行相关的临时Internet文件工件:
根据卡巴斯基和帕洛阿尔托之前工作的描述,上面的功能似乎比早期的云地图链接脚本对象更有限。然而,如果没有实际拥有这些脚本进行比较,则无法根据目前可用的信息来确定相似(或差异)的程度。
总的来说,检索到的脚本与其他研究人员记录的行为有许多重叠,并与2018年(帕洛阿尔托)和2019年(卡巴斯基)的云图相关。虽然之前的分析表明,与Cloud Atlas相关的活动将频繁地重用或维护多年的功能,但在公开文档编制两年后出现这个脚本,再加上对以前记录的功能的不精确复制和前面描述的网络通信项,在明确地将该文件链接到Cloud Atlas行为集群时,需要谨慎一些。虽然重叠确实存在,并且相关的网络基础设施与最近记录的云图趋势相关联,但由于上述原因,DomainTools此时以中等可信度将上述与此行为集群关联起来。
对手主题和可能的动机
脚本对象可能(尽管不是绝对)与云图行为相关,但总体主题以及观察到的恶意文档的可能地理定位在很大程度上与之前记录的来自该实体的活动一致。
DomainTools检查了2020年12月至2021年2月期间发现的物品,确定了以下“主题”或诱饵:
- 一份据称来自欧洲联盟安全研究所(EUISS)关于欧盟共同防务问题的报告,可能会在法国出版。
- 未被承认的乌克兰分离地区卢甘斯克人民共和国“劳动和社会政策部”提交的一份文件,来自乌克兰。
- 白俄罗斯“贸易和工业商会”在白俄罗斯确定的海关监管培训课程议程。
- 关于白俄罗斯通过国际原子能协会(原子能机构)发展核能行动计划的新闻简报,该计划首先在俄罗斯确定。
- 一份关于在欧盟内部建立共同天然气市场的文件欧亚经济联盟(欧亚经济联盟),乌兹别克斯坦提出。
- 一份据称属于SPBT Almaz这是白俄罗斯安全部队的特别反恐部队,首次出现在白俄罗斯。
这些项目继续瞄准趋势和吸引主题2020年底观测:
- 主要集中在前苏联的一部分国家,强调能源和政治主题。
- 特别关注乌克兰未被承认的分离地区,如卢甘斯克和顿涅茨克。
- 西欧和北约相关防务利益的额外目标。
根据观察到的活动、诱饵和可能的地理目标,DomainTools高度自信地评估,有问题的活动构成了未指定的间谍活动的一部分。虽然可以进一步推测具体的归因,但没有足够的技术证据允许DomainTools将此活动归因于任何不同的实体或国家。
离群值样本
在归因的问题上,有两个结构相似但在技术行为和目标方面离群的样本。尽管大多数恶意文档使用相同的模板字符串通过HTTPS衍生通信来进行后续有效负载检索,但有两个项目(其中一个有几个具有相同功能和文档内容的变体)反而利用通过SMB的资源通信,例如:
\ \ 185.70.184 [] 32 \ soarnegroidmeanalkydapresowntipslushing。png
\ \ 139.60.161[74年]\ appalcanedentrecentlyconvergenting。png
除了协议上的差异之外,命名约定(一个长文本字符串,没有分隔数字)和文件扩展名(PNG)的使用也与其他示例不同。DomainTools研究人员未能成功检索所引用的PNG对象,因此目前无法进行进一步分析。虽然在这些项目上不可能有域名链接,但引用的IP地址至少符合最近云图集链接活动所使用的托管实践:偏向于主要位于欧洲并在欧洲运营的特定提供商。
撇开技术观察不谈,这些文件的“主题”也有所不同,反映出以下主题:
- 的彭萨科拉枪击事件后来美国当局将其与基地组织联系起来。
- 与前往英国的COVID-19预防措施相关的旅行表格。
虽然COVID-19形式至少似乎起源于欧洲,但彭萨科拉枪击事件的文件首先出现在中东。虽然研究人员以前在中亚发现了与云图有关的活动,但公开的信息中没有提及海湾地区的行动,而海湾地区似乎是这个项目的发源地。
总的来说,这些文档保留了自2019年以来统一所有观察到的项目的模板字符串,但在行为、主题和可能的目标方面似乎有所不同。目前,还没有足够的证据来确定这些项目是否代表了一个与云图紧密联系但操作上独立的组,可以使用类似的工具,还是仅仅是共同交付载体的变体,最终导致相同的有效载荷。
结论
DomainTools研究人员通过持续监控已知的恶意基础设施创建趋势,继续跟踪感兴趣的活动。通过这项工作,DomainTools研究人员确定了与先前与称为云图的实体相关的初始访问活动的分析相关联的持久活动。虽然在过去的六个月里,这个实体的部分操作发生了变化,但总的来说,这个群体在基础设施注册和恶意文档设计方面继续表现出共同的趋势。
通过识别这些与已知威胁行为者相关的基本行为,网络防御人员和威胁情报分析人员可以随着时间的推移跟上对手的步伐。虽然DomainTools预计由于公众监督,该组织的活动最终会发生变化,但该组织操作的所有方面(网络基础设施、恶意文档格式和可能的脚本行为)同时发生变化的可能性相当低。通过结合与此威胁的基本行为相关联的适当监测和跟踪策略,防御者可以确保对该行为者的持续覆盖。