【高级持续威胁追踪（APT）】WarSunflower（战争葵花）组织针对CIS国家及中亚地区的最新攻击行动分析

在2022及2023年期间，深信服蓝军高级威胁（APT）团队监测到某未知组织针对东欧及中东、中亚部分国家的攻击行动并进行了披露（由于其使用了LodaRAT，前期披露文章将其与Kasablanka进行关联，通过更深度的判断分析确认其为新组织），内部追踪编号为S-ESP-CA-0049，该组织最早攻击行动可追溯到2022年3月份，该时间接近俄乌战争开始时间（2022年2月），并结合其攻击目标分析，可初步判断该组织是由于俄乌战争而催生出的网络间谍组织。该组织主要活跃于东欧及中亚地区，将其命名为WarSunflower（战争葵花）以代表其产生来源于俄乌战争，外部友商将该组织命名为“APT-LY-1006”、“YoroTrooper”，下图为该组织的相关钓鱼攻击行动时间线。

除了通过钓鱼窃取邮箱凭证外，该组织还投递多种木马对目标进行攻击（主要投递的载荷为vhdx文件，并且vhdx里包含后门组件或LNK文件下载器及诱饵文件等），下图为本次攻击事件相关的基础设施以及后门组件。

在本次攻击活动中，我们观察到其使用的下载器dropper.exe，其详细信息如下表。

该组件会构建windows计划任务命令，创建恶意计划任务“WRMan”。

下载第二阶段载荷“http://142.93.163.193/wrarm.exe”并写入“%appdata%\Microsoft\Vault\wr_manager.exe”。

其下载的载荷wrarm.exe详细信息如下表，其伪装成Winrar组件以迷惑受害者，该组件主要功能为窃密。

由于该组件与C2通信时总是将封装的信息以json格式传输，其中的json字段分别为“n”、“s”、“t”、“b64”，所以将该组件命名为nstb64filestealer。并且发现本组件的C2通信地址为“51.222.145.1”。

其上线流量数据如下图，其中的n字段为sessionid（以上线时间字符串数据作为sessionid），t字段为计算机名称，s字段为上线时间，b64字段为通信编码数据。

该nstb64filestealer组件由Pascal语言开发，其字符串信息进行了简单的移位加密（本组件中其对字符串数据每个字节加3进行加密移位）。

该组件功能主要为窃取目标机器上的文件，其会创建恶意目录文件“%appdata%MicrosoftOneDrivebackup”目录用于存放窃取的数据以及日志数据并删除dopper创建的计划任务WRman，其还会检测是否需要添加注册表自启动项。

其窃取的相关文件后缀包括（“.docx”、“.doc”、“.xls”、“.xlsx”、“.zip”、“.rar”、“.pdf”）等文件。

通过关联，找到2022年9月份攻攻击者使用的相同下载器“tezis_AZE_3448.exe”，该文件从阿塞拜疆（国家代码-AZ）上传。

该文件的主要信息如下表。

该下载器同样创建恶意计划任务“AppFrame”执行恶意文件“%appdata%MicrosoftSpellinggccFrame.exe”。

从“http://188.34.130.41/harv.exe”下载第二阶段载荷，其下载的harv.exe载荷同样为nstb64Filestealer窃密组件。

除了上述的nstb64filestealer窃密组件外，还发现该组织使用的另一种窃密组件，结合其PDB路径及编译环境将其命名为YocargoFilestealer，该组件详细信息如下表

该文件使用rust编写以增强其反分析能力，其主要代码模块路径如下表

其主要连接C2地址为“179.60.150.121:443”，该组件主要窃取的文档后缀名称包括（“docx”、“doc”、“pdf”、“txt”）。

其复制自身到“%appdata% svchosta.exe”，并创建注册表自启动项。

接着该窃密组件遍历系统文件，寻找对应后缀文件并将其路径写入“%appdata%temp_id.txt”文件，将对应文件拷贝到目录“%appdata%transport”。

另外在关联分析中发现该组织还使用bat下载其他载荷“hxxp://46.151.25.129/leondra.bat”,下图为leondra.bat脚本内容，其下载其他载荷并取消windefender防御，创建计划任务“MyTask2”执行载荷。

其下载的载荷信息如下，“14.03.2022.exe”，该远控由python开发及Nuitka打包以加强反分析能力，其相关信息如下表（该文件在win7无执行崩溃），后确认其为开源项目https://github.com/FallenAstaroth/stink，将其命名为StinkStealer。

创建环境变量“NUITKA_ONEFILE_PARENT”（对应值母进程PID），启动加载文件。

通过分析确认其使用了开源项目https://github.com/FallenAstaroth/stink进行窃密，该窃密组件会窃取主机的基本信息、进程名以及当前屏幕截图并保存至“%appdata%stinkSystem”目录并进行压缩到“用户名-st.zip”文件。

通过telebot的api，获取到其telebot账号信息如下，其用户名为“astara991bot”。

溯源归因-攻击动机：

通过分析该组织的攻击目标以及行业，通过分析目前发现的所有攻击事件中，可确认该组织曾攻击过俄罗斯、白俄罗斯、阿塞拜疆、土库曼斯坦、乌兹别克斯坦、吉尔吉斯坦、塔吉克斯坦、哈萨克斯坦、阿富汗、保加利亚及印度等国家，该组织主要攻击对象为CIS国家以及欧洲部分行业的政府外交部门、航空数据等，主要目的为窃取对应目标的相关数据，由此可判定该组织主要动机为网络间谍窃密。

溯源归因-活跃时区：

该部分基于发现的基础设施、窃密、后门文件的构建时间对该组织所在时区进行基础归因，在UTC+0的基准上，相关构建时间图如下，初步可判断该组织活跃于UTC+2至UTC+4地区，并且该地区与该组织攻击目标地区相吻合。

地缘政治以及战争是催生网络间谍组织的最强以及最快力量，该组织可基本确定诞生于俄乌战争，目的为收集CIS国家的相关政府情报。并且通过分析该组织的各种组件，该组织擅长对开源项目进行改造利用，并未发现技术能力较高的自研组件，且其主要打点方式为鱼叉攻击，暂时未发现较高水平的打点方式，可初步判定该组织的技术水平属于中低水平组织。通过分析其攻击目标地域、行业信息以及活跃时区以及语言习惯等，可初步判定该组织活跃在UTC+2至UTC+4区域，该地域属于东欧及中亚地区。

深信服蓝军高级威胁（APT）团队专注全球高级威胁事件的跟踪与分析，拥有一套完善的自动化分析溯源系统以及外部威胁监控系统，能够快速精准的对APT组织使用的攻击样本进行自动化分析和关联，同时积累并完善了几十个APT以及网络犯罪威胁组织的详细画像，成功帮助客户应急响应处置过多起APT及网络犯罪威胁组织攻击事件，未来随着安全对抗的不断升级，威胁组织会研究和使用更多新型的TTP，深信服高级威胁团队会持续监控，并对全球发现的新型安全事件进行深入分析与研究。

1、 https://www.securesoftcorp.com/es/web/guest/w/novedades/ss_alerta070

2、 https://mp.weixin.qq.com/s/b0FSKQ6D3MvlA8yX3v4IUg

3、https://www.zscaler.com/blogs/security-research/dynamic-approaches-seen-avemarias-distribution-strategy

4、https://blog.talosintelligence.com/yorotrooper-espionage-campaign-cis-turkey-europe/

5、https://mp.weixin.qq.com/s/5e_FTpMsciVFouWpigV7Gw