近日,亚信安全威胁情报中心在日常APT狩猎行动中发现疑似有组织冒充APT29利用Msf发起攻击。亚信安全威胁情报中心基于已积累的情报信息以及网络公开情报信息等开展甄别研判,通过对该攻击事件的详细情况、组织关联归因等进行了深度复盘分析,还原该攻击事件的真实面貌。
1
基本信息
APT29又名Cozy Bear,是一个主要从事信息窃取和间谍活动的APT组织。2023年4月13日,波兰军事反情报局发布了APT29攻击武器Halfrig、Quarterrig和Snowyamber的分析报告,这三个攻击武器都被用来加载CobaltStrike Https Beacon。亚信安全威胁情报中心安全分析人员发现了一个新恶意文件Version.dll,该样本使用到的密钥与APT29在历史攻击事件中的密钥保持一致,通过Msf生成的Shellcode进行通信。
2
事件详情
调用流程分析
Version.dll:旁加载DLL的代理DLL;
Vresion.dll:由Microsoft进行数字签名;
OneDrive.Update:将shellcode注入RuntimeBroker.exe的内存;
内存中的代码作为RuntimeBroker.exe进程空间中的Windows线程执行,并与IP 192.168.127[.]145进行通信。
【流程图】
详细信息
此次捕获到的样本中Version.dll带有Microsoft的数字签名。
Dllmain中创建了线程,在线程回调中执行恶意代码,恶意行为如下:
1、枚举所有进程并找到Runtimebroker.exe的进程 ID。
2、从当前工作目录中读取有效负载文件 OneDrive.Update。
3、使用XOR加密算法解密有效负载文件,密钥为28字节:jikoewarfkmzsdlhfnuiwaejrpaw
创建可在进程之间共享的内存块,在Runtimebroker.exe和Version.dll共享内存。
遍历进程快照,获取RuntimeBroker.exe的PID:
注入PID为6816的进程(实为RuntimeBroker.exe进程PID)中
Shellcode解密前的OneDrive.Update:
Shellcode在内存中解密:
解密后的Shellcode:
结合Shellcode的大小、Shellcode头、ip明文等特点,符合Msfvenom的特征,且是内网ip。
3
狩猎过程
通过研判发现同时上传了Version.dll、OneDrive.Update和Vresion.dll,与之前攻击利用链相同:
旁加载Vresion.dll的代理Version.dll:
4
总结
APT29在不同攻击目标间频繁实施武器和服务器配置的复用。举例来说,2018年该组织曾用WellMess攻击日本,4年后,他们再次利用WellMess对中国实施窃密行动。在2022年,APT29采用了密钥“jikoewarfkmzsdlhfnuiwaejrpaw”解密Shellcode,随后的Shellcode含有Brc4相关的恶意负载。最新发现的样本中,沿用与APT29相同密钥解密Shellcode,后续的Shellcode则包含Msf相关的恶意负载。
5
相关IOC
C:Users33cu7DesktoponedriveOneDriveUpdaterSideloadingversionx64Debugversion.pdb
39ad0b4b7e9877acc3c142862f3d3617
192.168.127[.]145
6
参考文献
https://unit42.paloaltonetworks.com/brute-ratel-c4-tool/
了解亚信安全,请点击“阅读原文”
原文始发于微信公众号(亚信安全):竟敢冒充国家级黑客组织!亚信安全还原攻击事件真实面貌
