介绍
2021 年 7 月,一项主要针对俄罗斯政府机构和工业企业的攻击活动启动。攻击活动开始后不久,我们就开始对其进行跟踪,并于 2024 年 8 月和 9 月通过我们的威胁研究订阅发布了三份报告,报告的威胁行为者被我们命名为 Awaken Likho(其他供应商也将其命名为 Core Werewolf)。
在调查该 APT 组织活动时,我们发现了一项新的攻击活动,该活动始于 2024 年 6 月,至少持续到 8 月。对该活动的分析表明,攻击者已显著改变了他们在攻击中使用的软件。攻击者现在更喜欢使用合法 MeshCentral 平台的代理,而不是他们之前用来远程访问系统的 UltraVNC 模块。该组织仍然专注于针对俄罗斯政府组织和企业。
技术细节
在调查过程中,我们使用 Yara 规则确定了该组织武器库中以前从未见过的新植入物。根据我们的遥测数据,我们得出结论,植入物是通过恶意 URL 传送到受害者设备的,该 URL 可能是通过网络钓鱼电子邮件获得的。Awaken Likho 运营商通常使用搜索引擎收集尽可能多的有关受害者的信息,并准备令人信服的消息。我们无法获得用于分发此植入物的原始网络钓鱼电子邮件,但之前活动中的电子邮件附件包括自解压档案 (SFX) 和指向恶意模块的链接。此外,之前的攻击使用 Golang 投放器来传播恶意软件 – 我们在当前活动中没有发现这方面的证据。然而,我们分析的植入物的主要区别在于一种获取和保持对受感染机器控制的新方法。几年来,我们观察到使用 UltraVNC 模块来远程访问系统,但在这次活动中,攻击者使用了 MeshCentral 系统的代理 MeshAgent。根据MeshCentral官方网站的说法,这是一个具有广泛功能的开源远程设备管理解决方案。
我们在 2024 年 9 月发现了这种新型植入物,我们的遥测表明攻击者在 2024 年 8 月开始使用该软件。现在,让我们详细分析一下这种植入物。
| MD5 | 603eead3a4dd56a796ea26b1e507a1a3 |
| SHA1 | 56d6ef744adbc484b15697b320fd69c5c0264f89 |
| SHA256 | 7491991dd42dabb123b46e33850a89bed0a2790f892d16a592e787d3fee8c0d5 |
| 构建日期和时间 | 2012 年 12 月 31 日星期一 03:38:51(这与实际植入物制造日期不符) |
| 编译器 | MSVC/C++,打包程序:UPX(3.07),[LZMA] |
| 文件大小 | 1 887 698 字节 |
| 文件类型 | PE32 可执行文件 (GUI) Intel 80386,适用于 MS Windows,UPX 压缩,3 个部分 |
解压档案
与之前的攻击活动一样,植入程序使用 UPX 进行打包,并分发到使用 7-Zip 创建的自解压存档 (SFX) 中,如其元数据所示。要继续分析,我们必须对其进行解压。
植入元数据
该档案包含五个文件,其中四个伪装成合法的系统服务和命令文件。
植入物档案内容
剩下的 CMD 文件(上图的最后一个)有一个非描述性的随机生成名称。在我们之前分析的植入程序中,大多数文件都以这种方式命名。此外,一些文件不包含任何有效负载,只是为了误导用户而添加到存档中。我们将分析存档中的所有文件,但首先,让我们以“#”模式打开它。这是 7-Zip 中一种特殊的解析器模式,用于分析文件以收集有关存档的其他信息,包括安装脚本。
从归档器上下文菜单以“#”模式打开归档
以“#”模式打开的档案内容
为了确定植入物如何在系统中存活,我们从档案中提取了名为“2”的安装脚本。
SFX 存档安装脚本
从脚本代码可以看出,SFX 模块将存档的所有组件提取到临时目录中,并 在没有参数的情况下运行MicrosoftStores .exe 。
AutoIt 脚本
攻击的下一步是执行 MicrosoftStores.exe 。此样本也使用UPX进行加壳。
| MD5 | deae4a955e1c38aae41bec5e5098f96f |
| SHA1 | a45d8d99b6bc53fa392a9dc374c4153a62a11e2a |
| SHA256 | f11423a3c0f3f30d718b45f2dcab394cb8bdcd473c47a56544e706b9780f1495 |
| 构建日期和时间 | 2011 年 12 月 23 日星期五 13:59:31(这与攻击时间不符) |
| 编译器 | MSVC/C++,打包程序:UPX(3.08),[NRV] |
| 文件大小 | 584 839 байт |
| 文件类型 | PE32 可执行文件 (GUI) Intel 80386,适用于 MS Windows,UPX 压缩,3 个部分 |
| 已知文件名 | 微软商店 |
解压文件后,我们发现它包含一个带有解释器的已编译 AutoIt 脚本 – 文件代码中以 AU3 !开头的片段表明了这一点。此脚本的存在解释了为什么文件在提取后无需参数即可执行。
我们设法提取了反编译的、经过混淆的 AutoIt 脚本。
提取 AutoIt 脚本
| MD5 | 892c55202ce3beb1c82183c1ad81c7a0 |
| SHA1 | 976b5bc7aafc32450f0b59126f50855074805f28 |
| SHA256 | f3421e5392e3fce07476b3c34153a7db0f6c8f873bd8887373f7821bd0281dcc |
| 解释器 | 自动识别 |
| 文件大小 | 624 字节 |
| 文件类型 | 文件实用程序:ASCII 文本,带有 CRLF 行终止符 |
手动反混淆之后,我们可以确定该脚本的用途:它使用指定的参数启动 NetworkDrivers .exe和 nKka9a82kjn8KJHA9 .cmd ,以确保在系统中持久存在。
反混淆后的 AutoIt 脚本内容
有效载荷
网络驱动程序
接下来,我们检查脚本启动的第一个可执行 文件NetworkDrivers.exe 。
| MD5 | 63302bc6c9aebe8f0cdafdd2ecc2198a |
| SHA1 | f4e2c56e1e5e73aa356a68da0ae986103c9a7bad |
| SHA256 | 37895c19d608aba8223e7aa289267faea735c8ee13676780a1a0247ad371b9b8 |
| 构建日期和时间 | 2022 年 12 月 9 日 星期五 23:13:19 |
| 编译器 | 微软VC/C++ |
| 文件大小 | 3 843 579 字节 |
| 文件类型 | PE32 可执行文件(控制台)Intel 80386,适用于 MS Windows,6 个部分 |
| 已知文件名 | 网络驱动程序 |
我们的产品检测到此样本后,判定为非病毒:HEUR:RemoteAdmin.Win32.MeshAgent.gen。事实上,这是 MeshAgent,是合法 MeshCentral 平台的代理,攻击者开始使用它来代替 UltraVNC。
nKka9a82kjn8KJHA9.cmd
然后,AutoIt 脚本 使用指定的参数启动命令文件nKka9a82kjn8KJHA9 .cmd 。
| MD5 | 912ebcf7da25c56e0a2bd0dfb0c9adff |
| SHA1 | a76601fc29c523a3039ed9e7a1fc679b963db617 |
| SHA256 | c31faf696c44e6b1aeab4624e5330dc748633e2d8a25d624fc66fed384797f69 |
| 构建日期和时间 | 2024 年 6 月 8 日上午 11:08 |
| 解释器 | 命令执行程序 |
| 文件大小 | 1 158 708 字节 |
| 文件类型 | DOS 批处理文件,ASCII 文本,行数非常长(1076) |
| 已知文件名 | nKka9a82kjn8KJHA9.cmd |
值得注意的是,这个脚本的大小异常大——超过 1 MB。原因很简单:它被严重混淆了。
nKka9a82kjn8KJHA9.cmd 的部分混淆内容
尽管代码量很大,但混淆技术却非常简单:攻击者使用大量填充文本块。在脚本执行期间,解释器使用带有 GOTO命令的标签跳过无意义的文本。
我们能够轻松地对这个文件进行反混淆。
手动反混淆后的 nKka9a82kjn8KJHA9.cmd
该命令文件的目的是创建一个名为 MicrosoftEdgeUpdateTaskMachineMS的计划任务。此任务从解压的存档中运行 EdgeBrowser.cmd并删除与恶意活动相关的某些文件,例如第一阶段可执行 文件MicrosoftStores.exe 。这使得检测到攻击者变得更加困难。
边缘浏览器
上一阶段的命令文件创建一个任务来运行 EdgeBrowser . cmd脚本。
| MD5 | c495321edebe32ce6731f7382e474a0e |
| SHA1 | bcd91cad490d0555853f289f084033062fa1ffaa |
| SHA256 | 82415a52885b2731214ebd5b33ceef379208478baeb2a09bc985c9ce8c62e003 |
| 构建日期和时间 | 2024 年 1 月 8 日上午 9:49 |
| 解释器 | 命令执行程序 |
| 文件大小 | 402 字节 |
| 文件类型 | DOS 批处理文件,ASCII 文本,带有 CRLF 行终止符 |
| 已知文件名 | EdgeBrowser.cmd |
EdgeBrowser.cmd
该脚本使用 PowerShell 启动 NetworkDrivers .exe (MeshAgent代理)与 C2 服务器进行交互。
这些操作使 APT 能够在系统中持续存在:攻击者创建一个运行命令文件的计划任务,然后启动 MeshAgent 与 MeshCentral 服务器建立连接。
网络驱动程序
档案中还有另一个名为 NetworkDrivers.msh的文件。这是MeshAgent的配置文件。我们还在NetworkDrivers.exe的代码中找到了它的内容 。
MeshAgent 配置文件内容
该文件指定了代理与 MeshCentral 服务器建立连接的参数:MeshName、MeshID、ServerID 以及 C2 地址,通过 WebSocket 协议进行连接。通过 HTTPS 打开此地址时,会出现以下窗口——MeshCentral 平台的登录表单。
MeshCentral平台登录界面
这证实了攻击者使用合法的 MeshCentral 系统与 C2 服务器进行交互。
受害者
此次攻击的主要受害者是俄罗斯政府机构、其承包商和工业企业。
归因
根据所使用的 TTP 和有关受害者的信息,我们高度确信威胁行为者是 APT 组织 Awaken Likho。
总结
Awaken Likho 是俄乌冲突爆发后活动加剧的威胁行为者之一。最近,该组织的方法发生了重大变化;例如,他们开始使用 MeshCentral 而不是 UltraVNC。APT 仍然活跃——我们看到了 2024 年 8 月的新植入物。值得注意的是,本文分析的植入物不包含我们在以前的样本中观察到的无有效载荷文件。显然,这是一个新版本的恶意软件,仍在开发中。我们相信我们将看到来自 Awaken Likho 运营商的新攻击。我们确信该组织继续成功渗透他们选定的目标的基础设施。
此类攻击再次强调了全面解决方案的重要性,以确保持续保护公司资源,尤其是在面临不断演变的威胁时。
IOC
603eead3a4dd56a796ea26b1e507a1a3
deae4a955e1c38aae41bec5e5098f96f
892c55202ce3beb1c82183c1ad81c7a0
63302bc6c9aebe8f0cdafdd2ecc2198a
912ebcf7da25c56e0a2bd0dfb0c9adff
c495321edebe32ce6731f7382e474a0e
域名
kwazindernuren[.]com
IP地址
38.180.101[.]12
恶意任务名称
MicrosoftEdgeUpdateTaskMachineMS
感谢您抽出
.
.
来阅读本文
点它,分享点赞在看都在这里
原文始发于微信公众号(Ots安全):觉醒 Likho 已苏醒:APT 组织的新技术
