概述
APT组织通常会使用一些不常见的文件类型来承载恶意代码,以提高针对杀毒软件的免杀概率,比如近年来我们监测到被滥用的光盘映像文件(.iso)和虚拟硬盘文件(.vhd)。并且使用这两种格式的文件可以有效的规避MOTW机制(这是一种安全措施,当用户试图打开从互联网下载的文件时,Windows会显示一条警告消息)。早在22年11月我们披露Lazarus组织的攻击活动时,其使用vhdx格式的攻击组件在VirusTotal上查杀率就为0,其效果可见一斑。
在对近期上传的vhdx文件进行梳理时我们发现,在2022年9月至12月,疑似Kasablanka组织一直对俄罗斯进行攻击,其攻击对象包括俄罗斯联邦政府合作署、俄罗斯阿斯特拉罕州对外通信部等,并且部分样本查杀率一直为0。
对捕获的样本进行分析整理,Kasablanka组织通过社会工程学处理后的鱼叉邮件为入口进行攻击,附件为虚拟磁盘映像文件,里面嵌套了包括lnk文件、压缩包、可执行文件等多种下阶段载荷的执行文件。在攻击初期最终执行的是商业木马Warzone RAT,在攻击后期我们观察到执行的木马变成了Loda RAT。
诱饵文件
针对俄罗斯联邦政府独联体事务、海外侨民及国际人道合作署,简称“Россотрудничество”, 中文简称“国合署”的鱼叉邮件攻击。
鱼叉邮件内容翻译如下:
针对俄罗斯阿斯特拉罕州对外通信部的鱼叉邮件攻击。
鱼叉邮件内容翻译如下:
其中鱼叉邮件附件以2022年土耳其共和国相关情况作为诱饵。
以2015年俄罗斯进口替代和移民政策相关文章为诱饵进行攻击。
此外,Kasablanka组织还从俄罗斯联邦政府官方网站发布的第1725号决议中截取第一页作为诱饵。
并且以吉尔吉斯斯坦数字法典草案相关内容为诱饵。
样本分析
所捕获的样本均为虚拟磁盘映像文件(.vhdx后缀),样本诱饵名称与内容均为俄语,且为俄罗斯地区上传。其中部分样本使用lnk文件作为下阶段载荷的下载器。
有的攻击样本则是将诱饵与Warzone RAT打包成压缩包放在虚拟磁盘映像文件中。
又或者没有诱饵文件,直接将lnk文件伪装成文件夹诱导受害者点击。
我们整理了相关的后续载荷下载链接,如下表所示:
链接 |
备注 |
http://179.60.150.118/new.exe |
Warzone RAT |
http://89.22.233.149/ms7.hta |
未知 |
http://193.149.129.151/vmsys |
未知 |
http://45.61.137.32/www.exe |
Warzone RAT |
http://45.61.137.32/svvhost.rar |
Loda RAT |
http://45.61.137.32/Scanned_document.exe |
Loda RAT |
Warzone RAT
Warzone RAT又名AveMaria RAT,是一款纯C/C++开发的商业木马程序,该程序自2018年开始便在网络上以软件订阅的方式公开售卖,适配目前Windows 10以下系统,具备远程桌面、密码窃取、键盘记录、远程命令、权限提升、下载执行等多种远程控制功能。自售卖以来便被多个APT组织使用,已知的便有魔罗桫(Confucius)、蔓灵花(Bitter)、盲眼鹰(APT-Q-98)等组织使用过该商业木马。
此次捕获的Warzone RAT最终与服务器hbfyewtuvfbhsbdjhjwebfy.net(193.188.20.163)建立TCP连接,与服务器通信。
其远程控制指令种类繁多,包含如下功能:
功能号 |
功能 |
0x0 |
获取被控制机器信息 |
0x2 |
获取进程列表信息 |
0x4 |
获取驱动器信息 |
0x6 |
获取目录信息 |
0x8 |
从受害设备的文件夹中检索文件 |
0xA |
删除指定文件 |
0xC |
结束指定进程 |
0xE |
远程shell |
0x10 |
结束指定线程 |
0x12 |
列出受害者的相机设备信息 |
0x14 |
开启摄像机 |
0x16 |
停止摄像机 |
0x18 |
获取活动程序的标题 |
0x1A |
退出并删除自身文件 |
0x1C |
下载文件到被控制端 |
0x20 |
获取浏览器密码 |
0x22 |
从给定的URL下载文件到被控端并执行 |
0x24 |
在线键盘记录 |
0x26 |
离线键盘记录 |
0x28 |
在受害者的设备上安装 HRDP Manager |
0x2A |
启用反向代理 |
0x2C |
停止反向代理 |
0x30 |
启动远程VNC |
0x32 |
关闭远程VNC |
0x38 |
反向代理端口设置 |
0x3A |
执行或打开指定文件 |
0x48 |
注入指定进程 |
0x4A |
遍历获取文件信息 |
0x4C |
多种命令后细分,包括关机、网络测试、退出等 |
Loda RAT
Loda RAT是一款利用AutoIt脚本语言编写的专属恶意软件,最早由Proofpoint 在2016年9月首次在野捕获并披露,‘Loda’这个名称源自恶意软件作者选择写入键盘记录程序日志的目录为Loda,后续由思科发现了Loda RAT的多个变种,包括发现该RAT增加了Android平台的间谍功能。思科在经过一系列调查后认为使用该恶意软件的组织总部位于摩洛哥,并将该组织命名为Kasablanka(摩洛哥最大城市)【1】。
对捕获的样本进行分析,样本使用C#编写,并对其进行了大量的混淆,常见的工具不能对其进行反编译,并且在PE文件末尾添加大量的00数据,使整个文件大小膨胀到741MB。
样本执行后首先在%appdata%目录释放并执行AutoIt打包的Loda RAT。利用奇安信威胁情报中心云沙箱的深度解析功能可以将AutoIt脚本进行还原,分析该脚本便可知该木马的行为与功能。
Loda RAT首先通过wmi检测受害者机器上有哪些杀软。
随后便是一些受害主机信息的收集,包括权限、操作系统版本等。
添加持久化操作,创建%appdata%Windatasvshost.exe,在windows启动目录创建指向svshost.exe的NFOKQN.lnk快捷方式。
上传收集的信息,并截屏。
随后进入远控流程,通过对C2返回的数据进行处理后,再对应在详细的远控指令上,并且其远控指令划分的功能比较细,粗略统计有144个远控指令,由于篇幅的原因,我们就不做详细介绍,大致概述其远控功能。
-
录音
-
上传下载文件
-
执行指定文件
-
关机
-
关闭指定进程
-
窃取用户cookie、密码
-
开启键盘记录器
-
删除键盘记录器数据
-
从指定的URL下载并执行文件
-
获取文件或目录大小
-
通过修改注册表允许RDP连接
-
压缩/解压缩文件
-
复制文件或目录
-
枚举连接的驱动器
-
枚举常用文件夹位置
-
检测 UAC 设置
-
发送鼠标点击(向左或向右是单独的命令)
-
捕获屏幕截图并发送到C2
-
打开/关闭 CD 托盘
-
录像
-
关闭Windows防火墙
-
将正在运行的进程名称发送到 C2
-
退出、卸载
-
创建一个 GUI 聊天窗口将受害者/攻击者对话保存到文件中
此外,在之前版本中,LodaRAT从AutoIt官方网站下载SQLite3.dll,因为需要SQLite3.dll从浏览器数据库中提取敏感信息,但是一直以来内嵌的URL都无法下载,于是在最新的版本中,Kasablanka组织将其直接将其转码为16进制,内嵌在脚本中。
溯源关联
在C2:193.149.129.151中,我们溯源到木马systeml.dll,该木马由C#编写且仅有8.5KB大小,其功能为下载WinScp工具与远程计算机同步文件,并设置计划任务实现持久化,使其成为一个潜在的后门。
而在另一个C2: 179.60.150.118中,我们关联到两个由Pyinstaller打包的文件,两者均为下载器,且核心代码均相同。
经Base64解码后可以清晰看到通过请求179.60.150.118的443端口获取后续来执行,而后续则是Warzone RAT或CS木马。
一直以来,国内外部分安全厂商认为Loda RAT是Kasablanka组织的特有木马,但是由于Loda RAT是由AutoIt脚本编译而来,通过对其反编译即可获得其源代码,因此不能排除其它组织利用反编译后的源代码进行的‘假旗’活动。
而在攻击动机方面,我们认为此次攻击活动目的主要是为了信息收集和间谍活动,考虑到当前的俄乌局势,情报刺探与间谍活动更符合国家级背景黑客组织的攻击目的,因此我们有部分信心将此次攻击活动归属到Kasablanka组织。
总结
在之前的披露Kasablanka组织行动中,其攻击对象包括孟加拉国、南美洲和美国等地,并且其Loda RAT不仅有Windows版本,还有Android版本。现阶段该组织在其攻击活动中常常利用商业RAT进行攻击,这不仅降低了开发成本,也给组织溯源带来了一定难度。
奇安信红雨滴团队在此提醒广大用户,切勿打开社交媒体分享的来历不明的链接,不点击执行未知来源的邮件附件,不运行夸张标题的未知文件,不安装非正规途径来源的APP。做到及时备份重要文件,更新安装补丁。
若需运行,安装来历不明的应用,可先通过奇安信威胁情报文件深度分析平台(https://sandbox.ti.qianxin.com/sandbox/page)进行判别。目前已支持包括Windows、安卓平台在内的多种格式文件深度分析。
目前,基于奇安信威胁情报中心的威胁情报数据的全线产品,包括奇安信威胁情报平台(TIP)、天擎、天眼高级威胁检测系统、奇安信NGSOC、奇安信态势感知等,都已经支持对此类攻击的精确检测【2】。
IOCs
MD5
4d75d26590116a011cbebb87855f4b4f
574e031a4747d5e6315b894f983d3001
56d1e9d11a8752e1c06e542e78e9c3e4
db9f2d7b908755094a2a6caa35ff7509
8f52ea222d64bbc4d629ec516d60cbaf
c3b3cb77fcec534763aa4d3b697c2f8c
9ea108e031d29ee21b3f81e503eca87d
23d5614fcc7d2c54ed54fb7d5234b079
6be3aecc5704c16bf275e17ca8625f46
e4a678b4aa95607a2eda20a570ffb9e1
11ed3f8c1a8fce3794b650bbdf09c265
8a548f927ab546efd76eeb78b8df7d4c
6d710d1a94445efb0890c8866250958e
6b42e4c5aecd592488c4434b47b15fbb
d82743e8f242b6a548a17543c807b7b0
32a0a7fa5893dd8d1038d1d1a9bc277a
bd5c665187dfb73fc81163c2c03b2ddf
a07c6e759e51f856c96fc3434b6aa9f8
0dcd949983cb49ad360428f464c19a9e
87125803f156d15ed3ce2a18fe9da2b8
4f7e2f5b0f669599e43463b70fb514ad
00b9b126a3ed8609f9c41971155307be
C2
179.60.150.118
45.61.137.32
89.22.233.149
193.149.129.151
193.149.176.254
参考链接
[1] https://blog.talosintelligence.com/kasablanka-lodarat/
[2] https://ti.qianxin.com/
点击阅读原文至ALPHA 5.0
即刻助力威胁研判
原文始发于微信公众号(奇安信威胁情报中心):疑似Kasablanka组织近期针对俄罗斯的攻击活动分析