執(zhí)行摘要

1. 
   

2. 9月8日，QuoINT研究人員檢測(cè)到APT28組織的相關(guān)行動(dòng)惊畏，該行動(dòng)可能始于8月5日约巷。

   
   

3. 此次攻擊使用Delphi編寫(xiě)的Zebrocy惡意軟件。首次提交VirusTotal檢測(cè)時(shí)舞丛，所有組件的反病毒(AV)檢測(cè)率都非常低。

   
   

4. 發(fā)現(xiàn)此次攻擊時(shí)果漾，其托管在法國(guó)的C2基礎(chǔ)設(shè)施仍處于活躍狀態(tài)球切。

   
   

5. 此次攻擊活動(dòng)使用NATO即將舉行的培訓(xùn)為誘餌。

   
   

6. 此次攻擊活動(dòng)針對(duì)阿塞拜疆的政府機(jī)構(gòu)绒障，攻擊者也可能以北約成員國(guó)或其他參與北約的國(guó)家為目標(biāo)吨凑。

   
   

7. 通過(guò)分析，研究人員在8月發(fā)現(xiàn)此次行動(dòng)和ReconHell / BlackWater行動(dòng)之間存在關(guān)聯(lián)户辱。

   
   

8. 研究人員將此次發(fā)現(xiàn)的惡意C2上報(bào)給了法國(guó)當(dāng)局鸵钝，并向北約發(fā)出警報(bào)。

   
   

介紹

8月9日庐镐，QuoINT研究人員向其政府客戶(hù)發(fā)出警報(bào)恩商，警報(bào)表明APT28（又名Sofacy、Sednit焚鹊、Fancy Bear和STRONTIUM等）針對(duì)北約成員國(guó)（或伙伴國(guó)）發(fā)起了新一波網(wǎng)絡(luò)攻擊痕届。研究人員分析了一個(gè)上傳到VirusTotal的惡意文件，該文件最終將釋放Zebrocy 惡意軟件末患，并與法國(guó)的C2進(jìn)行通信研叫。

Zebrocy是APT28(又稱(chēng)Sofacy)組織專(zhuān)用的惡意軟件，近兩年多家安全廠商都對(duì)其進(jìn)行了報(bào)導(dǎo)璧针。
研究人員的調(diào)查結(jié)果顯示嚷炉，此次攻擊始于8月5日，至少針對(duì)中東的一個(gè)政府機(jī)構(gòu)探橱，北約成員國(guó)也可能遭到了攻擊申屹。

技術(shù)細(xì)節(jié)

該樣本第一眼看上去是一個(gè)有效的JPEG文件：

但事實(shí)上绘证，如果將文件后綴更改為JPG，則操作系統(tǒng)將顯示位于比利時(shí)的北約歐洲盟軍最高司令部（SHAPE）的徽標(biāo)哗讥。

然而嚷那，進(jìn)一步的分析表明該樣本連接了一個(gè)Zip文件。該技術(shù)之所以有效杆煞，是因?yàn)镴PEG文件是從文件頭開(kāi)始解析的魏宽，而一些Zip文件的索引位于文件末尾，所以從文件末尾開(kāi)始解析决乎，而無(wú)需查看前面的簽名队询。

該技術(shù)也被威脅攻擊者用來(lái)逃避AV檢測(cè)或其它過(guò)濾器，因?yàn)樗鼈兛赡軙?huì)將其誤認(rèn)為是JPEG圖片而跳過(guò)該文件构诚。有趣的是蚌斩，為了使用戶(hù)單擊后能在Windows上解壓該文檔，需要滿(mǎn)足以下兩個(gè)條件：a)文件后綴名必須為.zip(x)范嘱；b)必須使用WinRAR打開(kāi)文件送膳。如果受害者使用WinZip或默認(rèn)的Windows程序打開(kāi)，將彈出一條錯(cuò)誤消息丑蛤，聲稱(chēng)文件已損壞肠缨。

Zip文件解壓后，將釋放以下兩個(gè)樣本：

1. Course 5 – 16 October 2020.exe (Zebrocy惡意軟件) SHA256:aac3b1221366cf7e4421bdd555d0bc33d4b92d6f65fa58c1bb4d8474db883fec
2. Course 5 – 16 October 2020.xls (損壞的文件) SHA256: b45dc885949d29cba06595305923a0ed8969774dae995f0ce5b947b5ab5fe185
   

此次攻擊以北約圖片為誘餌盏阶，而攻擊者之所以選擇這些文件名，可能是為了利用即將在2020年10月舉行的北約課程闻书。此外名斟，Excel文件(XLS)已損壞，不能通過(guò)Microsoft Excel打開(kāi)魄眉，文檔中似乎包含參與“非洲索馬里特派團(tuán)”軍事任務(wù)的軍事人員的相關(guān)信息砰盐，包括姓名、職級(jí)坑律、單位和到達(dá)/離開(kāi)日期等岩梳。

需要注意，QuoINT研究人員無(wú)法確認(rèn)文件中的所包含的信息是否合法晃择。

損壞文件可能是攻擊者的一種策略冀值，為了使用戶(hù)先嘗試打開(kāi)XLS文件，然后再次打開(kāi)具有相同文件名的exe文件宫屠。exe文件使用PDF圖標(biāo)進(jìn)行偽裝列疗，以誘使目標(biāo)用戶(hù)打開(kāi)惡意可執(zhí)行文件。

經(jīng)過(guò)分析后浪蹂，研究人員發(fā)現(xiàn)該樣本是Delphi可執(zhí)行文件抵栈。自2015年以來(lái)告材，已經(jīng)有許多安全人員對(duì)使用Delphi編寫(xiě)的Zebrocy惡意軟件進(jìn)行了深入分析。有趣的是古劲，最后的觀察結(jié)果表明Delphi版本似乎并不連續(xù)斥赋，后續(xù)出現(xiàn)了使用go語(yǔ)言編寫(xiě)的新版本。

行為分析

執(zhí)行后产艾，樣本將自身復(fù)制到%AppData%\Roaming\Service\12345678\sqlservice.exe中疤剑，并將160個(gè)隨機(jī)字節(jié)添加到新文件中。填充后釋放的惡意軟件將始終具有不同的哈希值胰舆，以此逃避哈希值匹配的安全檢測(cè)骚露。

接下來(lái)，惡意軟件將創(chuàng)建一個(gè)新的計(jì)劃任務(wù)缚窿，并使用/s參數(shù)執(zhí)行棘幸。

該任務(wù)將定期執(zhí)行，并通過(guò)POST請(qǐng)求將竊取的數(shù)據(jù)(如屏幕截圖）發(fā)送到hxxp://194.32.78[.]245/protect/get-upd-id[.]php倦零。

一眼看去误续，該數(shù)據(jù)似乎被混淆和加密了，另一個(gè)請(qǐng)求如下所示：

標(biāo)題號(hào)12345678（原始的8位數(shù)字已刪除）似乎是恒定的扫茅，作為受感染機(jī)器的唯一ID蹋嵌。值得注意的是，在創(chuàng)建包含sqlservice.exe的文件夾時(shí)葫隙，惡意軟件也會(huì)使用相同的數(shù)字栽烂。
研究人員在分析過(guò)程中發(fā)現(xiàn)，當(dāng)樣本與其在Internet上的實(shí)際C2進(jìn)行對(duì)話(huà)后恋脚，其實(shí)際行為并不會(huì)有所改變腺办。該惡意軟件每分鐘發(fā)送一次POST請(qǐng)求，但并沒(méi)有響應(yīng)返回糟描。此外怀喉，服務(wù)器在等待10秒后將關(guān)閉連接。之所以無(wú)響應(yīng)返回船响，可能是因?yàn)镃2對(duì)該受感染的機(jī)器并不感興趣躬拢。

最終，C2通信流量將觸發(fā)新興威脅(ET)IDS規(guī)則：

1. ET TROJAN Zebrocy Screenshot Upload” (SID: 2030122)
   

受害者和歸因

QuoINT研究人員高度確認(rèn)此次活動(dòng)至少針對(duì)阿塞拜疆的一個(gè)政府組織见间。盡管阿塞拜疆不是北約成員國(guó)聊闯，但它與北大西洋組織密切合作并參加北約演習(xí)。此外米诉，該攻擊活動(dòng)很可能針對(duì)其它北約成員國(guó)或參與北約演習(xí)的國(guó)家馅袁。

通過(guò)分析此次活動(dòng)涉及的戰(zhàn)術(shù)、技術(shù)荒辕、過(guò)程(TTP)汗销，攻擊目標(biāo)和使用的誘餌主題犹褒，研究人員將其歸因于APT28 / Zebrocy組織。