隨著英國首相 特蕾莎·梅宣布與歐盟達(dá)成的BREXIT草案協(xié)議谊路,由iDefense分析師確定了APT28使用BREXIT主題誘餌文件的APT28最新活動 塘砸。
一、APT28的歷史活動
APT28是一個APT網(wǎng)絡(luò)威脅組織,也被稱為SNAKEMACKEREL,Sofacy豌汇,Pawn Storm,Sednit泄隔,F(xiàn)ancy Bear拒贱,Group 74,Tsar Team和Strontium佛嬉。英國和荷蘭政府都公開將APT28活動歸功于俄羅斯軍事情報(bào)局(RIS)逻澳,并將特定的網(wǎng)絡(luò)攻擊與該組織聯(lián)系起來,包括針對禁止化學(xué)武器組織(OPCW)暖呕、英國國防斜做、科學(xué)技術(shù)實(shí)驗(yàn)室(DSTL)、英國外交和聯(lián)邦事務(wù)部(FCO)等安全事件缰揪。
俄羅斯情報(bào)局(RIS)參與者進(jìn)行了破壞性的網(wǎng)絡(luò)攻擊,包括對關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)的攻擊。在某些情況下钝腺,俄羅斯情報(bào)局(RIS)扮演了偽裝成第三方抛姑,隱藏在虛假的互聯(lián)網(wǎng)人物角色背后,旨在使受害者錯誤地分配攻擊源艳狐。據(jù)美國FBI稱定硝,APT28威脅組是正在進(jìn)行的網(wǎng)絡(luò)戰(zhàn)役的一部分 - 這些網(wǎng)絡(luò)行動包括針對政府組織,關(guān)鍵基礎(chǔ)設(shè)施毫目,高校蔬啡,政治組織和企業(yè)進(jìn)行的網(wǎng)絡(luò)釣魚活動,通過網(wǎng)絡(luò)攻擊竊取相關(guān)數(shù)據(jù)镀虐,這些活動針對的目標(biāo)是美國政府及其公民箱蟆。
在英國政府宣布BREXIT協(xié)議的初步商定草案的同一天,APT28是一個密切關(guān)注政治事務(wù)并能利用最新新聞頭條作為引誘文件刮便,將惡意軟件發(fā)送到其預(yù)定攻擊目標(biāo)空猜。 該攻擊反映了該組織的目標(biāo),該組織主要目標(biāo)是北約成員國恨旱,中亞國家和鄰國俄羅斯國家辈毯。
英國鑒于與俄羅斯軍隊(duì)的假定關(guān)系,并且APT28組織擁有大量資源來瞄準(zhǔn)和危害搜贤。 因此谆沃,受害者需要在防御措施方面進(jìn)行額外投資。 為了保護(hù)業(yè)務(wù)運(yùn)營的機(jī)密性仪芒,完整性和可用性唁影,埃森哲安全部門建議組織確保其員工接受網(wǎng)絡(luò)安全培訓(xùn),并部署基于情報(bào)的網(wǎng)絡(luò)和基于主機(jī)的防御措施桌硫。
盡管有公開報(bào)道和政府指控夭咬,但APT28目前仍然非常活躍铆隘。 它是針對全球航空航天和國防承包商卓舵,軍事單位,政黨膀钠,國際奧委會(IOC)掏湾,反興奮劑機(jī)構(gòu),政府部門和其他各種垂直行業(yè)的大量網(wǎng)絡(luò)攻擊的幕后推手肿嘲。 北約和歐盟成員國以及美國對該集團(tuán)特別感興趣融击。
APT28業(yè)務(wù)仍然是迄今為止最具影響力和最復(fù)雜的網(wǎng)絡(luò)間諜和情報(bào)活動。
二雳窟、樣本分析的意義
此情報(bào)警報(bào)與安全運(yùn)營中心(SOC)分析師和工程師尊浪,情報(bào)分析員和管理層以及執(zhí)行領(lǐng)導(dǎo)相關(guān)匣屡。
埃森哲的分析師和工程師可以使用此警報(bào)的詳細(xì)信息與惡意軟件的通聯(lián)信息(例如IoC等信息)通過監(jiān)控或阻止來控制相應(yīng)的安全威脅。安全分析師可以使用此警報(bào)的分析和緩解部分中提供的信息來查找可能已經(jīng)受到危害的系統(tǒng)的搜索活動拇涤。分析師和安全工程師可以使用IoC捣作,將它們添加到端點(diǎn)檢測和響應(yīng)(EDR)解決方案列表,以及基于網(wǎng)絡(luò)的ids或者防火墻主機(jī)的黑名單鹅士,以檢測和拒絕惡意軟件植入和命令與控制(C2)通信券躁。
了解APT28的網(wǎng)絡(luò)攻擊方式,技術(shù)和程序(TTP)有助于更好地通知檢測和響應(yīng)此威脅組的攻擊掉盅。
該報(bào)告提供了以BREXIT為主題的誘餌Microsoft Office文檔的技術(shù)概述也拜,該文檔用于刪除之前由iDefense分析師報(bào)告的Delphi版Zekapab第一階段惡意軟件。 但是趾痘,對C2服務(wù)器109.248.148.42的進(jìn)一步研究揭示了一個新的.NET版Zekapab慢哈。
三、APT28活動的惡意代碼分析
iDefense分析師最近發(fā)現(xiàn)了以下惡意文件扼脐,該文件據(jù)稱與最近英國政府和歐盟之間的BREXIT談判有關(guān)岸军。 該文件具有以下元數(shù)據(jù):
- 文件名:Brexit 15.11.2018.docx
- MD5:405655be03df45881aa88b55603bef1d
- 文件大小:18.9 KB(19354字節(jié))
- 作者:USER
- 最后修改者:Joohn
- 公司:Grizli777
- 創(chuàng)作日期:2018:11:14 14:17:00
- 修改日期:2018:11:15 04:50:00
以上元數(shù)據(jù)值得注意的是瓦侮,公司名稱Grizli777表示Microsoft Word的破解版本艰赞。
為了欺騙目標(biāo)主機(jī)他們使用了office的的宏,攻擊者故意使用混亂的文本作為內(nèi)容:
在誘餌文檔中混淆了文本肚吏,誘騙用戶啟用宏方妖。
該文檔通過嵌入在DOCX文檔中的settings.xml.rels組件從如下鏈接加載惡意內(nèi)容
hxxp//109.248.148.42/office/thememl/2012/main/attachedTemplate.dotm
通過settings.xml.rels加載的惡意啟用宏的內(nèi)容
下載的宏組件包括一個名為AutoClose()的函數(shù)以及通過Base64編碼的字符串嵌入的兩個有效負(fù)載:
AutoClose()宏功能
下面的代碼顯示的核心宏代碼與俄羅斯ESET公司報(bào)告的在2018年4月中的宏代碼相同:
對惡意IP地址109.248.148.42的研究揭示了兩個不同的office 的.dotm組件:
- Filename: attachedTemplate.dotm
?- MD5: 018611b879b2bbd886e86b62484494da- File size: 1.5 MB (1612982 bytes)
- Filename:templates.dotm
- MD5: 2a794b55b839b3237482098957877326
- File size: 1.2 MB (1228358 bytes)
這兩個組件分別從以下URL中進(jìn)行下載
hxxp://109.248.148.42/office/thememl/2012/main/attachedTemplate.dotm
hxxp://109.248.148.42/officeDocument/2006/relationships/templates.dotm
兩個組件都包含相同的VBA宏代碼,如上所示罚攀,每個代碼包含兩個不同的嵌入式有效負(fù)載:一個是可執(zhí)行二進(jìn)制文件党觅,另一個是.docm文件。
attachedTemplate.dotm釋放了以下內(nèi)容:
Filename: ntslwin.exe
? MD5: 7e67122d3a052e4755b02965e2e56a2e
? File size: 384.0 KB (393216 bytes)
? File type: UPX compressed Win32 Executable
? Filename: ~de03fc12a.docm
? MD5: 9d703d31795bac83c4dd90527d149796
? File size: 384.0 KB (24659 bytes)
釋放的第二個文件~de03fc12a.docm包含一個簡單的宏來執(zhí)行釋放的可執(zhí)行文件斋泄。 下面的代碼片段顯示了嵌入的宏代碼:
對兩個二進(jìn)制文件的分析表明它們實(shí)際上是一個Delphi(最初是UPX打包)和Zekapab第一階段惡意軟件的.NET版本杯瞻。
以下網(wǎng)絡(luò)流量由Delphi示例執(zhí)行,該示例表示在UPX解壓縮后具有以下元數(shù)據(jù):
Filename: ntslwin.exe
? MD5: f4cab3a393462a57639faa978a75d10a
? File size: 984.5 KB (1008128 bytes)
? File type: Win32 Executable Borland Delphi 7
如下圖顯示了樣本生成的網(wǎng)絡(luò)流量炫掐,HTTP POST請求包含收集的系統(tǒng)信息魁莉。 如圖所示,發(fā)送的數(shù)據(jù)是通過URL編碼的:
一方面來自Delphi版Zekapab的url編碼的網(wǎng)絡(luò)流量
另一方面募胃,.NET版本生成的網(wǎng)絡(luò)流量是未編碼的旗唁。
來自.NET版Zekapab的網(wǎng)絡(luò)流量
這兩個版本都旨在收集系統(tǒng)信息和運(yùn)行進(jìn)程,并使用HTTP POST將它們發(fā)送到指定的C2服務(wù)器痹束,在兩種情況下使用的URI都是
/agr-enum/progress-inform/cube.php?res=检疫。如果系統(tǒng)被認(rèn)為是有效的,則下一階段的惡意軟件將被傳遞到相應(yīng)的目錄中祷嘶。
第二階段惡意軟件分別通過自動運(yùn)行注冊表項(xiàng)傳遞到不同的目標(biāo).
對于Delphi版本屎媳,以下注冊表項(xiàng)和值用于持久性:
Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Run\AudioMgr
Value: %AppData%\Video\videodrv.exe
對于.NET版本夺溢,以下注冊表項(xiàng)和值用于持久性:
Key: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\GoogleIndexer
Value: %AppData%\Platform\sslwin.exe
.NET版本中顯示的收集數(shù)據(jù)的功能如下:
Zekapab的.NET版本的數(shù)據(jù)收集
收集的信息清單包括:
- 命令systeminfo和tasklist的結(jié)果
- 當(dāng)前執(zhí)行路徑
- 捕獲屏幕截圖
- 驅(qū)動器枚舉
- 驅(qū)動器序列號
下載和執(zhí)行下一階段惡意軟件的代碼,設(shè)置了持久性機(jī)制如下:
由Zekapab的.NET版本設(shè)置的下一階段惡意軟件下載和持久性烛谊。
如圖所示企垦,下一階段惡意軟件的傳遞取決于收集的信息。
四晒来、建議
為了緩解此報(bào)告中描述的威脅,iDefense建議阻止訪問IP地址和URI模式:
109.248.148.42/agr-enum/progress-inform/cube.php?res=
對于threat hunting郑现,iDefense建議以下內(nèi)容:
- 網(wǎng)絡(luò):存在上面共享的網(wǎng)絡(luò)IOC的HTTP和DNS流量湃崩。
- 系統(tǒng):
注冊表項(xiàng):
Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Run\AudioMgr
Key: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\GoogleIndexer
系統(tǒng)其他安裝路徑
File with the full path: %AppData%\Video\videodrv.exe
File with the full path: %AppData%\Platform\sslwin.exe
Files with following file hashes.
