APT34使用SideTwist变种木马开展新一轮网络钓鱼活动

2023年 9月 21日 60.2k 0

一、组织信息

APT34,又名OilRig或Helix Kitten,是一个疑似来自伊朗的APT组织。该组织自2014年以来保持活跃,主要针对中东各国开展网络间谍和网络破坏行动,主要目标包括金融、政府、能源、化工和电信等多个行业。

APT34具备较高的攻击技术水平,能够针对不同类型的目标设计不同的入侵方式,并且具备供应链攻击能力。该组织的主要攻击工具曾在2019年的一次泄露事件中披露,此后该组织开始转向开发新型攻击工具,这些新工具包括RDAT、SideTwist、Saitama等。

二、诱饵信息

本次,APT34使用的诱饵文档名为“GGMS Overview.doc”,文档正文显示一家所谓的“Ganjavi Global Marketing Services”公司的介绍,如下图所示。

图 2.1  APT34在本次活动中使用的诱饵文档

该介绍声称此公司能够提供全球范围的市场营销服务,很明显其攻击目标为企业用户。

该文档的两次上传记录均位于美国,证明APT34本次活动的实际目标为美国企业。

三、攻击流程

本次活动中,APT34沿用了一种自2021年开始使用的攻击流程,但在细节上有所变化。该攻击流程的关键步骤如下图所示。

图 3.1 APT34在本次活动中使用的主要攻击流程

该攻击过程中,隐藏于诱饵文档中的恶意宏代码承担了部署环境的工作,宏代码会提取文档中以base64格式存储的木马程序SystemFailureReporter.exe,将其释放到%LOCALAPPDATA%SystemFailureReporter目录下,并在同目录下创建一个名为update.xml的文本文档,作为木马程序的启动开关,如下图所示。

图 3.2 诱饵文档释放的恶意文件

随后,恶意宏代码创建一个名为SystemFailureReporter的计划任务,该计划任务将每5分钟调起上述木马程序,木马程序通过该计划任务程序反复运行。

图 3.3 诱饵文档设置的计划任务的触发器信息

图 3.4 诱饵文档设置的计划任务的动作信息

被调用的木马程序SystemFailureReporter.exe为APT34在近年行动中使用的主要木马工具SideTwist的变种,其通信CnC地址为11.0.188.38:443,但使用http进行通信。

四、木马分析

本次活动中出现的SideTwist变种木马程序与APT34在既往活动中使用的SideTwist木马的功能比较相似,其主要区别在于该SideTwist变种木马使用GCC进行编译。

该SideTwist木马的主要功能为与CnC通信,执行CnC端下发的命令或程序文件,以及将本地文件上传至CnC。

木马运行后,首先会检查同目录下是否存在名为update.xml的文件,如果不存在则通过调试端口输出一行提示文字并退出,这是一种典型的反沙箱操作。

图 4.1 SideTwist木马中的环境检测操作

随后木马会采集该受害者主机的用户名、计算机名以及本地域名,拼合并计算一个4字节哈希,作为受害者唯一ID。

下图显示了该木马的示例HTTP通信内容,URI路径中的suWW即为受害者ID:

图 4.2 SideTwist木马中的收集主机信息操作

随后木马利用生成的受害者ID,尝试与CnC建立通信并获取返回信息。

下图显示了该木马的示例HTTP通信内容,URI路径中的suWW即为受害者ID:

图 4.3  SideTwist木马首次通信内容

如果该CnC路径在线,木马会提取CnC返回的HTML代码中的特定内容并解析为CnC指令,这些特定内容隐藏在HTML代码的/*与/*标签之间。

该变种木马中,CnC指令以base64编码保存,其解密方式为多字节异或,异或键为字符串“notmersenne”。

解密后的CnC指令分为三段,分别为CnC编号、CnC指令码与运行参数,三段之间以"|"符号隔开,如下所示。

[CnC编号] | [CnC指令码] | [运行参数1] | [运行参数2]

CnC编号部分仅作为CnC通信时的索引,仅在该值为"-1"时能够控制木马终止后续的CnC通信行为;

CnC指令码用于控制木马进行几种对应的行为,其指令码编号与功能对应如下表所示。

表 4.1  CnC指令码表

需要注意的是,该木马的102指令码会触发一个后续CnC通信行为,木马程序会根据CnC指令参数中的远程文件名称发起http GET请求,获取远程位置“/getFile/[文件名称]”中的文件并解密,解密方式同样为base64转码与多字节异或,如下图所示。

图 4.4  SideTwist木马102指令码中的通信逻辑

上述所有CnC指令完成后,木马端都会向CnC回复一个http POST请求,用于报告指令执行结果。该POST请求正文包含如下格式的信息:

{"[CnC编号]"}:{"[CnC指令执行结果]"}

与常见木马程序不同的是,该木马不存在循环或睡眠机制,在进行一次CnC通信后就会自动退出,等待计划任务在5分钟后再次调起木马程序。

五、IOC分析

本次APT34活动中非常特殊的一点是,活动中出现的SideTwist变种木马将IP地址11.0.188.38作为CnC。

分析发现,目前该IP地址的443端口未提供服务,无法通过该IP返回的内容确认其CnC服务器的性质;

图 5.1  IP地址当前响应状态

而查询该IP归属时发现,11.0.188.38归属于11.0.188.0/22网段,该网段的拥有者为美国国防部网络信息中心(DoD Network Information Center),而该IP地址位于美国俄亥俄州哥伦布市,与该机构的地理位置相匹配。

六、结论

本次发现的APT34攻击活动,除了再次展示了该组织常用的攻击思路外,也带来了一种基于GCC的SideTwist变种木马,以及一个作为木马CnC地址的敏感IP地址。

我们认为,该CnC IP的特殊性表明APT34组织攻击者很可能是将本次活动作为一种试探,并未启用该组织的真实CnC地址。这是一种保护攻击资源的操作,也是APT组织有可能使用的战术。这种情况下,APT组织攻击者只有在完成调试工作并保证攻击流程的隐蔽性后,才会启用真实的CnC地址发起攻击行动。

七、IOC

056378877c488af7894c8f6559550708

5e0b8bf38ad0d8c91310c7d6d8d7ad64

http[:]//11.0.188[.]38:443/

转载来源:https://nsfocusglobal.com/apt34-unleashes-new-wave-of-phishing-attack-with-variant-of-sidetwist-trojan/

图片来源网络侵权可联系删除

相关文章

Mallox勒索软件新Linux变种现世
伪装成破解程序和商业工具的新型恶意软件正在传播
Orcinius后门新样本分析
Poseidon窃取程序通过Google广告感染Mac用户
大选开始之际,欧盟各政党遭受 DDoS 攻击
微软2024

发布评论