我们分析了一种新的恶意软件,我们将其归因于APT34高级持续威胁 (APT) 组织,该组织参与了网络钓鱼攻击。八月份,我们的威胁搜寻活动发现了我们调查的恶意文档,该文档是在该组织的有针对性的网络钓鱼攻击中使用的。该恶意文档负责投放我们称为 Menorah 的新恶意软件(取自恶意文档投放的可执行文件,被趋势科技检测为 Trojan.W97M.SIDETWIST.AB),并创建一个计划任务以实现持久性。该恶意软件专为网络间谍活动而设计,能够识别机器、从机器读取和上传文件以及下载其他文件或恶意软件。
在我们的调查过程中,有关该恶意软件针对的受害者的信息很少。但 APT34 用于此次攻击的文件名为“MyCv.doc”,是与塞舌尔许可证颁发机构相关的许可证注册表。然而,我们注意到该文件包含沙特里亚尔的定价信息,这可能表明目标受害者是沙特阿拉伯王国境内的组织。这篇博文对该组织的最新恶意软件及其功能进行了分析,展示了攻击过程,并详细介绍了攻击者的基础设施。
APT34背景和定位
APT34 是一个秘密网络间谍组织,专门针对中东地区的组织和非法活动。正如我们之前所介绍的,APT34 主要专注于收集敏感情报、利用鱼叉式网络钓鱼活动以及滥用先进技术来渗透和维护目标网络内的访问。我们的监测表明,该组织的运作高度复杂,资源看似庞大,对区域内外构成了重大的网络安全挑战。
值得注意的是,APT34 参与了针对中东各种目标的备受瞩目的网络攻击,其中包括政府机构、关键基础设施、电信和关键区域实体。该小组不断开发和增强工具,旨在减少安全解决方案和研究人员的检测。在这项针对 APT34 的研究中,我们观察到该组织转向使用新颖的数据泄露方法。绿盟科技的研究人员发布了一份关于 APT34 使用的 SideTwist 恶意软件新变种的报告。
感染常规
图1 恶意软件感染例程(点击按钮下载感染链)
感染从恶意文档开始,释放硬编码的恶意软件,并创建一个计划任务,以便在目标受害者打开该文档后持久保存。该恶意文档包含隐藏的宏,负责将 .NET 恶意软件放入 目录中,并将其命名为Menorah.exe。然后,它创建一个名为“OneDriveStandaloneUpdater”的计划任务来执行Menorah.exe恶意软件。图 2 中的图像显示了负责字符串转换、解码和计划任务创建的宏函数的一部分。
图 2. 用于字符串转换的宏
图 3. 创建计划任务来执行 Menorah.exe 恶意软件
恶意软件分析
通过恶意文档传播的 .NET 编写的恶意软件主要用于网络间谍活动,并具有多方面的功能。该恶意软件可以对目标计算机进行指纹识别、列出目录和文件、从受感染的系统上传选定的文件、执行 shell 命令以及将文件下载到系统。
与之前的 SideTwist 变体相比,新变体具有更多功能,可以对命令和控制 (C&C) 服务器的流量进行哈希处理,并使其更加隐蔽以避免检测。最初,恶意软件在执行过程中进行特定的参数检查,以确保其操作流程正确。如果没有指定的参数,恶意软件将终止并停止其执行。定期检查可确保例程和组件的隐秘性,并检测恶意软件是否处于沙箱等分析环境中。如果参数确定它在沙箱内运行,则恶意软件将在没有参数的情况下运行并自行终止。
图 4. 检查特定参数
我们将 C&C 服务器http[:]//tecforsc-001-site1[.]gtempurl.com/ads.asp识别为随后用于 HTTP 通信的字符串,并创建一个计时器以每 32,000 毫秒重复一次特定代码(或每 32 秒)作为组织与 C&C 服务器通信的一种方式。
然后,恶意软件通过获取以下格式的计算机名称和用户名来对计算机进行指纹识别:{MachineNameUsername}。恶意软件继续将字符串编码为 ASCII,然后计算 MD5 哈希值。MD5 哈希与{'d@{MD5 hash}@MachineName|Username}格式的{MachineNameUsername}与硬编码字符串异或并以 Base64 编码,为受感染的系统创建指纹。该指纹作为HTTP请求的内容发送到C&C服务器,如下图所示。
图 5. 识别 C&C 服务器
图 6. 发送受害系统的“指纹”
不幸的是,C&C 服务器在分析时处于非活动状态。然而,通过对负责解析 C&C 的函数的分析,我们预计返回的响应将是加密的消息,并进一步以 Base64 进行编码。解密和解码后的消息分成一个数组,其中的每个值代表从 C&C 服务器接收到的消息的一部分。根据这些值,恶意软件将在计算机上执行特定操作。
通过静态分析,我们观察到恶意软件能够执行从 C&C 服务器收到的命令,列出受感染系统上的目录和文件,并将特定文件上传到服务器并下载文件。以下是恶意软件的命令、值和操作:
表 1. 恶意软件的功能和从 C&C 服务器接收到的命令
图 7. 根据从 C&C 服务器接收到的通信将解码后的消息拆分为数组
与后门 SideTwist 的相似之处
2021 年,Checkpoint发表了一篇有关用母语编写的 SideTwist 恶意软件的文章。在比较这两种恶意软件变体后,我们发现两者在功能方面存在显着相似之处,特别是恶意软件对受感染系统和 C&C 通信进行指纹识别的方式。此外,SideTwist 恶意软件使用计算机名称和用户名来为受害计算机创建唯一 ID,但 2021 年的变种在 ID 创建过程中使用 4 字节哈希而不是 MD5。这两种恶意软件变体都提供类似的后门功能来执行 shell 命令以及上传和下载文件。
结论
与 SideTwist 后门的相似之处表明 APT34 处于持续开发模式,不断改变并尝试哪些例程和技术可行。作为典型的 APT 组织,APT34 展示了其丰富的资源和多样化的技能,并且可能会坚持定制例程和社会工程技术以供每个目标组织使用,以确保入侵、秘密行动和网络间谍活动取得成功。SideTwist 的早期变体是用 C 编写的,而这个最新变体具有一组非常相似的功能,但采用 .NET 实现。
虽然此样本中的技术和恶意软件感染例程与该组织之前记录的攻击的复杂程度不同,但这些技术仍然有效,因为它们继续重做并依赖它们。正如之前有关 APT34 的报告指出的那样,该组织使用简单的例程和更改,对于安全分析师和研究人员来说,跟踪和分析不需要很长时间。但该组织的武器库和技能使他们能够快速创建新的恶意软件和工具,从而使该组织能够在连续的周期中持续部署。组织应不断警告并让员工了解攻击者针对系统、专有信息和个人信息所采用的不同技术。
妥协指标 (IOC)
SHA256 检测结果
8a8a7a506fd57bde314ce6154f2484f280049f2bda504d43704b9ad412d5d618 Trojan.W97M.SIDETWIST.AB
64156f9ca51951a9bf91b5b74073d31c16873ca60492c25895c1f0f074787345 Trojan.MSIL.SIDETWIST.AAURL
hxxp://tecforsc-001-site1[.]gtempurl[.]com/ads.asp转载来源:https://www.trendmicro.com/en_us/research/23/i/apt34-deploys-phishing-attack-with-new-malware.html
图片来源网络侵权可联系删除
