一、概述
近期,绿盟科技伏影实验室在追踪新型WinRAR 0day漏洞CVE-2023-38831的过程中,发现APT组织DarkPink已经开始使用此漏洞对越南以及马来西亚的政府目标进行攻击。
DarkPink攻击者在本轮攻击活动中使用CVE-2023-38831漏洞对升级了其既有的攻击流程,并对攻击技战术进行了多项改良,显著提升了攻击成功率。
本报告将对DarkPink的改良攻击流程和技战术进行分析。
二、 组织信息
DarkPink又被称为Saaiwc,是一个在2023 年 1 月被确认的新型APT组织。
该组织最早在2021年年中开始活跃,主要针对亚太地区的实体,其主要攻击目标为柬埔寨、印度尼西亚、马来西亚、菲律宾、越南、波斯尼亚和黑塞哥维那等国家的外交、军事等部门及行业。
DarkPink组织的主要攻击方式为鱼叉式网络钓鱼,通过邮件投递该组织自制的木马程序TelePowerBot、KamiKakaBot完成网络窃密活动。
三、诱饵信息
本次网络攻击活动中,DarkPink组织使用了多种诱饵,这些诱饵皆为PDF文件形式,放入WinRAR漏洞文件中,吸引用户打开查看。
其中一种诱饵名为“VanBanGoc_2023.07.10. TT 03 FINAL”,是一份带有越南外交部抬头的法律文件,如下图所示:
图3.1 诱饵文件VanBanGoc_2023.07.10. TT 03 FINAL
另一个诱饵名为“Ủy ban Chứng khoán Nhà nước thông báo tuyển dụng công chức năm 2023”(国家证监会公布2023年公务员录用公告),该文件来自越南国家证监会,如下图所示:
图3.2 诱饵文件Ủy ban Chứng khoán Nhà nước thông báo tuyển dụng công chức năm 2023
还有一种诱饵名为“TTBC số 37 về Quỹ BOG quý II2023”(关于BOG基金2023年第二季度的37号文),是一份由越南财务部发布的关于石油价格稳定基金(BOG)的新闻资讯,如下图所示:
图3.3 诱饵文件TTBC số 37 về Quỹ BOG quý II2023
最后一种诱饵名为“Keputusan Permohonan Mendapatkan Perkhidmatan Penceramah Luar Untuk Program Anjuran Kementerian Pertahanan”(为国防部组织的项目获得外部演讲服务的申请结果),同样为政府文件,抬头为马来西亚国防部战略规划和政策部门,如下图所示:
图3.4 诱饵文件Keputusan Permohonan Mendapatkan Perkhidmatan Penceramah Luar Untuk Program Anjuran Kementerian Pertahanan
可以看出,DarkPink组织本轮攻击活动的主要目标为越南及马来西亚的政府。
DarkPink组织本次使用的诱饵文件保持了该组织的一贯思路,通过真实的影印版政府文件增加诱饵的欺骗性,再配合本次新使用的WinRAR漏洞利用,使受害者很难察觉到自身遭受了攻击。
四、攻击流程
本轮活动中,DarkPink使用了一种融合了该组织经典攻击流程和CVE-2023-38831漏洞利用的改进型流程,如下图所示。
图4.1 DarkPink本轮攻击的主要攻击流程
4.1 漏洞利用阶段
DarkPink构建的CVE-2023-38831漏洞利用文件如下所示,包含一个pdf诱饵文件与一个同名的文件夹:
图4.2 DarkPink构建的CVE-2023-38831漏洞利用文件
该文件夹内包含两个文件,分别为一个与pdf诱饵文件同名的exe程序以及一个名为twinapi.dll的库文件:
图4.3 漏洞利用文件中文件夹包含的内容
当用户在低版本的WinRAR程序中尝试打开pdf诱饵文件时,CVE-2023-38831漏洞利用被触发,导致文件夹内的exe程序被执行。
4.2 木马释放阶段
被CVE-2023-38831触发执行的exe程序实际上是Windows系统应用EXPLORER.EXE,其在运行是会尝试加载同目录下的twinapi.dll文件,形成侧加载利用的攻击模式。
twinapi.dll则是DarkPink攻击者专门为本轮活动开发的一种加载器类型木马。该木马主要功能为提取pdf诱饵文件的一段数据,解密出其中的一个PE文件并将其注入加载到母进程中。
图4.4 加载器木马中的异或解密逻辑
被加载的PE文件是DarkPink标志性的加载器型木马程序TelePowerDropper,最终在受害者主机中植入远控木马程序TelePowerBot。
五、技战术分析
鉴于本轮活动中DarkPink攻击者沿用了既往的攻击模式,因此本报告仅对该攻击者新增加或更改的技战术进行分析。
5.1 执行-用户执行-恶意文件
5.1.1 CVE-2023-38831漏洞利用
本轮攻击活动中,DarkPink攻击者在技战术方面的最显著变化在于将初始恶意文件改造为CVE-2023-38831漏洞利用文件。
在既往的攻击活动中,DarkPink攻击者使用ISO文件作为初始诱饵,期望受害者在打开ISO文件后直接运行其中带有伪装文件名的可执行文件,进而触发整个执行流程。DarkPink在既往攻击活动中使用的典型诱饵如下图所示。
图5.1 DarkPink在既往攻击活动中使用的典型诱饵
这是一种经典的伪装执行方法,但其缺点在于暴露了可执行文件扩展名,难以欺骗有一定警觉性的受害者。
而在本轮攻击活动中,CVE-2023-38831漏洞显著提升了初始阶段恶意文件的欺骗性,受害者使用WinRAR软件对恶意文件进行查看时就会触发攻击过程,如下图所示。
图5.2 DarkPink在本轮攻击活动中使用的漏洞文件诱饵
除非对该漏洞有一定了解,否则受害者几乎无法防御该攻击方式,这使得DarkPink攻击者本轮攻击活动的成功率大大提升。
5.2 持久化-事件触发执行-更改默认文件关联
5.2.1 amv文件触发恶意代码
本轮攻击活动中,DarkPink攻击者通过修改特定文件的默认打开方式,获得了在受害者主机中稳定运行恶意cmd指令的能力。
该技术的具体实现分为两步。
第一步,DarkPink使用的TelePowerDropper木马创建如下一组注册表项:
图5.3 TelePowerDropper创建的注册表项
图5.4 TelePowerDropper设置的注册表键值A
通过这样的设置,当Windows尝试打开.amv类型文件时就会触发注册表项中的恶意代码(触发方式见下文DelegateExecute滥用部分)。
随后第二步,TelePowerDropper木马在系统Startup目录下创建一个名为“Tsys.amv”的空文件,这样当系统启动时就会尝试打开该amv文件,触发后续的TelePowerBot木马执行过程。
图5.5 TelePowerDropper设置的开机启动项
相比既往的攻击流程,DarkPink在本轮活动中对该技术的改进主要在两方面:
一方面DarkPink将触发执行的文件类型从“.abcd”改为“.amv”,这样的操作降低了通过搜索扩展名发现DarkPink攻击痕迹的几率;
另一方面的改进则体现在具体触发方式上,DarkPink使用直接设置开机启动文件的触发方式,替代了过去的通过在注册表UserInitMprLogonScript项中写入cmd代码的触发方式,这样的操作同样降低了通过搜索注册表特定项发现DarkPink攻击痕迹的几率。
DarkPink对该攻击技术的改良,其目的在于去除已暴露攻击技术的特征。
5.3 防御规避-文件或信息混淆-命令混淆
5.3.1 分拆注册表键值
DarkPink对本轮攻击过程的另一点改进在于,使用注册表的DelegateExecute逻辑实现UAC绕过和Windows Defender绕过。
DarkPink在本轮活动中使用的TelePowerDropper木马会在系统注册表的HKEY_CURRENT_USERSoftwareClassesamvfileshellopencommand路径下创建如下的键值:
图5.6 TelePowerDropper设置的注册表键值B
新TelePowerDropper木马本次写入的键值与既往活动的显著不同在于将原本全部写入Default的恶意代码进行了拆分,并使用Scriptrunner.exe作为启动器。
TelePowerDropper木马还创建了名为“DelegateExecute”的键,这使得Windows系统在处理amv文件时首先查找该键值,再寻找Default下的恶意命令执行。
这样的改动使注册表中的恶意代码更加难以被检测,配合CVE-2023-38831漏洞利用,在实践中成功绕过了Windows 10系统的UAC与Windows Defender的检查。
图5.7 该技战术的实际执行效果
六、总结
DarkPink本轮攻击活动表明,WinRAR漏洞CVE-2023-38831受到了APT组织的重点关注。
CVE-2023-38831公布以来,因其1 click触发、应用于WinRAR软件、漏洞构建较简单、易与钓鱼攻击结合等多重性质,迅速成为包括APT组织在内的各种黑客团体的新欢。APT组织使用该漏洞文件作为附件,可以显著提高邮件钓鱼攻击的成功率,而WinRAR不易管理难以更新的性质也使得该漏洞利用的影响很难被消除。
目前,防御CVE-2023-38831的主要策略应该以提高EDR检测查杀能力为主,伏影实验室已经观察到多种CVE-2023-38831漏洞文件的变体,说明有攻击者已经在研究降低该漏洞文件检测率的方案。预计围绕CVE-2023-38831的攻防也将是一个持久的过程。
七、IoC
转载来源:https://mp.weixin.qq.com/s/fiXIrwaDikNrV4wLGhJ_Mw
图片来源网络侵权可联系删除