1、事件背景
最近,安恒猎影实验室在日常的网络狩猎中成功捕获了多个针对俄罗斯、白俄罗斯政府及国防部门的攻击样本。通过仔细的样本分析和追溯,我们发现这些攻击事件共享相同的攻击组件和模式,因此我们确定该类攻击背后的幕后黑手为同一组织。鉴于该组织攻击手法的独特性,我们将该组织命名为“骷髅狼”(Skeleton Wolf),猎影实验室内部追踪代号为“APT-LY-1008”。
根据此次捕获的攻击样本我们发现“骷髅狼”组织具有以下特征:
1. 目前已发现的该组织攻击目标包括俄罗斯、白俄罗斯的政府、国防部门。
2. 使用WinRAR最新漏洞(CVE-2023-38831)执行恶意指令,具有很强的隐蔽性。
3. 最终加载基于Mythic平台的Athena后门,该后门支持执行各类恶意指令。
2、样本信息
本次共捕获相关样本6个,样本名为“xxx通知”、“会议结果”等诱使用户打开,根据其中包含的诱饵文件具体内容,我们发现本次攻击活动主要针对俄罗斯及白俄罗斯的政府、国防部门。
如仿冒“俄罗斯工业和贸易部”下发通知,具体内容与俄罗斯国防部相关
以“欧亚经济委员会”的名义发送会议通知,欧亚经济委员会成立于2015年,成员国包括俄罗斯、哈萨克斯坦、白俄罗斯、吉尔吉斯斯坦和亚美尼亚,总部位于莫斯科。
以“白俄罗斯国家军工委员会”的名义发送调查军事财产的通知
3、详细分析
该组织使用的攻击样本具有高度的一致性,下图展示了其主要攻击流程:
根据压缩包中的诱饵内容我们推测该类攻击起始于钓鱼邮件,恶意的压缩包通过邮件附件的形式投递给攻击目标。压缩包利用WinRAR漏洞( CVE-2023-38831)执行位于压缩包中的cmd文件。
cmd文件中包含的指令会解码并执行另一段经过base64编码的PowerShell指令
PowerShell指令首先会从指定地址下载与压缩包中相同的pdf诱饵文件,然后打开该诱饵以迷惑用户。然后下载exe文件到指定目录,并通过创建名称为“Microsoft Edge”的计划任务的方式执行exe文件。
下载的exe文件为使用Mythic平台生成的Athena后门,Mythic 是一个开源的渗透测试框架,可支持多平台多类型后门的生成以及各类C2协议的配置。
以下是Mythic平台支持的后门列表,本次捕获的攻击活动中攻击者使用了其中的Athena后门。
Athena是一款基于.NET开发的后门,支持Windows,Linux,MacOS等操作系统,并且还支持HTTP,Websocket,Slack,Discard,SMB等协议进行C2通信。
通过Mythic平台我们还可以自由配置Athena支持的命令,该后门支持多种类型的命令,以下是完整的指令列表。
4、思考总结
东欧地区一直以来都是地缘政治竞争的焦点,俄乌战争更加剧了各个国家间的冲突,网络空间的冲突作为现实冲突的延续,往往更加激烈且难以察觉。“骷髅狼”组织具有高度专业化的技术水平,不仅擅长制作精良的诱饵,并且能够成熟地利用最新漏洞,同时使用专业的渗透测试平台,极有可能代表着国家级或高度组织规模的攻击团队。
此外这也是我们第一次发现APT组织攻击者使用基于Mythic平台的后门进行攻击,Mythic平台是一个功能强大的工具,其操作相对简单,具备多款强大的后门工具,这使得攻击者能够轻松进行高度复杂的攻击操作。同时,Mythic平台具有很高的可定制性,不得不怀疑,这个攻击组织在未来的攻击中可能会采用其他不同的后门工具。
解决方案
1、鉴于样本触发WinRAR漏洞(CVE-2023-38831)的影响版本为小于6.23版本,可升级WinRAR版本至大于等于6.23
2、鉴于恶意程序行为:可以查看Windows计划任务,观察是否有名为“Microsoft Edge”的计划任务,进行取证排查,确认危害后删除;排查是否有“AIMP.exe”或者“MikrosoftEdge.exe” 的可疑文件或进程,排除正常应用,确认危害后删除。
转载来源:https://mp.weixin.qq.com/s/FogOQzCcNv1Z1yoWMUHMlA
图片来源网络侵权可联系删除