TA422组织向欧洲和北美地区发起大量攻击

2023年 12月 8日 94.6k 0

要点

  • 自 2023 年 3 月以来,Proofpoint 研究人员观察到定期的 TA422 (APT28) 网络钓鱼活动,其中威胁行为者利用修补后的漏洞有时向欧洲和北美的目标发送大量活动。
  • TA422 使用这些漏洞作为针对政府、航空航天、教育、金融、制造和技术部门目标的初始访问权限,可能会泄露用户凭据或发起后续活动。
  • 这些漏洞包括CVE-2023-23397(一个 Microsoft Outlook权限提升漏洞,允许威胁参与者利用 TNEF 文件并启动 NTLM 协商,获取目标 NTLM 密码的哈希值)和CVE-2023-38831(一个 WinRAR 远程代码)根据NIST 披露的信息,该执行缺陷允许“当用户尝试查看 ZIP 存档中的良性文件时执行任意代码” 。

概述

从 2023 年 3 月开始,Proofpoint 研究人员观察到俄罗斯高级持续威胁 (APT) TA422 很容易利用已修补的漏洞来针对欧洲和北美的各种组织。TA422 与别名 APT28、Forest Blizzard、Pawn Storm、Fancy Bear 和 BlueDelta 重叠,美国情报界将其归属于俄罗斯总参谋部主要情报局 (GRU)。虽然 TA422 在此期间利用 Mockbin 和 InfinityFree 进行 URL 重定向,开展了传统的针对性活动,但 Proofpoint 观察到,利用CVE-2023-23397(Microsoft Outlook特权提升漏洞)的活动中发送的电子邮件量与预期存在显着偏差。这包括对手从单一电子邮件提供商发送到国防、航空航天、技术、政府和制造实体的 10,000 多封电子邮件,偶尔还包括高等教育、建筑和咨询实体发送的少量电子邮件。Proofpoint 研究人员还发现了利用 WinRAR 远程执行漏洞CVE-2023-38831 的TA422 活动。

显示 2023 年 3 月至 2023 年 11 月 TA422 网络钓鱼活动细分的条形图

请参加:CVE-2023-23397—测试会议

2023 年 3 月下旬,TA422 开始针对欧洲和北美的高等教育、政府、制造和航空航天技术实体发起利用 CVE-2023-23397 的大量活动。根据 CERT-EU 的开源报告,TA422 早在 2022 年 4 月就利用了 CVE-2023-23397 漏洞来针对乌克兰实体。

在 Proofpoint 识别的活动中,我们的研究人员最初观察到少量电子邮件试图利用此漏洞。第一次活动激增引起了我们的注意,部分原因是所有电子邮件都指向同一监听服务器,但主要是由于数量。与 Proofpoint 跟踪的典型国家间谍活动相比,这次活动规模非常大。Proofpoint 观察到,在 2023 年夏末,每天有超过 10,000 次重复尝试利用 Microsoft Outlook 漏洞,针对相同的帐户。目前尚不清楚这是操作员错误还是收集目标凭据的知情行为。TA422 重新定位了之前在 2023 年 3 月定位的许多高等教育和制造业用户。目前尚不清楚为什么 TA422 使用相同的漏洞重新定位这些实体。根据可用的活动数据,Proofpoint 怀疑这些实体是优先目标,因此,威胁行为者定期尝试广泛、省力的活动来尝试获得访问权限。  

与 Proofpoint 研究人员在 2023 年 3 月发现的大容量 TA422 活动一样,2023 年夏末的消息包含一个约会附件,使用传输中性封装格式 (TNEF) 文件。TNEF 文件使用虚假文件扩展名伪装成 CSV、Excel 文件或 Word 文档,并包含一个 UNC 路径,将流量引导至托管在可能受感染的 Ubiquiti 路由器上的 SMB 侦听器。TA422之前曾使用受感染的路由器来托管该组织的 C2 节点或NTLM 侦听器。受感染的路由器充当 NTLM 身份验证的侦听器,它们可以在其中记录入站凭据哈希,而无需与目标网络进行广泛接触。

当 Outlook 的易受攻击实例处理约会附件时,Outlook 向位于 UNC 路径的文件发起 NTLM 协商请求;这使得目标无需交互即可泄露 NTLM 凭据。  

2023 年夏末 TA422 网络钓鱼电子邮件样本

在 2023 年夏末的所有活动中,TA422 从多个葡萄牙邮件地址发送了恶意电子邮件,主题行为“测试会议”,邮件正文相同,“测试会议,请忽略此消息”。  

提示微风:CVE-2023-38831 漏洞利用  

事实证明,跟踪 Proofpoint 数据中的葡萄牙邮件地址是发现更多 TA422 活动的有用枢纽。2023 年 9 月,TA422 在两次不同的活动中利用 WinRAR 漏洞 CVE-2023-32231 从不同的葡萄牙邮件地址发送恶意电子邮件。电子邮件发件人欺骗地缘政治实体,并以金砖国家峰会和欧洲议会会议为主题引诱目标打开电子邮件。  

2023 年 9 月 1 日活动的诱饵文件

这些消息包含 RAR 文件附件,该附件利用 CVE-2023-32231 删除 .cmd 文件(其功能类似于批处理文件),以启动与响应程序侦听器服务器的通信。.cmd 文件尝试修改注册表中的代理设置、下载诱饵文档并将信标发送到 IP 文字响应程序服务器。这与之前报道的滥用 WinRAR 的TA422 活动不同。  

用于启动与响应程序服务器的通信的示例 TA422 .cmd 文件

当 .cmd 文件启动与响应程序服务器的 HTTP 连接时,服务器以 401 代码进行响应,其中包括请求 NTLM 方法进行身份验证的 WWW-Authentication 标头。反过来,受害设备在后续请求中包含敏感的 NTLM 信息,这些信息存储在授权标头中。当交换 NTLM 凭据时,受害设备会发送包含主机和用户名在内的信息(以 Base64 编码的授权标头)。根据 HTTP 响应标头和分配给服务器的 SSL 证书,响应程序服务器很可能是受感染的 Fortigate FortiOS 防火墙。当 NTLM 凭证交换在后台发生时,.cmd 将打开第二个选项卡,浏览到合法的 Europa PDF 文件并显示该文件,以让用户相信该活动是合法的。  

NTLM 凭据暴露示例

虽然这些活动使用了简约的批处理文件,但 Proofpoint 研究人员观察到VirusTotal 上的相同漏洞利用了类似的文件,该文件使用 PowerShell 创建 RSA 密钥和与远程服务器的 SSH 连接。目前尚不清楚这是否与 TA422 属于同一活动集群,但该文件与 2023 年 9 月以来已确认的 TA422 活动之一一样,被发送至 webhook[.] 站点。此外,Proofpoint 研究人员高度确信 TA422 使用了受损的 Ubiquiti路由器(已知的 TA422 托管侦听器首选项)作为 SSH 登录尝试的目标。

屋顶上的莫克宾在唱歌

在 2023 年 9 月至 2023 年 11 月期间,在 Proofpoint 可见性中跟踪葡萄牙邮件发件人,发现多个使用 Mockbin 进行重定向的 TA422 活动。Mockbin 是一项第三方服务,允许开发人员出于测试目的暂存(或模拟)代码,正如我们在CERT-UA、Splunk和ZScaler的同事所指出的那样,该服务之前曾被 TA422 滥用。TA422 向政府和国防部门的目标用户发送诱饵,其中包含一个链接,如果点击该链接,就会启动 Mockbin 的一系列恶意活动。Mockbin 集群经常将受害者重定向到 InfinityFree 域,并且如果用户未通过 TA422 浏览器检查中使用的检查,则几乎总是使用 MSN 作为登录页面。  

Mockbin 活动诱饵文档示例

通过 PHP 进行一系列浏览器指纹识别后,将传递有效负载。Mockbin URL 解析 HTML,检查请求主机的用户代理是否可能是 Windows 主机上的真实浏览器,并检查渲染器是否不是虚拟机。如果这些检查通过,受害者就会被定向到一个 InfinityFree URL,该 URL 检查用户的地理位置;如果检查通过,它将启动 ZIP 文件 news_week_6.zip 的下载。

如果用户执行在 ZIP 文件顶层找到的 LNK,则该 LNK 会执行在 ZIP 结构的嵌套文件夹中找到的合法计算器二进制文件(即使它名为 WINWORD)。LNK 文件披露,开发人员将 LNK 创建的路径称为“PayloadManagerV2”,位于可能的虚拟机的 Z:/ 驱动器中,并且 LNK 包含附加的 DLL,该 DLL 是合法且经过签名的 WordpadFilter.dll 二进制文件。  

TA422恶意ZIP文件夹结构

一旦由 LNK 运行,计算器实例就会旁加载 WindowsCodecs.dll 文件,然后该文件使用系统 API 来执行 command.cmd。.cmd 文件类似于批处理文件,运行一系列命令来清理放入磁盘的文件,显示诱饵文档,并指示第三阶段的 Mocky URL。然后,第三阶段 URL 通过另一组混淆的命令启动与另一个 Mockbin URL 的循环。

TA422 .cmd 文件由.lnk 诱饵文件启动

2023 年 9 月 27 日,TA422 向政府部门的目标用户发送了另一场欺骗 Microsoft 的 Mockbin 活动。该活动利用 Windows 更新作为诱饵,鼓励受害者点击一个链接,如果执行该链接,将启动 Mockbin 的一系列活动。

Mockbin URL 重定向最终下载了一个 ZIP 文件,其命名与普通 Windows 更新类似,例如 kb5021042.zip 或 update-kb-5021042.zip。观察到的所有 ZIP 文件都包含一个签名的 Windows CAB 安装程序和一个作为批处理文件运行的 .cmd 文件,显示所谓的 Windows 更新的虚假进度条。虽然 CAB 文件是良性的,但 Proofpoint 研究人员在公共恶意软件存储库上观察到类似命名的 ZIP 文件,这些文件与下载并执行有效负载的 .cmd 文件配对,此外还显示虚假进度条。

TA422 假安装程序进度条

2023 年 11 月,TA422 放弃使用 Mockbin 进行初始过滤和重定向,转而直接传递 InfinityFree URL。与 Mockbin URL 一样,交付阶段使用的 InfinityFree URL 将不相关的流量重定向到 MSN 主页。如果这些检查通过,受害者就会被定向到一个 InfinityFree URL,该 URL 检查用户的地理位置;如果检查通过,就会开始下载 war.zip。

如果用户执行在 ZIP 文件顶层找到的 .cmd,则该 .cmd 会执行在同一文件夹中找到的合法二进制文件。.cmd 文件会清理拖放到磁盘上的文件,并将信标发送到第二阶段 InfinityFree URL。然后,第三阶段 URL 通过另一组混淆的命令启动与另一个 Mockbin URL 的循环。

结论

虽然 Proofpoint 研究人员将这一活动归咎于为俄罗斯军事情报机构运作的威胁行为者 TA422,但根据目标实体、重复大规模使用 CVE-2023-23397 和 CVE-2023-38831,以及托管在其上的单一 SMB 侦听器,虽然 TA422 很可能已被入侵,但我们无法明确说明为什么 TA422 继续在其网络钓鱼活动中使用已披露和修补的漏洞。该组织广泛依赖利用这些缺陷来获得初始访问权限,威胁行为者很可能会继续利用它们,希望目标尚未针对这些漏洞进行修补。

IOC

参考链接:https://www.proofpoint.com/us/blog/threat-insight/ta422s-dedicated-exploitation-loop-same-week-after-week

图片来源网络目标可联系删除

相关文章

Mallox勒索软件新Linux变种现世
伪装成破解程序和商业工具的新型恶意软件正在传播
Orcinius后门新样本分析
Poseidon窃取程序通过Google广告感染Mac用户
大选开始之际,欧盟各政党遭受 DDoS 攻击
微软2024

发布评论