一、攻击活动分析
1.攻击流程分析
攻击者通过发送钓鱼邮件的方式下发恶意文档,受害者打开文档时会下载恶意可执行文件,该文件通过内存加载的方式执行Powershell脚本,脚本接着从远端下载dll并进行无文件加载,恶意dll最终解密释放出VenomRAT,从而完成窃密行动。
2.载荷投递分析
2.1.载荷投递方式
本次攻击中,攻击者是通过下发钓鱼邮件诱导受害者查看附件的方式投递载荷,捕获的邮件如下所示:
附件内容如下:以“面临新的战争威胁—亚美尼亚共和国国家安全局”为诱饵,呼吁处在冲突区域的同胞团结。
2.2.恶意载荷分析
邮件中携带的恶意附件信息如下:
MD5 8f68008574017fc55bd04f35f967085a
文件大小 624.00KB (638976字节)
文件类型 doc
文件名 haytararutyun.doc打开恶意文档时会提示启用宏,但是在Office 2016以下版本是看不到具体宏代码的,因为攻击者将文档中的PROJECT流数据中的宏代码模块信息进行了删除,这样可导致用户打开文档后宏代码页面看不到具体代码。这种技巧可能导致该样本能逃避多家安全厂商的查杀,截止目前,该样本在VT上只有三家引擎能查杀。
不过这种技巧在Office 2016及以上不起作用,用高版本的Office打开文档,显示携带的宏代码如下所示:
恶意宏的主要功能是将一段Powershell代码保存为bat文件,并隐藏执行bat脚本,其功能为从远端下载恶意载荷并执行,值得一提的是下载连接中的域名karabakhtelekom.com模仿的是卡拉巴赫电信网站karabakhtelecom.com(简拼kt.am),Karabakh指的是纳卡(Nagorno-Karabakh),并且karabakhtelekom.com该域名是2023年9月4日才注册,可以看出这是一起有计划有针对性的行动。
下载载荷的信息如下:
MD5 cbbad2e2170ee73c2bfdacdade718d29
文件大小 3.46MB (3630735字节)
文件类型 exe
文件名 ekeng-mta.exe
编译时间 2023-08-26 17:40:26 UTCekeng-mta.exe伪造了“Microsoft Windows”签名,只是当前签名无效。
该程序的主要功能是内存加载执行一段Powershell代码:
这段代码的功能是加载远端的ps1脚本,远端脚本继续下载mta.dll恶意载荷并执行其Main函数,远端脚本内容如下所示:
3.攻击组件分析
加载的恶意载荷mta.dll的信息如下所示:
MD5 e1d068a143a5f2aaa98f231dfcfb0e72
文件大小 734.05KB (751672字节)
文件类型 dll
文件名 mta.dll
编译时间 2048-01-31 15:05:52 UTC根据样本信息可知其编译时间被修改,同时,样本也携带有“Malwarebytes Inc.”的无效签名,该签名时间为2023年8月14日,可以推断样本的编译时间在这之前。
mta.dll是一个C#编写的可执行文件,它首先将一串Base64字符串进行解码,形成一段字节数组,然后将这段字节数组和硬编码的字符串“iamzerobyte”进行异或解密,形成ShellCode。然后通过内存映射的方式将ShellCode写入内存并执行。
这段ShellCode的目的是从内存中解密可执行文件,并通过内存加载C#程序集的方式无文件执行payload。
具体做法是ShellCode先将一段包含加密之后的payload的数据拷贝到缓冲区,然后使用XOR进行解密,就可以得到包含最终payload的数据集。
接着进行一系列的校验之后,利用内存加载C#程序集的方式执行payload。
该payload经过分析发现其类型为VenomRAT,版本为v6.0.3。其执行流程如下图所示:
VenomRAT运行后首先对配置信息进行解密,解密后的配置信息如下所示:
Key PZyp0vsUQIhX2vzfMy8zUON2ZP1AItBl
Ports 31507
Hosts 193.161.193.99
Version Venom RAT+HVNC+Stealer+Grabber v6.0.3
Install false
Install_File
MTX ajmlxbvgoegjpkevdnz
Pastebin null
BS_OD false
Group Default
Anti_Process false
An_ti false接着通过修改内存中amsi.dll中的AmsiScanBuffer()函数来绕过AMSI,以及修改Windows内核(ntdll.dll)中的EtwEventWrite()函数来禁用Windows事件跟踪(ETW)功能,从而更利于恶意代码执行。
随后创建“ajmlxbvgoegjpkevdnz”互斥体,保持单例运行,最后启用键盘记录功能,从而进行窃密行动。由于该RAT主要是以插件的方式下发恶意组件,受害者一旦上线后攻击者可自由选择恶意插件,从而完成各种功能。根据泄露的VenomRAT源码来看,Server端可下发多种插件,其涵盖有文件管理、文件搜索、远程桌面,远程摄像头、上传/下载文件、进程管理、注册表管理、浏览器密码窃取和反向代理等众多功能。
二、归属研判
1) 本次攻击使用的VenomRAT类型载荷在2022年思科分析的LodaRAT系列组件报告(https://blog.talosintelligence.com/get-a-loda-this/)中提及过,而LodaRAT系列组件被思科认为其幕后组织为Kasablanka。根据报告,当时该组织使用的是名为S500的简易版VenomRAT, 该版本的VenomRAT源码被泄露在Github上后被该组织使用进行后续加载其他组件LodaRAT。本次使用的VenomRAT版本是Venom RAT + HVNC + Stealer + Grabber v6.0.3,该版本客户端的生成工具、源码在今年均已被公开,猜测攻击者也是根据最新公开的源码进行编译使用的。其VenomRAT v6.0.3打开部分界面如下所示,其主要功能都是插件的模式进行的,相对于去年的S500功能更多,可以继续加载其他任意组件;
2) 本次捕获的样本最终载荷交互的C&C为193.161.193[.]99,该IP在思科又一篇分析的LodaRAT组件中(https://blog.talosintelligence.com/lodarat-update-alive-and-well/)出现过,当时思科还没有将该系列命名为Kasablanka组织。后来思科在经过一系列调查后认为使用该恶意软件的背后组织为Kasablanka,因此有理由相信该IP也曾被Kasablanka使用过;
3) 恶意样本诱饵文档以及邮件正文信息内容都是亚美尼亚语,该组织过去长期针阿塞拜疆等地区进行攻击,而阿塞拜疆与亚美尼亚相邻,并且在纳卡地区存在领土争端多年,该地区的人群大部分也使用亚美尼亚语言。根据本次样本关于战争威胁的伪装内容以及恶意域名伪装成卡拉巴赫电信网站等信息,有理由相信该组织此次攻击对象为纳卡地区的单位或人群,这也符合该组织攻击目标。
综上,我们将其归属到Kasablanka组织。
总结
今年以来已多次有关Kasablanka组织的攻击报道,在本次攻击中该组织利用极具诱惑性的诱饵和伪装的钓鱼连接下发VenomRAT类型木马进行窃密活动,使得攻击防不胜防,后续我们也将持续关注该组织的最新攻击活动。
在这里提醒用户加强安全意识,切勿执行未知样本或点击来历不明的链接等操作。这些行为可能导致系统在没有任何防范的情况下被攻陷,从而导致机密文件和重要情报的泄漏。
IOC
MD5:
f5a99795ff13f68c138b891f731224d7
8f68008574017fc55bd04f35f967085a
cbbad2e2170ee73c2bfdacdade718d29
d4567ca45aded54298f9ccf063ed89cf
e1d068a143a5f2aaa98f231dfcfb0e72
C&C:
https://karabakhtelekom[.]com/api/ekeng-mta.exe
http://139.84.231[.]199:8080/get/j6F2fQnRO4/mta.ps1
http://139.84.231[.]199:8080/get/CF6frm57nj/mta.dll
193.161.193[.]99:31570参考链接:https://mp.weixin.qq.com/s/DZwbJ8-UTji29kH2on90fQ
图片来源网络目标可联系删除
