介绍
趋势科技此前发表了一些文章,讨论与中国有关的威胁行为者(我们追踪为“Earth Lusca”)的运作。该组织至少自 2020 年以来一直活跃,并定期改变其作案方式,已知会同时发起多项不同的活动。
在我们对这个威胁行为者的监控过程中,我们注意到一项新的活动利用中国与台湾的关系作为社会工程诱饵来感染选定的目标。根据我们在之前的研究中观察到的工具、技术和程序 (TTP),我们非常有信心地将这次活动归因于 Earth Lusca。
本报告中讨论的攻击活动很可能在 2023 年 12 月至 2024 年 1 月期间活跃,其中包含一份讨论中国台湾地缘政治问题的诱饵文件。该文件是在台湾全国大选前两天创建的,该文件似乎是从台湾地缘政治专家那里窃取的合法文件。
请注意,最近泄露的私人文件为一家名为I-Soon的中国公司提供了新的归属途径。我们在本条目的单独部分中讨论这些联系。受害者、使用的恶意软件以及Earth Lusca 和 I-Soon 的可能位置之间存在显着重叠。这至少表明这些群体之间存在着重要的联系。目前我们的研究仍在继续。
Earth Lusca攻击链
图 1. 该活动中使用的感染链
通过鱼叉式网络钓鱼进行初始访问
尽管我们无法确定 Earth Lusca 用于向其目标传送感染文件的初始方法,但我们找到了初始感染文件,即名为China_s grey zone war against Taiwan.7z 的档案 (.7z) 。根据威胁行为者之前的活动,我们怀疑该文件是通过电子邮件发送到目标的,或者作为附件或作为链接嵌入。
该存档由一个名为“中国对台灰色地带战争”的文件夹组成,其中包含两个不同的Windows快捷方式文件(.LNK)和一个名为“__MACOS”的子文件夹。
图 2. 7-Zip 存档的内容
__MACOS 子文件夹名称类似于 macOS 创建的合法__MACOSX文件夹名称,默认情况下隐藏,用于存储每个文件夹的各种设置。在我们分析的案例中,__MACOS 文件夹不包含任何元数据,而是隐藏了恶意负载的另一个阶段。
__MACOS 子文件夹包含两个名为“ _params.cat.js ”和“ _params2.cat.js ”的文件。
所有文件都显示元数据,表明文件的最后修改时间为 2024 年 1 月 11 日。
第一阶段:具有隐藏目标属性的快捷方式(LNK)文件
LNK 文件一旦被选择,就会执行存储在 __MACOS 文件夹中的 JavaScript 代码。
如果用户尝试右键单击恶意 LNK 文件并显示其“目标”参数,则只会看到explorer.exe文件名,后跟空格字符,如图 3 和图 4 所示。
图 3.“目标”属性字段的开始(顶部)和结束(底部)(空格字符为蓝色)
威胁行为者在“arguments”属性中插入了255 个空格字符,然后再包含恶意脚本的实际路径,以确保用户不会注意到任何问题。
LNK 解析器等工具揭示了“arguments”字段的全部内容:
图 4. 在实际参数值之前使用了 255 个空格字符
第二阶段:混淆JavaScript文件
第二阶段使用Dean Edward 的 JavaScript Packer进行混淆,该工具旨在混淆 JavaScript 代码以阻碍分析和检测。
图 5. Dean Edward 的 JavaScript Packer 的典型签名
第三阶段:反混淆的 JavaScript 文件和释放器
第三阶段将包含十六进制数据的文本文件放置到%APPDATA%Roaming 目录中。
图 6. 带有“4d534346 = MSCF”标记的文本字符串被写入临时文件
该文本文件包含一个魔术签名4d534346,它是一个Cabinet 存档的 Microsoft Cabinet File (MSCF) 签名。然后,JavaScript 使用 live-off-the-land 技术并调用一些LOLBins将十六进制字符串解码为二进制文件 ( certutil.exe ) 并解压压缩文件 ( Expand.exe )。
图 7. 内阁档案内容
提取的压缩包包含一个诱饵文件、一个签名的合法可执行文件和一个恶意 DLL 库。
在我们观察的案例中,我们发现诱饵文件是 Microsoft Word 文档、Microsoft PowerPoint 文档或 PDF 文档。虽然这些是由从事中台政治关系的专业人士撰写的,但我们在网上找不到任何这些文件。我们以中等到高的置信度怀疑这些文件是从这些作者或其雇主那里窃取的。我们已联系这些个人和组织,并警告他们其系统可能受到损害。
来自奇虎360的已签名合法可执行文件360se.exe在DLL劫持事件中被Earth Lusca更名为pfexec.exe 。执行后,它会启动同一文件夹中包含的 DLL ( chrome_elf.dll )。
第四阶段:Cobalt Strike无阶段客户端(恶意混淆DLL库)
感染链的最后阶段是无阶段的 Cobalt Strike 有效负载。这里列出了从嵌入式配置中提取的值得注意的参数:
C2Server - upserver.updateservice.store,/common.html
HttpPostUri - /r-arrow
Watermark - 100000000类似的攻击
在对该活动的监控过程中,我们收到了更多使用类似结构和类似技巧的档案,但具有不同的文件名、诱饵名称和命令与控制(C&C)服务器等。
其中一个值得注意的文件是另一个名为“ ppt-cih1w4.7z ”的 7z 存档文件,其中包含一个名为“ Sino-Africa_relations ”的文件夹,如图 8 所示:
图 8. 7-Zip 存档的内容
该文件夹还包含一个 LNK 文件和一个带有负载的 __MACOS 文件夹,这次的时间戳为 2023 年 12 月 22 日。
与之前分析的档案类似,有几个阶段通向最后一个阶段(即 Cobalt Strike),只是配置不同。C&C 服务器名称滥用了网络安全公司 Cybereason 的名称。这次可延展的配置文件也有所不同,并使用不同的 URL,但水印保持不变。
C2Server - www.cybereason.xyz,/mobile-android
HttpPostUri - /RELEASE_NOTES
Watermark - 100000000攻击在 2024 年之前不久开始
正如引言中提到的,本报告中曝光的竞选活动很可能在 2023 年 12 月至 2024 年 1 月期间活跃,而诱饵文件是在台湾全国大选前两天制定的。
Earth Lusca 使用的 C&C 域 ( updateservice[.]store ) 于 2023 年 12 月 12 日匿名注册,并且有一个子域用于 C&C 通信 ( upserver.updateservice[.]store )。
与此同时,本次攻击活动中使用的另一个 C&C 域名 ( Cybereason[.]xyz ) 于 2023 年 10 月 27 日匿名注册。
截至撰写本文时,这两个 C&C 服务器均不可用。
我们还发现证据表明Earth Lusca针对的是一家致力于研究国际政治和经济形势的台湾私人学术智库。
虽然在撰写本文时我们无法找到其他活动目标,但我们怀疑Earth Lusca可能计划攻击更多与政治相关的实体。
I-Soon 领先
最近 GitHub 上的一次泄露暴露了一家名为 I-Soon 的中国公司的大量数据,该公司似乎自 2016 年以来一直活跃。该公司在其网站上将自己描述为“APT 防御和研究实验室”,并提供了对其服务的描述:进攻性和防御性安全、反欺诈解决方案、区块链取证解决方案、安全产品等。该组织还指出了与其合作的多个执法和政府实体。有趣的是,自 2017 年以来,I-Soon 已获得几轮融资。其投资者之一是来自中国的反病毒公司奇虎——如前所述,该公司有一个被滥用于 DLL 劫持的可执行文件。
我们在 I-Soon 泄漏事件中发现了一些迹象,使我们相信Earth Lusca的一些活动与泄漏的内容相似:
Earth Lusca 和 I-Soon 之间存在一些受害者重叠:I-Soon 泄露受害者名单上的一些名字也是 Earth Lusca 攻击的受害者。
I-Soon 和 Earth Lusca 使用的恶意软件和工具库有一些很强的重叠之处。Earth Lusca 广泛使用了ShadowPad、Winnti和其他一些工具等恶意软件,i-Soon 也使用了这些恶意软件。
我们还发现两者之间存在位置重叠。在2023 年 9 月的博客文章中,我们提到 Earth Lusca 的源 IP 地址来自四川省成都市,也是 I-Soon 渗透团队的总部所在地。
结论
Earth Lusca仍然是一个活跃的威胁参与者,其主要动机包括网络间谍活动。组织必须对使用复杂 TTP 的 APT 组织保持警惕。特别是,如果恶意行为者成功窃取机密信息,政府组织将面临潜在的危害,不仅可能影响国家和经济安全,而且可能影响国际关系。与此同时,遭受网络间谍攻击的企业可能会面临客户信任度下降和运营中断,进而导致财务影响。
鉴于Earth Lusca喜欢使用电子邮件,将社会工程作为其主要感染途径之一,并利用本次活动中出现的相关社会和政治问题,我们建议个人和组织遵守安全最佳实践,例如避免点击可疑电子邮件和网站链接并及时更新软件,以最大程度地减少成为 Earth Lusca 攻击受害者的机会
MITRE ATT&CK 技术
下面列出的技术是MITRE ATT&CK 列表的子集.
最终的有效负载 Cobalt Stike 可能会使用MITRE 网站上列出的其他技术。
妥协指标 (IOC)
[7z archives]
6306b20b4b3fc089a7fd0e0b15ea52da879da95463d247d4f0a698207eda2718
998c18cef6f79bab58b78b390a518c3a7c8e48da37b0953e72cbe04c1287d85d
bc0697f074bcd9d26eb3fc65b1d305661c9c9d32ef0afe83fac4083d04fe38b4
[LNK files]
e1b3bdde52fdec917aaa79f8fb1e01186447def36594339bac316a13d84ee667
2fa270cf83b341bc469b0d4430d2b5c3e95109b4b47f4f99c9e878aeaff8ec33
b7afa2662f99edcda4be8539fcc6149176f3cb241a724932cadda4088ca695ea
8a3bb648ecdffe4e6b0dcdd988c3f28eeb5dcb9e60e84fc4b7f5db947d77ebb8
[JS files]
32dda71e75546bed9c3032a139fb1ef8d1b05e35f26bccb568cebbae76db7f01
5a99e609bb4d3085ce0f82b23c5ce597ebf1401156d1f002a850293f8f8fac49
434517ef2e12af66ef97b740e4caf9b07a73f1321bf013b6ee6dd0d180804409
22b2d9c5d3aa575283bc0afc60df5fb8720c384bd7040ca6e4e42491b5fefcde
[Cabinet archives]
f32415fab8cc5ce811088b85475d0691815e6ac3ff9a65c1f6a134fa25f05b4f
2fe53a6d753eb0e288b0e514b5668ed13749227da65cd346c144c0cf8e438974
a19b88046b9ecd462037c7eef4cda1407664a1010ee0c8ef2b2fc907a129f6b7
119d6dbe182a8f4c060ae270a3606a72c7042af01de95f65936ff86774873ee7
[Cobalt Strike]
fb6b0ff2da14b6447b21f0fc4ae73724667c8f6d296d707f18a28633b4e59ed0
e075e35f74df484366f5a1497ebeb7262c16e6dad0ed6eadd18c11b0a512c7a0
[Decoy files]
156eec85df18e7ff992a5bf35c97938557ac506c2306a8cb6633602d8a6568ed
aa880c609f5cbac2b45977359d1fd87f8292bc23e262c7a71530ae28948bdb49
59e8f42f8cd6f5bcbe5398d393314161e565adb6fb9620ddb2526798f3c34354
[C&Cs servers]
upserver.updateservice.store
www.cybereason.xyz参考链接: https://www.trendmicro.com/en_us/research/24/b/earth-lusca-uses-geopolitical-lure-to-target-taiwan.html
图片来源网络目标可联系删除
