背景
近期,深信服深瞻情报实验室在日常的威胁狩猎活动中,发现多个来源为白俄罗斯,俄罗斯的压缩包文件。经过分析发现这些压缩包文件均为精心构造的,利用WinRAR漏洞(CVE-2023-38831)进行恶意攻击的样本。
分析
攻击者向目标发送钓鱼邮件,邮件带有漏洞利用的压缩包附件,当目标用户使用存在漏洞的WinRAR应用程序打开压缩包,并点击其中的PDF文件时,压缩包内的恶意代码将会执行。该恶意代码为一段powershell命令,其会从攻击者的恶意载荷服务器下载后续载荷和欺骗性的PDF文档,并打开PDF文档来迷惑用户,后续创建任务计划来执行刚下载的恶意载荷,该恶意载荷为Athena后门工具。
案例分析
捕获到的两封电子邮件如下:
邮件1:
邮件1伪造成2024-2025工作计划会议的会议结果文件,发件人伪造为俄罗斯工业和贸易部国防军事相关的顾问人员。攻击目标为俄罗斯芯片领域的公司。
邮件的附件为漏洞利用压缩包,点击resultati_sovehchaniya_11_09_2023.pdf时,因为WinRAR的文件名预处理操作导致漏洞触发,从而执行resultati_sovehchaniya_11_09_2023.pdf .cmd
Cmd文件会执行一段powershell命令
解码后如下:
该段命令主要为从远程载荷服务器45.142.212[.]34下载迷惑性PDF文档并打开,后续下载恶意载荷,并设置任务计划。任务计划名称为”aimp2”,十分钟执行一次,存放恶意载荷的目录为$($Env:LocalAppData)\Microsoft\Windows\ringtones\aimp2[.]exe
AIMP疑似为俄罗斯流行的音乐播放器软件,此处攻击者使用Athena_Agent后门工具来伪装。该次攻击中使用Discord作为C2通信的信道。因该工具为开源后门框架,此处不再进行分析。
PDF内容如下:
中文翻译如下:
9月11日,在欧亚经济委员会现场,召开了一次会议,讨论了纳入研究工作的主题:“对世界和创新产品的技术、市场和市场的发展趋势和前景进行审查”。在欧亚经济联盟内部,并就联盟内有希望的技术合作领域制定提案,并在《欧亚经济委员会2024-2025年研究计划》中支持其采取措施,并按信息顺序发送。
邮件2:
邮件2标题为“关于召开2024年、2025年工作计划研究问题会议的通知”。邮件内容同邮件1一样。攻击目标为俄罗斯的军工国防相关的研究单位FSUE”GosNIIPP”。邮件的附件为一个加密的压缩包和一个包含解压密码的PDF文档。
解压密码为Самара37,Самара猜测为俄罗斯城市萨马拉
后续攻击流程同邮件1一样,但创建的计划任务名称从”aimp2”改为"Microsoft Edge"。
PDF内容如下:
中文翻译如下:
重要的!
亲爱的同事们!
我谨向您发送俄罗斯联邦工业和贸易部于 2023 年 9 月 27 日发送的一封信,编号为 94246/06。 我请求您熟悉这些信息。
附录:俄罗斯工业和贸易部 2023 年 9 月 27 日的信函,编号 94246/06,3 页。1 份。
根据相关的资产进行拓线分析发现多个攻击样本文件。这些样本均利用WinRAR漏洞(CVE-2023-38831)进行投递。且除了攻击俄罗斯相关单位还对白俄罗斯进行攻击。攻击白俄罗斯的压缩包使用密码保护,密码为Гомель24
白俄罗斯的城市戈梅利的名称在俄语中表示即为Гомель
攻击白俄罗斯的诱饵文档如下:
另经过比对发现,攻击者疑似为了提高可信度修改了官方的PDF文档。
右边的文档清晰度更高,显示的会议时间为6月2日和5月30日。并且说明文档后续附带有会议纪要。左边的文档清晰度变低,时间为9月11日,并删除了一些说明性语句。查看文档属性发现左边的文档为在线编辑工具生成。
从上述种种迹象来看,攻击者可能熟悉俄语。
关联分析
对捕获到的样本进行整理发现,攻击似乎是从8月底9月初开始的。
并且攻击者展现出非常快速的防御规避能力,在最初捕获到的邮件中,压缩包还未进行加密,而后续的攻击中均使用加密的压缩包,该方法成功的规避了邮件安全类产品对附件的检测。未加密文档在Virustotal上的检测结果(上传当日):
加密文档在Virustotal上的检测结果:
另外在最初的攻击样本中,攻击者并未对powershell脚本进行混淆处理,BASE64解码后的命令清晰可见。
随后的攻击中,攻击者开始对powershell脚本进行混淆处理,开始只是对IP进行混淆,此方法可以绕过对IP进行扫描的部分安全产品。
后续对文件目录名称也开始进行混淆,可以绕过监控敏感目录的扫描。
在10月17日捕获的样本中攻击者进行了更严重的混淆,几乎没有可识别字符串。
除了对脚本文件进行混淆外,攻击者对其所使用的攻击资产也进行了快速的迭代更新:9月份攻击者的载荷服务器直接使用IP地址。但因配置问题,具有开放目录。文件可以直接访问下载。
但在最新的样本中,攻击者开始使用域名,并且设置请求头来规避上述问题。
直接访问则响应为404
根据对攻击资产的测绘数据分析发现,恶意载荷服务器192.121.87[.]187上曾存放有俄罗斯央行发布的金融相关的PDF文档。
我们有理由怀疑攻击者也试图攻击俄罗斯金融相关行业。
结论
此次攻击事件中,攻击者所使用的精心构造的欺骗性文档,以及针对不同的攻击目标而使用不同的加密密码,对官方文档进行日期的替换修改等均展现出来攻击者的专业性。加密文档的使用,攻击代码混淆方式的迅速迭代,攻击资产防护策略的增强,也表明攻击者可以根据目标环境迅速改变技战术的能力。但因攻击者使用公开的C2工具以及流行的IM信道进行通信,未能将此次事件与已知组织关联起来。
从捕获到的样本来看,攻击者似乎并没有成熟的武器库,最初的攻击行为略显青涩,但其后续快速迭代的能力,以及钓鱼话术及钓鱼文档的使用上,最新漏洞的成熟利用,专业化C2工具的使用上,目标的精确选取上,不符合网络犯罪组织的行为特征,因此我们认为该次攻击事件为未知APT攻击。
IOCS