欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

浅析某针对乌克兰国防和经济部门的大规模钓鱼事件

来源:本站整理 作者:佚名 时间:2019-04-30 TAG: 我要投稿

石楠花开前,小河西村检测到多起针对乌克兰国防和经济部门的攻击事件。在短暂的分析之后,我们惊讶地发现这是一起持续且大规模的网络间谍活动,乌克兰是主要的受害国。
在早起的公开报告中Palo Alto和ESET分别在2018年1月和7月对其进行揭露,小河西村编写本文前两天,FireEye再次揭露一起网络钓鱼活动。我们想各家报告或多或少存在重叠、不尽人意的地方。
由于各种原因,小河西村在惊叹之余一拖再拖,重新提笔亦是行文仓促。为了避免误导,我们力争对以下全部样本进行人工判读,小心求证之后,也对无法笃定的事件本身进行大胆假设。令人鼓舞的是,FireEye的核心观点与关键证据多与小河西村不谋而合,经过劳作,最终行文于此。《维摩诘经》有云:“有所饶益,欢喜无悔”。

我们认同FireEye的观点,小河西村同样认为攻击来源可能来自卢甘斯克或其相同、相邻时区的政治、经济关切实体。攻击活动最早可以追溯到2014年底或2015年初。该组织最近异常活跃,除了国防,证据显示乌克兰经济部门同样遭到该组织攻击。团伙成员使用俄、乌两种语言,活动范围在UTC +2到UTC +3时区。
该团伙以鱼叉钓鱼邮件为主,针对政府部门特定人员定向投递,在多起邮件攻击中,他们自称来自合作伙伴或内部人员,要求收件人员阅读附件内容。这些诱饵包括:行政文件、人员名单、货物清单等等。附件多以压缩文件进行投递,包括lzh、zip、rar等,攻击载荷多以lnk、js、exe和scr为主。该组织成员注册了大量域名用于RAT的下载和C2服务。
虽然根据诱饵内容和收件人地址明确判定为定向投递,仍然让小河西村惊讶的是如此长时间、大规模、高频次的鱼叉钓鱼会有多少成功率?乌克兰政府有没有投入足够的安全设施以及开展安全意识培训?除了一本正经的胡说八道我们也可以聊聊八卦、带上小板凳吃瓜、脑补入侵现场。
开始调查
此处我们以近期该组织针对乌克兰某国防部门的一封鱼叉钓鱼邮件进行切入,收件日期是2019年3月19日(UTC +2)。邮件内容大概是说需要支付某项商品的费用。正文醒目地标识出来这封邮件已经使用最新版本的ESET NOD32进行扫描,没有发现威胁。

邮件附件是一个名为的压缩文件。其中包含一份作为欺骗诱饵的xlsx文档和一份用于攻击的js脚本。

这个js脚本经过相当程度的混淆,其主要的功能是访问http://gravironallc.icu/priceuweb/price.exe下载RAT。

在我们获样时,域名gravironallc.icu成功解析到IP地址62.173.138.211。

price.exe包含PDB路径C:\Magalhae\Release\Store.pdb。

对price.exe进行分析之后,小河西村认定这是新版的SmokeBot Loader。根据样本回溯,在2018年中旬,该组织以及启用SmokeBot Loader。这款木马的执行流程非常复杂。首先在内存中解密一片shellcode,该shellcode经过严重的混淆和乱序,样本通过动态方法获取api函数地址,检查虚拟机环境,校验特定的键盘布局之后,解压一段代码并将其注入到explorer进程当中。

在注入的explorer进程中,样本首先会开启两个线程进行反调试,然后解密字符串,并且通过获取的计算机名、用户名、磁盘序列号等信息通过计算生成互斥提名称以及拷贝自身用作持久化功能的木马名称。创建lnk放入Startup路径,并且创建计划任务。利用控制台启动自身拷贝。连接C2接收指令等等。

在我们分析这例SmokeBot Loader连接的C2服务器地址是:anotherblock.bit和aviatorssm.bit。

Double Kill
在小河西村的调查中我们发现除了以js作为载体外,该组织同样利用lnk(fackDoc)和exe(fackRar)作为下载者进行攻击。再以近期一封邮件为例。

在该组织的攻击惯例中,js包含在lzh文件中。而lnk和exe通常在rar和zip文件中,且同时存在,它们的主要功能都是下载和执行下一阶段的payload。lnk包含在一堆钓鱼文档之中。它们访问的url同为:sinoptik.website/fNXIjoKp

[1] [2] [3]  下一页

【声明】:黑吧安全网(http://www.ylxj.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载