APT28利用新冠疫苗话题投递Zebrocy木马

admin 2020年12月14日20:51:09评论34 views字数 4638阅读15分27秒阅读模式


 1
简介



今年以来已有多个攻击组织利用新冠疫情话题进行攻击,而随着新冠疫苗逐渐成为新的热点话题,已经有攻击者开始利用新冠疫苗话题进行网络攻击了。就在今年11月份,Intezer公司的研究人员捕获到了疑似APT28组织(也称为Sofacy,Sednit,Fancy Bear和STRONTIUM),利用新冠疫苗话题进行攻击的钓鱼文件,这些诱饵被用来投递Go版本的Zebrocy木马。Zebrocy木马此前被发现用于攻击外交机构和商业组织。诱饵文件包括假冒的国药集团(中国的一家从事新冠疫苗生产的企业,研发进度在世界上比较靠前,目前正在进行三期临床试验)的文件和冒充民航总局发布的撤离信。
诱饵文件包含在虚拟硬盘(VHD)文件中受害者需要使用Windows 10访问这些文件,攻击者这样做可能是为了防止静态扫描。因为安全软件通常会扫描压缩包内文件,但可能不会扫描VHD格式的文件。尽管恶意软件样本被严重混淆,但研究人员通过对比样本代码的基因相似性,认为这次攻击很有可能是APT28组织所为。



 2
升级



Zebrocy是APT28组织使用的恶意软件。该恶意软件于2015年首次使用,并与当时已知的APT28的基础设施重叠。Zebrocy充当下载程序运行,收集有关受感染主机的信息,并上传到命令和控制(C&C)服务器,之后进入下载执行阶段。
Zebrocy的第一个版本是用Delphi编写的,并在APT28组织先前使用的恶意软件基础上构建。Zebrocy背后的开发者的一个特点是,他们没有选择改进其代码库以添加新功能并试图躲避检测,而是选择通过使用不同编程语言实现新版本。研究人员目前已经发现了用AutoIT,C++,C#,Delphi,Go和VB.NET等多种语言编写的Zebrocy版本。
虽然Zebrocy被APT28组织使用已是既定事实,但卡巴斯基实验室在2019年1月中的报告中还提到,他们已经发现Zebrocy和GreyEnergy都使用了相同的架构。GreyEnergy于2018年10月被ESET发现,并进行了报道。该组织被认为是BlackEnergy(也称为Sandworm)的继承者。APT28和BlackEnergy通常具有不同的攻击目标,而本次发现可能表明了这些组织之间潜在的关系。
Zebrocy主要用于攻击外交机构和商业组织。受害者位于:“阿富汗,阿塞拜疆,波斯尼亚和黑塞哥维那,中国,埃及,格鲁吉亚,伊朗,日本,哈萨克斯坦,韩国,吉尔吉斯斯坦,蒙古,俄罗斯,沙特阿拉伯,塞尔维亚,瑞士,塔吉克斯坦,土耳其,土库曼斯坦,乌克兰,乌拉圭和津巴布韦。” 攻击者通常使用鱼叉邮件投递Zebrocy,邮件中通常包含恶意的Microsoft Office文档或压缩文件。


 3
技术分析



在11月底,intezer发现了一个名为30-22-243.vhd的虚拟硬盘(VHD)文件(a7b446d79d3fc05a7e1881d6d4abaf55),并且该文件已从阿塞拜疆上传到VirusTotal。VHD是Microsoft虚拟机管理程序Hyper-V使用的虚拟硬盘驱动器的文件格式。Windows 10允许用户直接挂载该类文件并访问其内容。图1显示了用户将文件下载到桌面后会看到的内容。根据文件中保存的时间戳信息,该磁盘是在2020年11月20日创建的,即将其上传到VirusTotal的10天之前。

APT28利用新冠疫苗话题投递Zebrocy木马

图1:VHD网络钓鱼诱饵

如果用户双击该文件,则Windows将安装该驱动器,并作为外部硬盘驱动器。图2显示了VHD的内容。

APT28利用新冠疫苗话题投递Zebrocy木马

图2:VHD文件的内容

VHD文件中包含了两个文件,一个PDF文档和一个伪装成Microsoft Word文档的可执行文件。PDF文件包含有关国药控股国际公司的ppt。图3显示了第一张幻灯片的屏幕截图。

APT28利用新冠疫苗话题投递Zebrocy木马

图3:演示幻灯片的PDF文件内容

国药国际有限公司是一家中国药品制造商,它是中国目前正在研发新冠疫苗的公司之一,疫苗目前正在接受第三阶段的临床试验。当许多疫苗即将获得使用批准时,Zebrocy背后的威胁组织使用以新冠为主题的诱饵就不足为奇了。
第二个文件是恶意可执行文件。默认情况下,Windows会隐藏已知的文件扩展名,这很容易使用户误以为它是Word文档。VirusTotal的对该文件的扫描结果如图4所示,Intezer Analyze的扫描结果如图5所示。

APT28利用新冠疫苗话题投递Zebrocy木马

图4:VirusTotal扫描结果

APT28利用新冠疫苗话题投递Zebrocy木马

图5:Intezer Analyze检测结果

该恶意软件是用Go语言编写的Zebrocy的新版本。今年早些时候,QuoIntelligence发现了APT28组织正在进行的攻击活动,并以较高自信预测该组织的目标是阿塞拜疆。在该攻击中,Zebrocy使用的是Delphi版本。
该下载程序与Palo Alto Networks Unit 42报告的原始下载程序相似,并使用gobfuscator(与Blackrota恶意软件所使用的工具相同)进行了混淆。该样本收集的信息与以前的版本所收集的信息(例如,正在运行的进程,本地磁盘信息以及“ systeminfo”中的系统信息)有所不同,而是收集主机名和用户的TEMP文件夹的路径,并通过使用MD5哈希运算生成标识符。此外,样本中屏幕快照功能不是通过动态导入的第三方库执行,而是将库中的屏幕截图代码直接编译在主代码库中。该恶意软件还具有一些反调试检查。在图6中,可以看到恶意软件调用了Windows API函数IsDebuggerPresent,如果该函数返回true,则进入无限睡眠循环。

APT28利用新冠疫苗话题投递Zebrocy木马

图6:检查进程是否正在调试的逻辑。如果为true,则进入睡眠循环

屏幕快照最终上传到位于以下url的C&C:hxxps://support-cloud[.]life/managment/cb-secure/technology.php。如果C&C返回第二阶段载荷,则将该载荷写入磁盘并执行。C&C的URL方案类似于原始Go版本中使用的URL方案(hxxp://
89.37.226[.]148/technet-support/library/online-service-description.php)。该域名于2020年10月20日在NameCheap上注册,并使用由Let's Encrypt颁发的证书。该证书于2020年11月2日颁发,基础设施托管在80.90.39.24上,此IP归属于总部位于卢森堡的服务器托管商Visual Online公司。


 4
早期活动



通过原始网络诱饵文件中的图标资源,Intezer找到了另一个网络诱饵文件(395e166af5197967503f45c3ac134ff7),该诱饵已于11月12日从哈萨克斯坦上传到VirusTotal。此VHD文件名为No.243.CB3-EVACUATION LETTER.vhd,文件内容如图7所示。

APT28利用新冠疫苗话题投递Zebrocy木马

图7:No.243.CB3-EVALETATION LETTER.vhd的内容。磁盘文件包括可执行文件和PDF文件。

该可执行文件是使用Go语言开发的Zebrocy的另一个版本。它使用相同的C&C URL。使用与该组织先前版本相同的技术对样本进行混淆,包括其中的函数名和字符串信息。在此版本中,通过对字符串中的字符进行后移来混淆字符串,例如,字符A将被映射到字符B。
而PDF文件已经损坏,这不是该组织第一次将损坏的文件用作诱饵文件了。QuoIntelligence在今年早些时候就发现有活动中使用了损坏的Microsoft Excel文件。通过该文件诱骗用户执行应用程序,而不仅仅是查看诱饵。
根据文件名,Intezer猜测,印度民航总局的信息可能已被假冒。因为今年8月,印度,俄罗斯和其他中亚国家之间的航线正准备开通。尽管印度因疫情而暂停了国际航班,但一些航空公司已开通飞往“俄罗斯,乌兹别克斯坦,乌克兰,哈萨克斯坦和吉尔吉斯斯坦”的包机。
相同名称的VHD文件已于10月上传到VirusTotal,但具有不同的内容(855005fee45e71c36a466527c7fad62f);两个样本使用相同的磁盘ID。其中的内容如图8所示。与其他VHD文件一样,该文件也具有PDF文件和伪装成Microsoft Word文档的可执行文件,但并未提供Go版本的Zebrocy,而是使用了Delphi加载程序。

APT28利用新冠疫苗话题投递Zebrocy木马

图8:十月份上传到VirusTotal的VHD内容

PDF诱饵是用俄语编写的。根据Google翻译,标题为:“涉及恐怖主义和极端主义活动或大规模毁灭性武器的分布的国家清单个人和法律实体。” 第一页的内容如图9所示。

APT28利用新冠疫苗话题投递Zebrocy木马

图9:用俄语编写的PDF诱饵的简化屏幕截图

根据时间戳信息,VHD是在域名(support-cloud[.]life)注册后的第二天10月21日创建的, 该域名在同一天被用于对哈萨克斯坦政府部门的鱼叉式网络钓鱼攻击中,第二天该VHD文件被上传到VirusTotal。在11月11日,相同的VHD文件被重用,但其中的诱饵和攻击载荷已被更改。随后第二天,该版本的VHD被上传到VirusTotal。按照这个逻辑,我们可以猜测关于国药的诱饵VHD文件已在11月20日左右使用。


 5
结论



Zebrocy是APT28威胁组织使用的恶意软件工具集,一直在不断地变化混淆和投递技术。Intezer认为,以新冠为主题的攻击仍然是威胁,随着疫苗向公众提供,我们可能会看到更多类似的事件。而公司必须使用深度防御策略来防御威胁,并确保对员工进行了有关网络钓鱼对策相关的培训。同时,网络钓鱼攻击也并非总是源自外部电子邮件地址,它们也很可能来自企业内部的受感染帐户。


 6
IOC



恶意URL:

hxxps://support-cloud[.]life/managment/cb-secure/technology.php

VHD文件:

d5d9210ef49c6780016536b0863cc50f6de03f73e70c2af46cc3cff0e2bf9353

43c65d87d690aea7c515fe84317af40b7e64b350304b0fc958a51d62826feade

d444fde5885ec1241041d04b3001be17162523d2058ab1a7f88aac50a6059bc0

Zebrocy样本:

f36a0ee7f4ec23765bb28fbfa734e402042278864e246a54b8c4db6f58275662

61c2e524dcc25a59d7f2fe7eff269865a3ed14d6b40e4fea33b3cd3f58c14f19

6449d0cb1396d6feba7fb9e25fb20e9a0a5ef3e8623332844458d73057cf04a1



本文为CNTIC编译,不代表本公众号观点,转载请保留出处与链接。

联系信息进入公众号后点击“论坛信息”可见。


原文链接:https://www.intezer.com/blog/research/russian-apt-uses-covid-19-lures-to-deliver-zebrocy/
原文标题: Shadows From the Past Threaten Italian Enterprises
编译:CNTIC情报组

APT28利用新冠疫苗话题投递Zebrocy木马

本文始发于微信公众号(国家网络威胁情报共享开放平台):APT28利用新冠疫苗话题投递Zebrocy木马

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2020年12月14日20:51:09
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   APT28利用新冠疫苗话题投递Zebrocy木马https://cn-sec.com/archives/203841.html

发表评论

匿名网友 填写信息