|
骷髅狼(APT-LY-1008)组织利用WinRAR漏洞攻击俄罗斯、白俄罗斯政府及国防部门 |
|
|
内部编号 |
DBAPP-LY-23101601 |
|
关键词 |
APT、俄罗斯、白俄罗斯 |
|
发布日期 |
2023年10月16日 |
|
更新日期 |
2023年10月19日 |
|
分析团队 |
安恒研究院猎影实验室 |
01
事件背景
最近,安恒猎影实验室在日常的网络狩猎中成功捕获了多个针对俄罗斯、白俄罗斯政府及国防部门的攻击样本。通过仔细的样本分析和追溯,我们发现这些攻击事件共享相同的攻击组件和模式,因此我们确定该类攻击背后的幕后黑手为同一组织。鉴于该组织攻击手法的独特性,我们将该组织命名为“骷髅狼”(Skeleton Wolf),猎影实验室内部追踪代号为“APT-LY-1008”。
根据此次捕获的攻击样本我们发现“骷髅狼”组织具有以下特征:
1. 目前已发现的该组织攻击目标包括俄罗斯、白俄罗斯的政府、国防部门。
2. 使用WinRAR最新漏洞(CVE-2023-38831)执行恶意指令,具有很强的隐蔽性。
3. 最终加载基于Mythic平台的Athena后门,该后门支持执行各类恶意指令。
02
样本信息
| 文件名 | MD5 |
|---|---|
| Pismo_ishodjashhee_61301-1_8724_ot_27_09_2023_Rassylka_Ministerstva_promyshlennosti.rar | 129ccb333ff92269a8f3f0e95a0338ba |
| 297vn.rar | b05960a5e1c1a239b785f0a42178e1df |
| Pismo_ishodjashhee_61301-1_8724_ot_27_09_2023_Rassylka_Ministerstva_promyshlennosti.rar | a5051580a58fe56eeed03e714a8afba2 |
| Resultati_soveschaniya30_08_2023.rar | cb4b08946b8eec16cbcf0f78f65a50f7 |
| resultati_sovehchaniya_11_09_2023.rar | a85b9c7212eee05bc3cde3eeba8c7951 |
| Pismo_izveshcanie_2023_10_16.rar | cd1f48df9712b984c6eee3056866209a |
如仿冒“俄罗斯工业和贸易部”下发通知,具体内容与俄罗斯国防部相关
以“欧亚经济委员会”的名义发送会议通知,欧亚经济委员会成立于2015年,成员国包括俄罗斯、哈萨克斯坦、白俄罗斯、吉尔吉斯斯坦和亚美尼亚,总部位于莫斯科。
以“白俄罗斯国家军工委员会”的名义发送调查军事财产的通知
03
详细分析
该组织使用的攻击样本具有高度的一致性,下图展示了其主要攻击流程:
根据压缩包中的诱饵内容我们推测该类攻击起始于钓鱼邮件,恶意的压缩包通过邮件附件的形式投递给攻击目标。压缩包利用WinRAR漏洞( CVE-2023-38831)执行位于压缩包中的cmd文件。
cmd文件中包含的指令会解码并执行另一段经过base64编码的PowerShell指令
PowerShell指令首先会从指定地址下载与压缩包中相同的pdf诱饵文件,然后打开该诱饵以迷惑用户。然后下载exe文件到指定目录,并通过创建名称为“Microsoft Edge”的计划任务的方式执行exe文件。
下载的exe文件为使用Mythic平台生成的Athena后门,Mythic 是一个开源的渗透测试框架,可支持多平台多类型后门的生成以及各类C2协议的配置。
以下是Mythic平台支持的后门列表,本次捕获的攻击活动中攻击者使用了其中的Athena后门。
Athena是一款基于.NET开发的后门,支持Windows,Linux,MacOS等操作系统,并且还支持HTTP,Websocket,Slack,Discard,SMB等协议进行C2通信。
通过Mythic平台我们还可以自由配置Athena支持的命令,该后门支持多种类型的命令,以下是完整的指令列表。
| 指令 | 含义 |
|---|---|
|
|
进行arp扫描 |
|
|
唤醒或休眠电脑 |
|
|
读取文件内容 |
|
|
修改当前路径 |
|
coff |
执行一个COFF文件 |
| cp | 复制文件 |
| crop | 从服务器下发文件到本地 |
| drivers | 获取驱动器信息 |
| ds | 针对域控制器运行 LDAP 查询 |
| ds-connect | 绑定到 LDAP 控制器 |
| ds-query | 针对域控制器运行 LDAP 查询 |
| env | 输出环境变量 |
| farmer | 在Windows 域中收集 NetNTLM哈希值 |
| get-clipboard | 获取剪切板内容 |
| get-localgroup | 获取当前用户组 |
| get-sessions | 获取网络会话 |
| get-shares | 获取网络共享 |
| hostname | 显示主机名 |
| ifconfig | 获取IP信息 |
| inject-assembly | 向进程注入.NET程序 |
| inject-shellcode | 向进程注入shellcode |
| keylogger | 记录键盘输入 |
| kill | 关闭指定进程 |
| ls | 枚举指定目录文件 |
| mkdir | 创建目录 |
| mv | 移动文件 |
| nslookup | 执行nslookup查询 |
| patch | 执行asmi绕过 |
| ps | 获取当前进程列表 |
| pwd | 显示当前工作目录 |
| reg | 修改注册表 |
| rm | 删除文件 |
| screenshot | 截取屏幕 |
| sftp | 使用SFTP与指定主机交互 |
| shell | 执行shell指令 |
| shellcode | 执行shellcode |
| test-port | 检查指定端口是否开放 |
| timestomp | 将两个文件的时间戳进行匹配 |
| uptime | 输出当前时间 |
| whoami | 显示当前用户信息 |
| win-enum-resources | 识别本地网络资源 |
04
思考总结
东欧地区一直以来都是地缘政治竞争的焦点,俄乌战争更加剧了各个国家间的冲突,网络空间的冲突作为现实冲突的延续,往往更加激烈且难以察觉。“骷髅狼”组织具有高度专业化的技术水平,不仅擅长制作精良的诱饵,并且能够成熟地利用最新漏洞,同时使用专业的渗透测试平台,极有可能代表着国家级或高度组织规模的攻击团队。
此外这也是我们第一次发现APT组织攻击者使用基于Mythic平台的后门进行攻击,Mythic平台是一个功能强大的工具,其操作相对简单,具备多款强大的后门工具,这使得攻击者能够轻松进行高度复杂的攻击操作。同时,Mythic平台具有很高的可定制性,不得不怀疑,这个攻击组织在未来的攻击中可能会采用其他不同的后门工具。
“
解决方案
-
鉴于样本触发WinRAR漏洞(CVE-2023-38831)的影响版本为小于6.23版本,可升级WinRAR版本至大于等于6.23
-
鉴于恶意程序行为:可以查看Windows计划任务,观察是否有名为“Microsoft Edge”的计划任务,进行取证排查,确认危害后删除;排查是否有“AIMP.exe”或者“MikrosoftEdge.exe” 的可疑文件或进程,排除正常应用,确认危害后删除。
“
安恒信息产品已集成能力
安恒云沙箱反馈与合作请联系:[email protected]
往期推荐
原文始发于微信公众号(网络安全研究宅基地):神秘组织利用WinRAR最新漏洞,俄方政府再遭网络攻击
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论