【高级持续威胁追踪(APT)】针对俄罗斯白俄罗斯的未知APT行动

近期，深信服深瞻情报实验室在日常的威胁狩猎活动中，发现多个来源为白俄罗斯，俄罗斯的压缩包文件。经过分析发现这些压缩包文件均为精心构造的，利用WinRAR漏洞(CVE-2023-38831)进行恶意攻击的样本。

攻击者向目标发送钓鱼邮件，邮件带有漏洞利用的压缩包附件，当目标用户使用存在漏洞的WinRAR应用程序打开压缩包，并点击其中的PDF文件时，压缩包内的恶意代码将会执行。该恶意代码为一段powershell命令，其会从攻击者的恶意载荷服务器下载后续载荷和欺骗性的PDF文档，并打开PDF文档来迷惑用户，后续创建任务计划来执行刚下载的恶意载荷，该恶意载荷为Athena后门工具。

捕获到的两封电子邮件如下：

邮件1：

邮件1伪造成2024-2025工作计划会议的会议结果文件，发件人伪造为俄罗斯工业和贸易部国防军事相关的顾问人员。攻击目标为俄罗斯芯片领域的公司。

邮件的附件为漏洞利用压缩包，点击resultati_sovehchaniya_11_09_2023.pdf时，因为WinRAR的文件名预处理操作导致漏洞触发，从而执行resultati_sovehchaniya_11_09_2023.pdf .cmd

Cmd文件会执行一段powershell命令

解码后如下：

该段命令主要为从远程载荷服务器45.142.212[.]34下载迷惑性PDF文档并打开，后续下载恶意载荷，并设置任务计划。任务计划名称为”aimp2”，十分钟执行一次，存放恶意载荷的目录为$($Env:LocalAppData)MicrosoftWindowsringtonesaimp2[.]exe

AIMP疑似为俄罗斯流行的音乐播放器软件，此处攻击者使用Athena_Agent后门工具来伪装。该次攻击中使用Discord作为C2通信的信道。因该工具为开源后门框架，此处不再进行分析。

PDF内容如下：

中文翻译如下：

9月11日，在欧亚经济委员会现场，召开了一次会议，讨论了纳入研究工作的主题：“对世界和创新产品的技术、市场和市场的发展趋势和前景进行审查”。在欧亚经济联盟内部，并就联盟内有希望的技术合作领域制定提案，并在《欧亚经济委员会2024-2025年研究计划》中支持其采取措施，并按信息顺序发送。

邮件2：

邮件2标题为“关于召开2024年、2025年工作计划研究问题会议的通知”。邮件内容同邮件1一样。攻击目标为俄罗斯的军工国防相关的研究单位FSUE”GosNIIPP”。邮件的附件为一个加密的压缩包和一个包含解压密码的PDF文档。

解压密码为Самара37，Самара猜测为俄罗斯城市萨马拉

后续攻击流程同邮件1一样，但创建的计划任务名称从”aimp2”改为"Microsoft Edge"。

PDF内容如下：

中文翻译如下：

重要的！
亲爱的同事们！
我谨向您发送俄罗斯联邦工业和贸易部于 2023 年 9 月 27 日发送的一封信，编号为 94246/06。 我请求您熟悉这些信息。
附录：俄罗斯工业和贸易部 2023 年 9 月 27 日的信函，编号 94246/06，3 页。1 份。

根据相关的资产进行拓线分析发现多个攻击样本文件。这些样本均利用WinRAR漏洞(CVE-2023-38831)进行投递。且除了攻击俄罗斯相关单位还对白俄罗斯进行攻击。攻击白俄罗斯的压缩包使用密码保护，密码为Гомель24

白俄罗斯的城市戈梅利的名称在俄语中表示即为Гомель

攻击白俄罗斯的诱饵文档如下：

另经过比对发现，攻击者疑似为了提高可信度修改了官方的PDF文档。

右边的文档清晰度更高，显示的会议时间为6月2日和5月30日。并且说明文档后续附带有会议纪要。左边的文档清晰度变低，时间为9月11日，并删除了一些说明性语句。查看文档属性发现左边的文档为在线编辑工具生成。

从上述种种迹象来看，攻击者可能熟悉俄语。

对捕获到的样本进行整理发现，攻击似乎是从8月底9月初开始的。

并且攻击者展现出非常快速的防御规避能力，在最初捕获到的邮件中，压缩包还未进行加密，而后续的攻击中均使用加密的压缩包，该方法成功的规避了邮件安全类产品对附件的检测。未加密文档在Virustotal上的检测结果(上传当日)：

加密文档在Virustotal上的检测结果：

另外在最初的攻击样本中，攻击者并未对powershell脚本进行混淆处理，BASE64解码后的命令清晰可见。

随后的攻击中，攻击者开始对powershell脚本进行混淆处理，开始只是对IP进行混淆，此方法可以绕过对IP进行扫描的部分安全产品。

后续对文件目录名称也开始进行混淆，可以绕过监控敏感目录的扫描。

在10月17日捕获的样本中攻击者进行了更严重的混淆，几乎没有可识别字符串。

除了对脚本文件进行混淆外，攻击者对其所使用的攻击资产也进行了快速的迭代更新：9月份攻击者的载荷服务器直接使用IP地址。但因配置问题，具有开放目录。文件可以直接访问下载。

但在最新的样本中，攻击者开始使用域名，并且设置请求头来规避上述问题。

直接访问则响应为404

根据对攻击资产的测绘数据分析发现，恶意载荷服务器192.121.87[.]187上曾存放有俄罗斯央行发布的金融相关的PDF文档。

我们有理由怀疑攻击者也试图攻击俄罗斯金融相关行业。

此次攻击事件中，攻击者所使用的精心构造的欺骗性文档，以及针对不同的攻击目标而使用不同的加密密码，对官方文档进行日期的替换修改等均展现出来攻击者的专业性。加密文档的使用，攻击代码混淆方式的迅速迭代，攻击资产防护策略的增强，也表明攻击者可以根据目标环境迅速改变技战术的能力。但因攻击者使用公开的C2工具以及流行的IM信道进行通信，未能将此次事件与已知组织关联起来。

从捕获到的样本来看，攻击者似乎并没有成熟的武器库，最初的攻击行为略显青涩，但其后续快速迭代的能力，以及钓鱼话术及钓鱼文档的使用上，最新漏洞的成熟利用，专业化C2工具的使用上，目标的精确选取上，不符合网络犯罪组织的行为特征，因此我们认为该次攻击事件为未知APT攻击。