竟敢冒充国家级黑客组织!亚信安全还原攻击事件真实面貌

admin 2024年4月25日18:34:53评论10 views字数 1576阅读5分15秒阅读模式

近日,亚信安全威胁情报中心在日常APT狩猎行动中发现疑似有组织冒充APT29利用Msf发起攻击。亚信安全威胁情报中心基于已积累的情报信息以及网络公开情报信息等开展甄别研判,通过对该攻击事件的详细情况、组织关联归因等进行了深度复盘分析,还原该攻击事件的真实面貌。

1

基本信息

APT29又名Cozy Bear,是一个主要从事信息窃取和间谍活动的APT组织。2023年4月13日,波兰军事反情报局发布了APT29攻击武器Halfrig、Quarterrig和Snowyamber的分析报告,这三个攻击武器都被用来加载CobaltStrike Https Beacon。亚信安全威胁情报中心安全分析人员发现了一个新恶意文件Version.dll,该样本使用到的密钥与APT29在历史攻击事件中的密钥保持一致,通过Msf生成的Shellcode进行通信。

2

事件详情

调用流程分析

Version.dll:旁加载DLL的代理DLL;

Vresion.dll:由Microsoft进行数字签名;

OneDrive.Update:将shellcode注入RuntimeBroker.exe的内存;

内存中的代码作为RuntimeBroker.exe进程空间中的Windows线程执行,并与IP 192.168.127[.]145进行通信。

竟敢冒充国家级黑客组织!亚信安全还原攻击事件真实面貌

【流程图】

详细信息

此次捕获到的样本中Version.dll带有Microsoft的数字签名。

竟敢冒充国家级黑客组织!亚信安全还原攻击事件真实面貌

Dllmain中创建了线程,在线程回调中执行恶意代码,恶意行为如下:

1、枚举所有进程并找到Runtimebroker.exe的进程 ID。

2、从当前工作目录中读取有效负载文件 OneDrive.Update。

3、使用XOR加密算法解密有效负载文件,密钥为28字节:jikoewarfkmzsdlhfnuiwaejrpaw

创建可在进程之间共享的内存块,在Runtimebroker.exe和Version.dll共享内存。

竟敢冒充国家级黑客组织!亚信安全还原攻击事件真实面貌

遍历进程快照,获取RuntimeBroker.exe的PID:

竟敢冒充国家级黑客组织!亚信安全还原攻击事件真实面貌

注入PID为6816的进程(实为RuntimeBroker.exe进程PID)中

竟敢冒充国家级黑客组织!亚信安全还原攻击事件真实面貌

Shellcode解密前的OneDrive.Update:

竟敢冒充国家级黑客组织!亚信安全还原攻击事件真实面貌

Shellcode在内存中解密:

竟敢冒充国家级黑客组织!亚信安全还原攻击事件真实面貌

解密后的Shellcode:

竟敢冒充国家级黑客组织!亚信安全还原攻击事件真实面貌

结合Shellcode的大小、Shellcode头、ip明文等特点,符合Msfvenom的特征,且是内网ip。

竟敢冒充国家级黑客组织!亚信安全还原攻击事件真实面貌

3

狩猎过程

通过研判发现同时上传了Version.dll、OneDrive.Update和Vresion.dll,与之前攻击利用链相同:

竟敢冒充国家级黑客组织!亚信安全还原攻击事件真实面貌
竟敢冒充国家级黑客组织!亚信安全还原攻击事件真实面貌
竟敢冒充国家级黑客组织!亚信安全还原攻击事件真实面貌

旁加载Vresion.dll的代理Version.dll:

竟敢冒充国家级黑客组织!亚信安全还原攻击事件真实面貌

4

总结

APT29在不同攻击目标间频繁实施武器和服务器配置的复用。举例来说,2018年该组织曾用WellMess攻击日本,4年后,他们再次利用WellMess对中国实施窃密行动。在2022年,APT29采用了密钥“jikoewarfkmzsdlhfnuiwaejrpaw”解密Shellcode,随后的Shellcode含有Brc4相关的恶意负载。最新发现的样本中,沿用与APT29相同密钥解密Shellcode,后续的Shellcode则包含Msf相关的恶意负载。

5

相关IOC

C:Users33cu7DesktoponedriveOneDriveUpdaterSideloadingversionx64Debugversion.pdb

39ad0b4b7e9877acc3c142862f3d3617

192.168.127[.]145

6

参考文献

https://unit42.paloaltonetworks.com/brute-ratel-c4-tool/

了解亚信安全,请点击“阅读原文”

原文始发于微信公众号(亚信安全):竟敢冒充国家级黑客组织!亚信安全还原攻击事件真实面貌

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年4月25日18:34:53
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   竟敢冒充国家级黑客组织!亚信安全还原攻击事件真实面貌https://cn-sec.com/archives/2687828.html

发表评论

匿名网友 填写信息