介绍 ✦
Introduction
2021 年 7 月,发起了一项主要针对俄罗斯政府机构和工业企业的活动。活动开始后不久,我们就开始跟踪它,并于 2024 年 8 月和 9 月通过我们的威胁研究订阅发布了三份报告,内容涉及我们命名为 Awaken Likho(也被其他供应商命名为 Core Werewolf)的威胁行为者。
在调查这个 APT 小组的活动时,我们发现了一项从 2024 年 6 月开始并至少持续到 8 月的新活动。对活动的分析表明,攻击者已经显着更改了他们在攻击中使用的软件。攻击者现在更喜欢使用合法 MeshCentral 平台的代理,而不是他们以前用来远程访问系统的 UltraVNC 模块。该组织仍然专注于针对俄罗斯政府组织和企业。
技术细节
在调查过程中,使用我们的 Yara 规则,我们发现了一种我们以前在该小组的武器库中从未见过的新植入物。根据我们的遥测数据,我们得出结论,植入物是通过恶意 URL 传送到受害者的设备,该 URL 可能是通过网络钓鱼电子邮件获得的。Awaken Likho 运营商通常使用搜索引擎收集尽可能多的受害者信息并准备令人信服的信息。我们无法获得用于分发此植入物的原始网络钓鱼电子邮件,但之前活动中的电子邮件附件包括自解压档案 (SFX) 和指向恶意模块的链接。此外,之前的攻击使用 Golang dropper 来传递恶意软件——我们在当前的活动中没有找到这方面的证据。然而,我们分析的植入物的主要区别在于一种获得和保持对受感染机器的控制的新方法。几年来,我们观察到使用 UltraVNC 模块来远程访问系统,但在这次活动中,攻击者使用了 MeshCentral 系统的代理 MeshAgent。正如 MeshCentral 官方网站上所说,这是一个具有广泛功能的开源远程设备管理解决方案。
我们在 2024 年 9 月发现了这种新型植入物,我们的遥测数据表明,攻击者于 2024 年 8 月开始使用该软件。那么现在,让我们详细分析一下这个植入物。
解压缩档案
与以前的活动一样,植入物使用 UPX 打包,并在使用 7-Zip 创建的自解压存档 (SFX) 中分发,如其元数据所示。要继续分析,我们必须解压缩它。
植入元数据
该档案包含五个文件,其中四个伪装成合法的系统服务和命令文件。
种植体档案内容
其余的 CMD 文件(上面屏幕截图中的最后一个)具有非描述性的随机生成名称。在我们分析的先前植入物中,大多数文件都是以这种方式命名的。更重要的是,有些文件不包含有效负载,添加到存档中只是为了误导用户。我们将分析存档中的所有文件,但首先,让我们以 “#” 模式打开它。这是 7-Zip 中的一种特殊解析器模式,用于分析文件以收集有关存档的其他信息,包括安装脚本。
从归档程序上下文菜单中以 “#” 模式打开归档
以 “#” 模式打开的存档内容
为了确定植入程序如何在系统中持续存在,我们从存档中提取名为 “2” 的安装脚本。
SFX 存档安装脚本
如脚本代码所示,SFX 模块将存档的所有组件提取到一个临时目录中,并在没有参数的情况下MicrosoftStores.exe运行。
脚 本
攻击的下一步是执行 MicrosoftStores.exe。此示例也使用 UPX 打包。
解压缩文件后,我们看到它包含一个带有解释器的已编译 AutoIt 脚本 – 这由文件代码中以 AU3 开头的代码段表示!此脚本的存在解释了为什么在提取后执行文件时没有参数。
我们设法提取了经过混淆处理的反编译 AutoIt 脚本。
提取的 AutoIt 脚本
手动去混淆后,我们可以确定脚本的用途:它使用指定的参数启动 NetworkDrivers.exe 和 nKka9a82kjn8KJHA9.cmd,以确保在系统中的持久性。
去混淆后 AutoIt 脚本的内容
有效载荷
NetworkDrivers.exe
接下来,我们检查脚本启动的第一个可执行文件 NetworkDrivers.exe。
我们的产品检测到此样本后,判定为非病毒:HEUR:RemoteAdmin.Win32.MeshAgent.gen。事实上,这是 MeshAgent,是合法 MeshCentral 平台的代理,攻击者开始使用它来代替 UltraVNC。
nKka9a82kjn8KJHA9.cmd
然后,AutoIt 脚本使用指定的参数启动命令文件 nKka9a82kjn8KJHA9.cmd。
值得注意的是,这个脚本的大小异常大——超过 1 MB。原因很简单:它被严重混淆了。
nKka9a82kjn8KJHA9.cmd 的部分混淆内容
尽管代码量很大,但混淆技术却非常简单:攻击者使用大量填充文本块。在脚本执行期间,解释器使用带有 GOTO 命令的标签跳过无意义的文本。
我们能够轻松地对该文件进行反混淆。
nKka9a82kjn8KJHA9.cmd 手动反混淆后
此命令文件的目的是创建一个名为 MicrosoftEdgeUpdateTaskMachineMS 的计划任务。此任务从解压的存档中运行 EdgeBrowser.cmd 并删除与恶意活动相关的某些文件,例如第一阶段可执行文件 MicrosoftStores.exe。这使得检测攻击者变得更加困难。
EdgeBrowser.cmd
上一阶段的命令文件创建一个任务来运行 EdgeBrowser.cmd 脚本。
EdgeBrowser.cmd
该脚本使用 PowerShell 启动 NetworkDrivers.exe(MeshAgent 代理)与 C2 服务器交互。
这些操作使 APT 能够在系统中持续存在:攻击者创建一个运行命令文件的计划任务,该文件反过来启动 MeshAgent 与 MeshCentral 服务器建立连接。
NetworkDrivers.msh
档案中还有另一个名为 NetworkDrivers.msh 的文件。这是 MeshAgent 的配置文件。我们还在 NetworkDrivers.exe 的代码中找到了它的内容。
MeshAgent 配置文件内容
该文件指定了代理与 MeshCentral 服务器建立连接的参数:MeshName、MeshID、ServerID 以及 C2 地址,通过 WebSocket 协议进行连接。通过 HTTPS 打开此地址时,会出现以下窗口——MeshCentral 平台的登录表单。
MeshCentral 平台登录界面
这证实攻击者使用合法的 MeshCentral 系统与 C2 服务器进行交互。
受害者
此次攻击的主要受害者是俄罗斯政府机构、其承包商和工业企业。
归因
根据所使用的 TTP 和有关受害者的信息,我们高度确信威胁行为者是 APT 组织 Awaken Likho。
要点
Awaken Likho 是俄乌冲突开始后活动增加的威胁行为者之一。最近,该组织的方法发生了重大变化;例如,他们开始使用 MeshCentral 而不是 UltraVNC。APT 仍然活跃——我们看到了 2024 年 8 月的新植入物。值得注意的是,本文分析的植入物不包含我们在以前的样本中观察到的无有效载荷文件。显然,这是一个新版本的恶意软件,仍在开发中。我们相信我们将看到来自 Awaken Likho 运营商的新攻击。我们确信该组织继续成功渗透他们选定的目标的基础设施。
此类攻击再次强调了全面解决方案的重要性,以确保持续保护公司资源,尤其是在面临不断演变的威胁时。
原文始发于微信公众号(卡巴斯基网络安全大百科):APT 组织的新技术
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论