概述
奇安信威胁情报中心再次提醒广大政企单位和个人用户,在做好疫情防控的同时,也要做好网络安全的防护工作。基于奇安信威胁情报中心的威胁情报数据的全线产品,包括威胁情报平台(TIP)、天眼高级威胁检测系统、NGSOC、奇安信态势感知等,都已经支持对此APT攻击团伙攻击活动的精准检测。
样本分析
1
●
基本信息
文件名 |
Side_Effects_of_COVID-19_Vaccines.zip |
MD5 |
a4f6cec5d34a6dbaeaebf6fa0eed3d05 |
文件格式 |
ZIP |
C2 |
Microersof[.]xyz |
2
●
详细分析
此次捕获的攻击活动样本为ZIP 文件,文件解压后会得到一个LNK文件和两个PDF文件文件:Side_Effects_of_COVID-19_Vaccines-v1.pdf.lnk、Side_Effects_of_COVID-19_Vaccines-v2.pdf以及Side_Effects_of_COVID-19_Vaccines-v3.pdf。
其中~v1.pdf.lnk 文件为恶意代码的初始载荷,该LNK文件执行后会调用执行Powershell 指令下载后续payload,~v2.pdf 和~v3.pdf为无恶意行为的PDF 诱饵文件。
下载的可执行文件信息如下:
文件名 |
Jquery.ps1 |
MD5 |
bb1166e6ffd66a072c8a58a2c377919c |
C2 |
microersof[.]xyz |
请求的C2地址为:
本地解密后得到完整的Shellcode:
解密后的Shellcode文件信息如下:
文件名 |
Shellcode.bin |
MD5 |
52e8beb8037a2e37968d2deb0958289d |
文件名 |
malware.dll |
MD5 |
47570eca4b2f18a654e54d4138120932 |
C2 |
microersof[.]xyz |
最后通过分析,我们发现该模块的恶意行为是基于自身实现的任务队列进行实现的,通过将指定类型的任务插入到队列并等待任务被执行。
模块所支持的任务里类型有设置延时执行、设置抖动时间、设置尝试连接时间、设置杀死任务时间、退出执行、连接C2、断开连接、任务执行、任务取消以及数据装配,模块通过上述任务类型实现对被感染计算机的信息窃取。
溯源与关联
左边代码出自Covenant框架中Grunt模块的一部分源码,右边为本次样本最终执行的恶意模块malware.dll 的一部分代码片段,可以看出左右两侧的代码在结构和功能上都是完全一致的,以此推断,此次攻击或为不知名黑客团伙利用Covenant攻击武器开展的一次攻击。
3. 此次攻击所使用到的诱饵文件内容为“沙特阿拉伯COVID-19疫苗相关副作用评估”,文档来源为MDPI(一家涵盖科学、技术、医学几乎所有领域并出版有较高国际影响力的英文科技学术期刊的出版社)。
总结
目前,基于奇安信威胁情报中心的威胁情报数据的全线产品,包括奇安信威胁情报平台(TIP)、天擎、天眼高级威胁检测系统、奇安信NGSOC、奇安信态势感知等,都已经支持对此类攻击的精确检测。
IOCs
MD5
a4f6cec5d34a6dbaeaebf6fa0eed3d05
66e1aba1fa5e957075bb900a52301929
c182d478fc97dd2948abf1be2e65bb49
ae99717d33b75313db6fce11c946c925
4d52bbbf2c519cb6ff3d18b79490d3c6
b600f49949d26ea31b6aec65a6f40349
52e8beb8037a2e37968d2deb0958289d
47570eca4b2f18a654e54d4138120932
C2
microersof[.]xyz
参考链接
https://github.com/84KaliPleXon3/Covenant/tree/058a78be25bff8a14904e738757cbec491993390
本文始发于微信公众号(奇安信威胁情报中心):疑似俄语攻击者利用COVID-19疫苗诱饵针对中东地区的攻击活动分析
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论