【技术分享】黑客组织APT28开始将Office恶意软件植入纽约恐怖袭击相关的文档中

2017年11月13日 10:20 639

前言

在我们监控APT28威胁组织的攻击活动的过程中,McAfee Advanced Threat Research分析人员发现了一个恶意的Word文档,该文档似乎利用了我们之前报道过的Microsoft Office动态数据交换(DDE)技术。这个文件的发现,标志着APT28已经开始利用这种安全漏洞从事间谍活动。通过将PowerShell与DDE结合使用,攻击者就能够在受害者系统上执行任意代码,无论该系统是否启用了宏指令。



样本详细分析

APT28,又名Fancy Bear,最近开始利用各种不同的话题作为诱饵。就本例来说,它利用了纽约市最近发生的恐怖袭击事件。这次使用的文件本身虽然是空白的,不过一旦打开,它就会联系控制服务器,将恶意软件Seduploader第一个阶段的攻击代码投放到受害者的系统上。

在本案例中,用于传播Seduploader的域名创建于10月19日,它比创建Seduploader软件本身的日期还要早11天。

本案例中发现的诱饵文档的相关数据如下所示:

文件名称:IsisAttackInNewYork.docx

Sha1:1c6c700ceebfbe799e115582665105caa03c5c9e

创建日期:2017-10-27T22:23:00Z


该文档利用了Office产品中最近被曝光的DDE技术,该技术能够通过Windouws的命令行命令去执行PowerShell脚本,这实际上将运行两个命令。第一个命令如下所示:


第二个PowerShell命令是经过了Base64编码的,它是从来自远程服务器的config.txt文件中找到的。解码之后,该命令如下所示:



上面的PowerShell脚本会通过下面的URL来下载Seduploader:



该Seduploader样本具有以下特征:

文件名称:vms.dll

Sha1:4bc722a9b0492a50bd86a1341f02c74c0d773db7

编译时间:2017-10-31 20:11:10

控制服务器:webviewres[.]net


第一阶段

文件将下载Seduploader第一阶段的侦察植入版本,它的作用是将受感染系统的基本主机信息提供给攻击者。如果该系统正好是攻击者感兴趣的目标,通常会进一步安装X-Agent或Sedreco。


根据各种公开的报告来看,APT28将Seduploader用于第一阶段的payload已经有些年头了。通过分析这次攻击活动中发现的最新payload的代码结构,我们发现,其与APT28以前使用的Seduploader样本完全吻合。


我们发现,这次攻击活动中的控制服务器的域名为webviewres[.]net,它与APT28过去的域名注册手法是非常一致的:伪装成一个看上去好像很正规的合法机构。 这个域名于10月25日注册,比payload和恶意文件的创建日期早了好几天。这个域名在10月29日首次激活,这个时间节点正好比这个版本的Seduploader的编译时间早了那么几天。 目前,该域名的IP地址为185.216.35.26,并托管在域名服务器ns1.njal.la和ns2.njal.la上面。


此外,McAfee的研究人员还发现了一个相关的样本,特征如下所示:

文件名称:secnt.dll

Sha1: ab354807e687993fbeb1b325eb6e4ab38d428a1e

编译日期:2017-10-30 23:53:02

控制服务器:satellitedeluxpanorama[.]com. (该域名使用的域名服务器同上。)


第二阶段

上面的样本很可能隶属于同一次入侵活动。根据我们的分析,它使用了相同的技术和payload。因此,我们可以断定,这次涉及DDE漏洞文档的攻击活动是从10月25日开始的。

其中,secnt.dll使用的域名satellitedeluxpanorama[.]com在11月5日被解析为89.34.111.160。恶意文档68c2809560c7623d2307d8797691abf3eafe319a负责投递Seduploader的payload(secnt.dll)。它的原始文件名是SabreGuardian2017.docx。这个文档是在10月27日创建的。该文档下载自hxxp://sendmevideo[.]org/SaberGuardian2017.docx。此外,该文件会调用sendmevideo[.]org/dh2025e/eh.dll来下载Seduploader(ab354807e687993fbeb1b325eb6e4ab38d428a1e)。

这个文档中嵌入的PowerShell命令如下所示:





文件vms.dll(4bc722a9b0492a50bd86a1341f02c74c0d773db7)与secnt.dll( ab354807e687993fbeb1b325eb6e4ab38d428a1e)的相似度为99%,这表明其中的代码几乎完全相同,所以,它们极有可能都隶属于同一次攻击活动。换句话说,这两个DLL参与了这次攻击活动。此外,根据我们的代码分析结果来看,样本4bc722a9b0492a50bd86a1341f02c74c0d773db7与DLL植入物8a68f26d01372114f660e32ac4c9117e5d0577f1具有99%的相似度,而后者参与了以Cy Con U.S网络安全会议为诱饵的攻击活动。


不过,这两次攻击活动中采用的攻击技术有所不同:以Cy Con U.S会议为诱饵的攻击活动,是通过文档文件来执行恶意的VBA脚本;而这次以恐怖袭击为诱饵的攻击活动,则使用文档文件中的DDE执行PowerShell脚本,并从分发站点远程获取payload。但是,这两次攻击活动所使用的payload却是相同的。


小结

APT28是一个实力雄厚的威胁组织,它不仅利用最近的热点事件来引诱潜在的受害者上钩,而且还能够迅速采用新的漏洞技术来增加其成功的可能性。由于Cycom U.S活动已经在媒体上曝光,所以APT28组织可能不再继续使用过去VBA脚本,转而通过DDE技术来绕过网络防御。最后,从APT28利用近期的国内事件和美国针对俄罗斯的军事演习这两点来看,APT28非常擅长利用地缘政治事件为诱饵来发动网络攻击。


样本指标

SHA1哈希值

ab354807e687993fbeb1b325eb6e4ab38d428a1e (vms.dll, Seduploader implant)

4bc722a9b0492a50bd86a1341f02c74c0d773db7 (secnt.dll, Seduploader implant)

1c6c700ceebfbe799e115582665105caa03c5c9e (IsisAttackInNewYork.docx)

68c2809560c7623d2307d8797691abf3eafe319a (SaberGuardian.docx)

域名

webviewres[.]net

netmediaresources[.]com

IP地址

185.216.35.26

89.34.111.160

McAfee将其标记为RDN/Generic Downloader.x。


*转载自“安全客,原文地址:http://bobao.360.cn/learning/detail/4685.html


阿里聚安全

阿里聚安全(http://jaq.alibaba.com)由阿里巴巴安全部出品,面向企业和开发者提供互联网业务安全解决方案,全面覆盖移动安全、数据风控、内容安全、实人认证等维度,并在业界率先提出“以业务为中心的安全”,赋能生态,与行业共享阿里巴巴集团多年沉淀的专业安全能力。

标签

  • 短信
  • 积分兑换
  • 仿冒应用
  • 漏洞分析
  • 漏洞预警
  • 年度报告
  • 安全报告
  • 病毒分析
  • 阿里聚安全
应用更安全,用户更放心! 立即登录