StrongPity APT更新版本7月仍然活跃

作者:深圳市网安计算机安全检测技术有限公司 | 国际 2019/07/24 10:04:30 396
文章来源:https://mp.weixin.qq.com/s/tUJP_8QEeMe8uvRrr9B0fw

        StrongPity APT组织被曝光通过水坑攻击手段,使用恶意版本的WinRAR和其他合法软件包来感染目标。

        据研究人员称,该APT组织更新了复杂恶意软件StrongPity(a.k.a. Promethium)开展了一项新的间谍软件活动,该活动截至2019年7月仍在进行。

        根据AT&T的分析,“根据编译时间,基础设施建设和使用以及样本的公开分发情况,新的恶意软件样本[首次在7月初确定]从未被曝光,并且通常已经根据2018年第四季度的公开报告进行了更新,并部署到目标。”

        根据该研究,改进后的恶意软件现在主要针对位于土耳其的用户,类似于该集团的标志性StrongPity / Prometheus代码,具有完整的间谍软件功能,用于定位敏感文档,同时为远程访问建立持久后门。

        AT&T Alien Labs的安全研究员Tom Hegel“除了完整的主机细节之外,间谍软件还会在受害主机上寻找某类型文件,”“此外,恶意软件通过SSL通信,因此网络层的检测会比较困难。“

        据研究显示,StrongPity正在通过部署WinBox路由器管理软件的恶意版本、WinRAR免费加密和文件压缩实用程序、受安全和隐私保护用户以及其他常用可信软件,感染目标。例如,一个样本隐藏在WinBox的安装程序中,WinBox是一个管理Mikrotik RouterOS的UI实用程序。

        恶意的WinBox安装程序将StrongPity放入Windows临时目录...... 类似于先前的StrongPity报告,恶意软件通过SSL与命令和控制(C2)服务器通信。

         该组还使用较新版本的WinRAR和一个名为Internet Download Manager(IDM)的工具来隐藏恶意软件。报告补充说,该恶意软件会发送到之前StrongPity系列中使用的目的地。

        总的来说,TTP基本未变,StrongPity版本更新了,以及利用合法软件注入了采用了新的检测逃避技术。

         分析者的调查结果显示他们可能还可能将恶意软件的功能出售给多个实体。

 StrongPity演变路径

         StrongPity于2016年10月被首次公开报道,此前针对比利时和意大利的用户发起攻击,使用水坑攻击传送恶意版本的WinRAR和TrueCrypt文件加密软件。卡巴斯基研究人员将演员描述为一个特色的APT装备,利用其零日漏洞和模块化攻击工具来渗透受害者并进行间谍活动。

2566af1b399a5b0c6100c5e353c8e6a8.png

        随后在2016年,微软公司开展了更多研究,称为其恶意软件为Promethium,该组织针对欧洲个人提供零日漏洞。

         然后在2017年,ESET研究人员在两个国家中确定了在ISP级别使用的Pro / Thium / StrongPity变种。

         它在2018年3月再次出现,当时Citizen Lab 报道了它针对土耳其和叙利亚用户的活动。研究人员表示,他们通过TürkTelekom网络中的Sandvine / Procera深度包检测(DPI)硬件,发现了ISP级别的APT攻击。Citizen Lab 称该组织入侵了这些合法的DPI盒,将StrongPity恶意软件插入针对土耳其地区的其他合法流量。

         当用户试图下载某些合法的Windows应用程序时,这些中间盒被用来将土耳其和叙利亚的数百名用户重定向到该组织的间谍软件。

         Sandvine否认这是由于ISP本身的共谋而做出的,但无论归属如何,该报告都对StrongPity团伙产生了影响:在发布后两周,Cylance观察到新的Promethium / StrongPity活动策略改变,开始启用新的基础设施。

         研究人员表示,在活动被公开之后,进行持续的改造是StrongPity APT的惯用策略。

         之前Citizen Lab 曝光的IOC

感染媒介

Internet Download Manager (https://www.internetdownloadmanager.com/)

VLC Player (https://www.videolan.org/vlc/)

Avast (https://www.avast.com/)

WinRAR 5.50 (https://rarlab.com/rar/wrar550.exe) (English and Arabic)

CCleaner (https://www.ccleaner.com)

DAEMON Tools Lite (https://www.daemon-tools.cc)

PowerShell command:

powershell.exe Set-MpPreference -ExclusionPath 'C:\Windows\System32', 'C:\Windows\SysWOW64', 'C:\DOCUME~1\<USER>~1\LOCALS~1\Temp' -MAPSReporting 0 -DisableBehaviorMonitoring 1 -SubmitSamplesConsent 2

C&C通信TCP port 443:

1.     ms-sys-security[.]com,

2.     svr-sec2-system[.]com,

3.     upd2-app-state[.]com

4.     srv-mx2-cdn-app[.]com

5.     system-upload-srv[.]com

SHA256 Hashes:

Trojanized Installers - Droppers

418203a531ceb1f08a21b354bc0d3bf8f157c76b521495c29639d7bffa416b38

61f8dc6d618572a86bd0b646d16186bb6b0fff970947a7df754add4f65ec8625

ae41ba7b4728a6322660443273d7ea6e50c6f804a7d726d0439fac956c7923e7

b14b9c123d19388b81b9ddbb6e7f8807238967db4bd3b8b0be93026a4c7806bb

baafd8f9b5889d49921f5e4c6fc3ca051f42d1c50a6b1db65986bcfb6e10f344

c35a1337f9e0d9ff41800ad5d1925a750813d9e98a13f54e5846426a0a4def8f

42d178417abe68ba9742250ee5eaeb0802e3d0f24c7e585ed200979ed8cd07ea

IpOve32.exe

158e4057f3d2751cf110c5924f289e5b45348f037b3931b9695d3ba045026b4e

645c3ae40a8572fc18ba5808e000dbd52fb1ffff679c044c497189abbcc5c549

6b0a28fe1954ae41e17ffd6b83a2ac7112cc98b64ba6b2a05448d200b42bb2dc

6d4af9f7e14e1ae7f871cd0bcdd87927cde8d236fd9d37e76554729abe3e31e4

79f02a935266a6a8322dec44c7007f7a148d4327f99b3251cba23625de5d5d5e

7c3c9d054e82b4c1b1eeadf1e246850fbd2ad4ee831fb9bc2e21cdd4d30ef225

fa71584f27f5eacca9f3d5644fd06ccebcc14b8394efeaccd38259f8382c26e5

Ad89961b343366abf28faadbdc9f56e25087bafff1b856c05f62b66ac9b5990a

92ff23ab81cc20c4916441547745f336cf612c21a049cdcbb01f11d83a40979e

netplviz.exe

1d0fc58a1167b5d4982c5aba2443a45e26870c51de9621a10f642879b842dac0

35b3eae0eaed90c2f1b4f087aa9f00d5646590fa25d205e2566e3f6e31f757d0

3c6c7a9558ecf7864cf65be5ea08a4a6aa2c2439c956dc988ebb6cf8bc04e272

707ad515c41cd42d696f2d2fb8745af8b36900391db4a477c48f7f75ec4a9c38

7d689fce4d4a8bfb1df041359a3cd4918915a332d11f678039d68f7f6ae5afe5

8f4474b5c3efad963f054f4b18963bf98c3ec746e2ec4c850b0a6196788b2de2

d12b4759bcd3832f76e04f521d5d8829537f008d7bc040c8869474f86fcc2759

C2 Domains:  

dwn-balance[.]net

ms-sys-security[.]com

svr-sec2-system[.]com

upd2-app-state[.]com

srv-mx2-cdn-app[.]com

system-upload-srv[.]com

IP Addresses:

109.201.142[.]122

89.45.67[.]34

46.17.63[.]239

185.193.36[.]109

176.119.28[.]38

151.106.53[.]236

 参见:

https://threatpost.com/strongpity-apt-retooled-spyware/146503/

https://www.welivesecurity.com/2017/12/08/strongpity-like-spyware-replaces-finfisher/

https://threatvector.cylance.com/en_us/home/whack-a-mole-the-impact-of-threat-intelligence-on-adversaries.html

推荐关注

指导单位
广东省公安厅网络警察总队 广东省信息安全等级保护协调小组办公室