美安全企業稱中國TA459 APT組織利用微軟漏洞攻擊中亞國家

更多全球網路安全資訊盡在E安全官網www.easyaq.com

E安全5月4日訊 來自美國網路安全企業PrrofPoint公司的研究人員報告稱，中國TA459 APT已經利用CVE-2017-0199安全漏洞對多家金融企業實施攻擊。

ProofPoint公司的安全研究人員發布了一份針對TA459 APT間諜活動的詳盡分析報告，確認其已經利用CVE-2017-0199首個Microsoft Office RTF漏洞對多家主要金融企業的分析師進行攻擊。報告還提到TA459 APT組織利用此項漏洞對俄羅斯及白俄羅斯的多個軍事及航空航天機構實施入侵。

ProofPoint公司在發布的分析報告中表示正在追蹤相關攻擊方，且認定相關惡意活動源自中國TA459間諜活動組織，該組織至少自2013年以來就一直處於活躍狀態，經常使用NetTraveler、PlugX、Saker、Netbot、DarkStRat以及ZeroT等多種惡意軟體，主要面向包括俄羅斯、白俄羅斯以及蒙古等中亞國家各組織機構實施間諜入侵。

TA459 APT組織的此輪攻擊活動則明顯針對電訊行業分析師，而且根據ProofPoint公司研究人員們的推測，此番入侵很可能屬於2015年夏季曾經出現的惡意活動的後續計劃。當時這起攻擊活動被研究人員認為是一起針對俄羅斯電信及軍事機構的間諜活動。

TA459 APT組織採用魚叉式釣魚攻擊

TA459 APT組織通過魚叉式釣魚郵件利用武器化Word文檔以觸發CVE-2017-0199漏洞。事實上，黑客們在微軟發布相關修復補丁的數天之後即開始利用這一Office安全漏洞。

當受害者打開誘餌文件時，其將自動下載一個被偽裝為RTF文檔的HTML應用（簡稱HTA）文件。此種攻擊手段利用PowerShell下載並執行一套腳本，從而獲取並運行ZeroT下載器。攻擊者利用CVE-2017-0199通過名為0721.doc的Microsoft Word文檔對目標展開攻擊。

圖：Word文檔0721.doc

該文檔使用這個邏輯漏洞首次從hxxp://122.9.52[.]215/news/power.rtf下載文件power.rtf。有效載荷實際上是一個HTML應用文件（HTA文件），並非RTF文件。

圖：漏洞文檔下載的首個腳本為HTA文件

從上圖可以看出，HTA的VBScript更改窗口大小和位置，之後利用PowerShell下載另一個腳本：power.ps1。這是一個下載並運行ZeroT 有效載荷cgi.exe的PowerShell腳本。

圖：漏洞文檔下載的第二個腳本為PowerShell腳本

圖：網路流量顯示文檔下載有效載荷

Proofpoint公司同時注意到此次使用的ZeroT最新版本已有所改進，包括使用合法的McAfee程序以進行旁側載入，而非繼續使用原本的Norman Safeground程序。

Proofpoint公司認為自上一次分析以來，該攻擊集團已經對ZeroT進行了漸進式改進。

儘管其仍繼續使用RAR SFX格式作為初始有效載荷，但ZeroT現在開始使用一個名為mcut.exe的合法McAfee實用程序，而非繼續沿用原本的Norman Safeground AS作為旁側載入途徑。名為Mctl.mui的加密ZeroT載荷將在內存中進行解碼，其顯示出與此前類似的經篡改PE標題頭，且與此前分析的ZeroT有效載荷相比僅在代碼層面作出小幅改動。

當ZeroT運行時，Proofpoint公司稱觀察到請求中使用的偽造用戶代理從以下的：

Mozilla/6.0 (compatible; MSIE 10.0; Windows NT 6.2; Tzcdrnt/6.0)

更改為：

Mozilla/6.0 (compatible; MSIE 11.0; Windows NT 6.2)

因此刪除了先前版本中出現的Tzcdrnt的字樣。index.php的初始信標（Beacon）更改為index.txt，但是ZeroT仍使用靜態密鑰「(*^GF(9042&*」進行RC4加密響應。

圖：ZeroT HTTP初始信標請求URL配置

接下來，ZeroT使用HTTP信標將被感染系統的相關信息傳輸到C&C伺服器，所有文件都經過加密處理。之後，第二階段的有效載荷仍被檢索為Bitmap（BMP）圖片，而BMP圖片使用最低有效位（LSB）隱寫術（Steganography）隱藏真實的有效載荷。這些圖片在圖像查看器中看似正常。

圖：BMP圖片，包含使用LSB隱寫術隱藏的第二階段有效載荷

第二階段有效載荷是發送信標到C&C伺服器www[.]icefirebest[.]com和www[.]icekkk[.]net的PlugX。

圖：ZeroT和PlugX HTTP網路活動

另一個有趣的ZeroT樣本（SHA256 bc2246813d7267608e1a80a04dac32da9115a15b1550b0c4842b9d6e2e7de374）包含在RAR SFX存檔中的可執行文件0228.exe和誘餌文件0228.doc中。

Proofpoint認為，捆綁誘餌文件是該組織的常用策略。執行惡意有效載荷時，RAR SFX 指令用於顯示誘餌。

圖：誘餌文件

圖：誘餌文件內容的可能來源

Proofpoint公司報告稱，TA459 APT組織曾在上一波攻擊活動當中同時使用PlugX外加一種被命名為PCrat/Ghost的木馬。

安全專家們向相關多國組織機構發出警告，提醒其保持警惕並強調攻擊者在此類網路間諜活動當中開始採用更為複雜的惡意軟體。

Proofpoint公司總結表示像TA459這樣的黑客組織一直在進行持續攻擊，且利用較為傳統的惡意軟體威脅、網路釣魚活動以及社交工程等手段瞄準從事特定研究工作並擁有專業知識的相關專家，這一切都令目標組織機構的安全狀況呈現出更為複雜的態勢。

04

E安全要聞簡訊

2017年5月

01

FBI局長答參議員提問：俄羅斯仍是對美威脅最大的國家

02

如何在學校進行黑客技術教學和開放教育

03

中國301個殭屍網路C&C伺服器被Shodan搜出 新型爬蟲功不可沒

04

當前信息安全意識教育體系之我見

05

微信群大量被收購 神秘不卡群莊家可日入十萬

06

教育部辦公廳印發《2017年教育信息化工作要點》

07

大數據新機遇，教育系統將建設完整安全體系

08

美國高校的網路安全教育難跟時代步伐

09

車聯網安全：如果防禦車輛犯罪

10

【漏洞預警】WordPress 4.6遠程代碼執行漏洞，附Poc

11

黑客針對谷歌在線文檔Docs發起大規模釣魚攻擊

12

還有什麼是不能破解的？UHD藍光碟疑似已遭盜版者破解

13

美安全企業稱中國TA459 APT組織利用微軟漏洞攻擊中亞國家

14

印度1.35億公民身份信息和1億條銀行賬戶信息被泄露