外媒：中國TA459 APT組織利用CVE-2017-0199攻擊頂級金融公司

Proofpoint在4月20日發表了一項針對性的入侵報告，專註攻擊俄羅斯和鄰國的頂級金融公司工作的金融分析師。這些分析師與電信行業有所關聯。這次的攻擊非常類似於我們在「In Pursuit of Optical Fibers and Troop Intel: Targeted Attack Distributes PlugX in Russia」博客中所描述的攻擊，並且可能延續。然而，這次攻擊者使用Microsoft word進行攻擊，利用最近修補的CVE-2017-0199來執行ZeroT Trojan，後者又下載了PlugX（RAT）。

Proofpoint正在跟蹤這些攻擊者，如TA459,他們的攻擊通常針對中亞國家，俄羅斯，白俄羅斯，蒙古等。TA549擁有多種惡意軟體，包括PlugX，NetTraveler和ZeroT。在這個博客中，我們還記錄了2017年其他的活動,包括他們使用的惡意軟體PCrat / Gh0st。

分析

在這個活動中，攻擊者使用了一個名為0721.doc的Microsoft Word文檔，該文檔利用了CVE-2017-0199漏洞。在攻擊前這漏洞已經被紕漏了。

Microsoft Word文檔0721.doc

該文檔使用邏輯缺陷首先從http//122.9.52.215/news/power.rtf下載文件power.rtf。power.rtf這個文件實際上是HTML應用程序（HTA）文件，而不是RTF文檔。

利用文件下載的第一個腳本是一個HTA文件

如上圖所示，HTA中的VBScript會更改窗口大小和位置，然後使用PowerShell下載另一個腳本:power.ps1。power.ps1是一個下載並運行ZeroT遠控的payload"cgi.exe"。

漏洞利用文檔下載的第二個腳本是一個PowerShell腳本

ZeroT等有效載荷

自上次分析以來，攻擊者對ZeroT進行了改進。雖然它們仍然使用RAR SFX格式作為初始有效載荷，但是ZeroT現在使用名為mcut.exe的合法McAfee實用程序（SHA256 3124fcb79da0bdf9d0d1995e37b06f7929d83c1c4b60e38c104743be71170efe），而不是像過去一樣進行側向載入的Norman Safeground AS。

加密的ZeroT有效載荷（稱為Mctl.mui）在存儲器中被解碼，顯示出類似篡改的PE標題，並且與之前分析的ZeroT有效載荷相比，只有稍微修改的代碼。

一旦ZeroT運行，我們觀察到，請求中使用的user-anget從「Mozilla/6.0 (compatible; MSIE 10.0; Windows NT 6.2; Tzcdrnt/6.0)」 變成「Mozilla/6.0 (compatible; MSIE 11.0; Windows NT 6.2)」，刪除了以前版本中的」Tzcdrnt「錯字。將index.php的初始信息更改為index.txt，但是ZeroT仍然使用靜態密鑰進行RC4加密的響應：「（* ^ GF（9042＆*」）。

上圖是通過HTTP請求URL配置的ZeroT初始信息

接下來，ZeroT使用HTTP將感染系統的信息傳輸到命令和控制（C＆C）。所有的都是加密的，跟上次分析的一樣,第一個POST還是未加密的。之後，仍使用LSB隱寫術來隱藏真實payload的點陣圖（BMP）圖像來檢索第2階段的payload。這些圖像在圖像查看器中顯示正常。

第2階段的payload是插入PlugX的C＆C伺服器。

TA459額外的活動

另一個有趣的ZeroT樣本（SHA256 bc2246813d7267608e1a80a04dac32da9115a15b1550b0c4842b9d6e2e7de374）包含在RAR SFX存檔中的可執行文件0228.exe和誘餌文件0228.doc中。Proofpoint認為，捆綁誘餌文件是該組織的常用方法。執行惡意payload時，RAR SFX 指令用於顯示誘餌。

誘餌文件

誘導文件中的文字信息來源

結論

TA459這樣的黑客組織一直在進行持續攻擊，且利用較為傳統的攻擊方式,使用網路釣魚活動以及社交工程等手段瞄準從事特定研究工作並擁有專業知識的相關專家。

本文翻譯自：https://www.proofpoint.com/us/threat-insight/post/apt-targets-financial-analysts

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！