LuckyMouse攻擊了中亞某國國家數據中心

最新 06-17

一、發生了什麼?

2018年3月，我們發現了一起正在進行的針對中亞國家數據中心的攻擊行動，該行動自2017年秋季以來一直活躍。目標的選擇使得這一行動特別重要，這意味著攻擊者可以訪問廣泛的政府資源。我們相信這種訪問被濫用，例如，通過在國家官方網站插入惡意腳本來進行水坑攻擊。

運營者使用HyperBro特洛伊木馬作為其最後一個階段駐留在內存的遠程管理工具（RAT）。這些模塊的時間戳從2017年12月到2018年1月。反檢測啟動程序和解壓程序使用了Metasploit的shikata_ga_nai編碼器以及LZNT1壓縮。

二、誰是幕後推手?

跟據使用的工具和策略，我們將該行動歸因於LuckyMouse，一個講中文的攻擊組織（也被稱為Emissary Panda和APT27）。此外，C2域名update.iaacstudio [.] com在之前的攻擊行動中使用過。本次行動中發現的工具，例如HyperBro Trojan，經常被各種講中文的攻擊者使用。關於Metasploit的shikata_ga_nai編碼器，儘管適用於所有人，並且不能作為歸因的依據，但我們知道這種編碼器以前曾被LuckyMouse使用過。

包括中亞在內的政府實體也成為攻擊者的目標。由於LuckyMouse持續對政府網站及相應日期進行維護，我們懷疑此行動的目的之一是通過數據中心訪問網頁並向其中注入JavaScript。

三、惡意軟體如何傳播?

針對數據中心的攻擊中使用的初始感染向量尚不清楚。即使我們觀察到LuckyMouse使用帶有CVE-2017-118822（Microsoft Office公式編輯器，自2017年12月以來被講中文的攻擊者廣泛使用）的武器化文檔，我們也無法證明它們與此特定攻擊有關。攻擊者可能使用水坑來感染數據中心員工。

此攻擊中使用的主要C2是bbs.sonypsps [.] com，它解析的IP地址屬於烏克蘭ISP網路，為使用固件版本6.34.4（2016年3月起）的Mikrotik路由器，SMBv1處於開啟狀態。我們懷疑此路由器是作為攻擊的一部分被黑客入侵的，就是為了處理惡意軟體的HTTP請求。Sonypsps [.] com域名在GoDaddy上於2017-05-05更新，有效期至2019-03-13。

2017年3月，Wikileaks發布了一個名為ChimayRed的影響Mikrotik的漏洞的詳細信息。但是，根據文檔，它不適用於高於6.30的固件版本。該路由器使用的版本為6.34。

從2017年11月中旬開始，受感染的數據中心中就有一些HyperBro的痕迹。此後不久，該國不同的用戶開始被重定向到惡意域名update.iaacstudio [.]com。這些事件表明，感染HyperBro的數據中心和水坑攻擊已連成一線。

四、惡意軟體做了什麼?

反檢測階段。不同的顏色顯示三個釋放的模塊：合法應用程序（藍色），啟動程序（綠色）和解壓縮程序與木馬（紅色）

初始模塊會釋放三種典型的講中文攻擊者的文件：用於DLL側載的合法Symantec pcAnywhere（IntgStat.exe），.dll啟動程序（pcalocalresloader.dll）和最後一個階段的解壓縮程序（thumb.db）。作為所有這些步驟的結果，最後階段的木馬被注入到svchost.exe進程的內存中。

使用臭名昭著的Metasploit的shikata_ga_nai編碼器混淆的啟動模塊對於所有釋放器都是一樣的。生成的去混淆代碼執行典型的側載入：它將內存中的pcAnywhere鏡像修改為入口點。修改後的代碼跳回到解密器的第二個shikata_ga_nai迭代，但這次是作為白名單應用程序的一部分。

這個Metasploit的編碼器混淆了啟動程序代碼的最後部分，啟動代碼解析必要的API並將thumb.db映射到同一進程的（pcAnywhere）內存中。映射的thumb.db中的第一條指令用於新的shikata_ga_nai迭代。解密的代碼解析必要的API函數，使用LZNT1通過RtlCompressBuffer()解壓嵌入的PE文件並將其映射到內存中。

五、水坑攻擊

這些網站遭到入侵，將訪問者重定向到ScanBox和BEeF。這些重定向是通過添加兩個使用類似於Dean Edwards的工具混淆的惡意腳本來實現的。