LuckyMouse攻擊了中亞某國國家數據中心
一、發生了什麼?
2018年3月,我們發現了一起正在進行的針對中亞國家數據中心的攻擊行動,該行動自2017年秋季以來一直活躍。目標的選擇使得這一行動特別重要,這意味著攻擊者可以訪問廣泛的政府資源。我們相信這種訪問被濫用,例如,通過在國家官方網站插入惡意腳本來進行水坑攻擊。
運營者使用HyperBro特洛伊木馬作為其最後一個階段駐留在內存的遠程管理工具(RAT)。這些模塊的時間戳從2017年12月到2018年1月。反檢測啟動程序和解壓程序使用了Metasploit的shikata_ga_nai編碼器以及LZNT1壓縮。
二、誰是幕後推手?
跟據使用的工具和策略,我們將該行動歸因於LuckyMouse,一個講中文的攻擊組織(也被稱為Emissary Panda和APT27)。此外,C2域名update.iaacstudio [.] com在之前的攻擊行動中使用過。本次行動中發現的工具,例如HyperBro Trojan,經常被各種講中文的攻擊者使用。關於Metasploit的shikata_ga_nai編碼器,儘管適用於所有人,並且不能作為歸因的依據,但我們知道這種編碼器以前曾被LuckyMouse使用過。
包括中亞在內的政府實體也成為攻擊者的目標。由於LuckyMouse持續對政府網站及相應日期進行維護,我們懷疑此行動的目的之一是通過數據中心訪問網頁並向其中注入JavaScript。
三、惡意軟體如何傳播?
針對數據中心的攻擊中使用的初始感染向量尚不清楚。即使我們觀察到LuckyMouse使用帶有CVE-2017-118822(Microsoft Office公式編輯器,自2017年12月以來被講中文的攻擊者廣泛使用)的武器化文檔,我們也無法證明它們與此特定攻擊有關。攻擊者可能使用水坑來感染數據中心員工。
此攻擊中使用的主要C2是bbs.sonypsps [.] com,它解析的IP地址屬於烏克蘭ISP網路,為使用固件版本6.34.4(2016年3月起)的Mikrotik路由器,SMBv1處於開啟狀態。我們懷疑此路由器是作為攻擊的一部分被黑客入侵的,就是為了處理惡意軟體的HTTP請求。Sonypsps [.] com域名在GoDaddy上於2017-05-05更新,有效期至2019-03-13。
2017年3月,Wikileaks發布了一個名為ChimayRed的影響Mikrotik的漏洞的詳細信息。但是,根據文檔,它不適用於高於6.30的固件版本。該路由器使用的版本為6.34。
從2017年11月中旬開始,受感染的數據中心中就有一些HyperBro的痕迹。此後不久,該國不同的用戶開始被重定向到惡意域名update.iaacstudio [.]com。這些事件表明,感染HyperBro的數據中心和水坑攻擊已連成一線。
四、惡意軟體做了什麼?
反檢測階段。不同的顏色顯示三個釋放的模塊:合法應用程序(藍色),啟動程序(綠色)和解壓縮程序與木馬(紅色)
初始模塊會釋放三種典型的講中文攻擊者的文件:用於DLL側載的合法Symantec pcAnywhere(IntgStat.exe),.dll啟動程序(pcalocalresloader.dll)和最後一個階段的解壓縮程序(thumb.db)。作為所有這些步驟的結果,最後階段的木馬被注入到svchost.exe進程的內存中。
使用臭名昭著的Metasploit的shikata_ga_nai編碼器混淆的啟動模塊對於所有釋放器都是一樣的。生成的去混淆代碼執行典型的側載入:它將內存中的pcAnywhere鏡像修改為入口點。修改後的代碼跳回到解密器的第二個shikata_ga_nai迭代,但這次是作為白名單應用程序的一部分。
這個Metasploit的編碼器混淆了啟動程序代碼的最後部分,啟動代碼解析必要的API並將thumb.db映射到同一進程的(pcAnywhere)內存中。映射的thumb.db中的第一條指令用於新的shikata_ga_nai迭代。解密的代碼解析必要的API函數,使用LZNT1通過RtlCompressBuffer()解壓嵌入的PE文件並將其映射到內存中。
五、水坑攻擊
這些網站遭到入侵,將訪問者重定向到ScanBox和BEeF。這些重定向是通過添加兩個使用類似於Dean Edwards的工具混淆的惡意腳本來實現的。
遭到入侵的政府網頁上的腳本
用戶被重定向到BEeF實例https://google-updata [.] tk:443/hook.js以及一個空的ScanBox實例https://windows-updata [.] tk:443 /scanv1.8 /i/?1,響應了一小段JavaScript代碼。
六、總結
LuckyMouse最近非常活躍。這個行動的TTP對於說中文的攻擊者來說非常普遍,他們通常會為RAT(HyperBro)提供新的殼(本例中使用了shikata_ga_nai保護的啟動程序和解壓縮程序)。
最不尋常和有趣的一點是目標,因為國家數據中心是一種寶貴的數據來源,所以也可能被濫用來危害官方網站。另一個有趣的地方是Mikrotik路由器,我們認為它是專門因這次活動而被黑客入侵的。其原因並不清楚:通常講中文的攻擊者不會打擾自己的行動。也許這是一個新的隱身方法的第一步。
IoC指標
Droppers
Launcher
ac337bd5f6f18b8fe009e45d65a2b09b
HyperBro in-memory Trojan
04dece2662f648f619d9c0377a7ba7c0
Domains and IPs
bbs.sonypsps[.]com
update.iaacstudio[.]com
wh0am1.itbaydns[.]com
google-updata[.]tk
windows-updata[.]tk
※多目標的攻擊活動——Prowli的技術分析
※美國政府最新技術警報:警惕朝鮮黑客組織Hidden Cobra正在使用的兩款RAT和蠕蟲病毒
TAG:嘶吼RoarTalk |