針對中東的APT攻擊：Big Bang

簡介

首先攻擊是從一封釣魚郵件開始的，郵件附件可以自解壓提取出2個文件——1個word文檔和一個惡意可執行文件。釣魚郵件顯示來自巴勒斯坦政治和國家指導委員會，word文檔是誘餌文件，用於轉移受害者的注意力，而惡意軟體會在後台進行安裝。

惡意軟體有許多模塊，包括：

·對受感染設備截圖，並發送給C&C伺服器；

·發送一系列擴展名為.doc, .odt, .xls, .ppt, .pdf的文檔；

·系統的日誌詳情；

·重啟系統；

·對可執行文件進行自毀。

惡意軟體模塊很多，所以不清楚攻擊者的具體目的；但可以確定的是，一旦攻擊者找到想要的東西，就進入第二階段攻擊了。會從C&C伺服器提取其他的模塊或惡意軟體。然後監控攻擊就發生了，因為攻擊者對電視Big Bang非常喜歡，所以攻擊活動也被命名為Big Bang。

該APT組織的上一次活動是2017年6月Talos團隊發現的，之後該組織就銷聲匿跡了。Big Bang攻擊活動結合了許多新的能力和攻擊性的基礎設施，看起來目標性更強。

Ramallah

第一個攻擊實例是4月中旬發現的。但根據攻擊者的誘餌文件日期，可以將其追溯至2018年3月。

這次攻擊活動和之前的類似，都使用釣魚攻擊的方法來傳播勘察階段的惡意軟體。與2017年不同的是，這次的惡意文檔是一個自提取的壓縮文件，壓縮文件中包含誘餌文件和惡意軟體。為了讓該文件看起來像一個合法文件，開發者給文件做了一個word圖標，並命名為??????? ???????? ??????（每月新聞報道）。

當雙擊該文件時，會打開一個含有巴勒斯坦政治和國家指導委員會logo的word文檔。該文檔偽裝成新聞報道的樣子，含有從不同的新聞網站複製過來的新聞標題。

當受害者注意力轉向該word文檔後，惡意可執行文件就會在後台安裝。

圖1: Word文檔截圖

雖然壓縮文件是4月中旬發現的，但word文檔表明上次編輯時間是2018年3月29日。日期也出現在文檔的主題和標題部分29-3.doc。文檔的元數據表明該文檔也叫做「????? ?????? /???? ??? ????」，這是指導委員會首席執行官的名字。

文件的名字和內容說明攻擊者對受害者非常熟悉。

分析

下面的分析泄漏了惡意軟體的一些能力，研究人員非常確定這是一起攻擊特定受害者的多階段攻擊。下面的惡意軟體是勘察階段的一部分，但其本質功能還不確定。

2017年，該組織使用的是一款相對簡單的惡意軟體Micropsia，編程語言是C++，用Delphi封裝。2018年，攻擊者使用的是該惡意軟體的升級版變種，仍然用C++編寫，但使用自提取的可執行文件封裝。

可執行文件

壓縮包中的可執行文件名為DriverInstallerU.exe，但其元數據顯示原始名為Interenet Assistant.exe。

一旦執行，惡意軟體就會設定mutex（InterenetAssistantN），複製自己到ProgramData，將自己添加到計劃任務中來確保駐留。

默認情況下，惡意軟體會與事先硬編碼的C&C網站進行通信，不同樣本中的C&C網站各不相同。如果惡意軟體不能從硬編碼的第一個網站接收到響應，就會與備用的C&C網站（lindamullins[.]info）通信。

圖3: 硬編碼的C&C網站

一旦樣本能夠與主C&C通信，第一件事就是對系統打水印和竊取收集到的信息，打水印的信息包括用戶和PC名，操作系統版本，以及安裝的反病毒工具。

圖4: 初始化的Beacon.

之後，會發送一個POST請求到C&C，C&C會根據返回一個可以開啟惡意軟體特定功能的配置文件。

圖5: C&C Commands

配置文件中的每個key代表可執行文件中的不同模塊，如果key被標記為true，那麼可執行文件就會運行相關的模塊。模塊名也來源於流行劇Big Bang和土耳其的電視連續劇Resurrection: Ertugrul中演員的名字。

在配置文件中，研究人員發現13個不同模塊的13個key。但研究人員在樣本中只找到5個對應的模塊。這也就是說攻擊活動還在發展中，未來也會出現更多的樣本。

下面的表描述每個模塊的角色：

RAT會嘗試記錄受感染的系統並收集憑證，但樣本與RAT不同，會在受害者樣本中尋找Office文檔。另外，文件還有下載和運行另一個可執行文件的能力。

在檢查了惡意軟體的功能後，研究人員認為攻擊者在尋找那些回應了特定特徵的受害者，之後的攻擊也是適應特定受害者的。

攻擊者的英文水平

研究人員利用文件名（Interenet Assistant）中的錯誤找到了與原始文件有相同名稱的另一個可執行文件。使用通信模式可以找到另一個樣本DriverInstallerU，在該樣本中，模塊的名從演員名改為汽車型號名，即BMW_x1，BMW_x2一直到BMW_x8。

但這種錯只是APT組織的語言錯誤。C&C站點中不正確的語法片語能夠幫助找出操作的基礎設施。瀏覽C&C站點會返回下面的響應：

與活動相關的站點會使用準備好的bootstrap模板，但含有一些語法錯誤的字元串，比如「Probably the most Music Site in the world!」和「contact@namylufy[.]com」。

這些字元串可以幫助找出使用相同模板的其他站點，雖然不能與特定的惡意軟體樣本關聯起來，但是未來可能會用到。

回顧

經過一年的發展，APT組織使用的工具有了明顯的升級，攻擊活動的執行者在傳播方法和惡意軟體開發過程中都留下了明顯的痕迹。這些留下的線索可以幫助研究人員將這波攻擊與過去的攻擊相關聯，最終研究人員認為這些攻擊與Gaza Cybergang APT組織的攻擊活動非常相似。

另外，使用自提取壓縮文件和誘餌文件的概念並不新鮮，Gaza Cybergang APT組織過去的攻擊也實施了類似的攻擊。

而且這些惡意樣本中也有很多的相似之處，比如2017年使用最新的電視連續劇中的演員和角色名，以及系統中的指紋信息等。但2017年，該APT組織使用的可執行文件是用Delphi封裝的，而2018年研究人員發現的惡意樣本使用的是自提取壓縮技術。但雙擊打開文檔時，一個用C++編寫的另一個可執行文件就會執行。

在最近的攻擊活動中，C&C通信技術也進步了很多，比如備份域名技術之前未使用過。另外，新的惡意軟體比舊的惡意軟體功能和能力更強。

結論

從2017年3月起，經過1年的發展，研究人員發現該攻擊活動的功能不斷增多、攻擊目標也更加具體。雖然該APT組織的目標都是精心挑選的，使用傳統的信息竊取器進行情報收集，但還是很難確定攻擊活動的最終目標是什麼。事實上，攻擊的下一階段可能仍在開發中，並未應用於實際的攻擊中。

雖然從攻擊活動中的線索判斷是Gaza Cybergang APT組織回歸了，但仍然無法確認攻擊活動背後是哪個威脅組織。

IOC

哈希：

a210ac6ea0406d81fa5682e86997be25c73e9d1b

994ebbe444183e0d67b13f91d75b0f9bcfb011db

511bec782be41e85a013cbea95725d5807e3c2f2

域名：

lindamullins[.]info

spgbotup[.]club

namyyeatop[.]club

namybotter[.]info

sanjynono[.]website

exvsnomy[.]club

ezofiezo[.]website

hitmesanjjoy[.]pro

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！