一
事件背景
近日,安恒猎影实验室发现了一起针对俄罗斯军事部队的攻击活动,活动使用的恶意文档以俄罗斯联邦武装部队电子部队的专业假期——“电子战专家日”为主题引诱目标点击并运行远程打印神器下载苹果版。
对活动进行关联分析及归因研判后,我们发现来自同一威胁组织(猎影实验室内部追踪代号为“APT-LY-1007”)的攻击样本最早活跃于2022年8月远程打印神器下载苹果版。
除俄罗斯国防部外,该组织还针对俄罗斯铁路部门远程打印神器下载苹果版。相关恶意文档以“推迟征召俄罗斯联邦武装部队的命令”、 “俄罗斯铁路股份公司免除义务征召通知”为话题下发,后续释放远控木马以窃取目标机密信息。
注:图片来源俄罗斯网络社交论坛
对军事电子战部队的专业节日的介绍
二
攻击流程
此次攻击活动的攻击流程大致如下所示:
1
初始阶段文档利用远程模板加载含有恶意宏代码的DOTM文件;
2
宏代码将获取远程文件(JS脚本、EXE可执行文件)到本地;
3
展开全文
JS脚本将通过cmd.exe运行远控木马Cyrillic RAT;
4
Cyrillic RAT根据C2回传指令执行其他有效负载远程打印神器下载苹果版。
整体执行流程如下图所示:
三
攻击分析
1
第一阶段文档
诱饵文档名为“电子战专家日.docx”,打开后最上方显示为俄罗斯国防部的徽章,下方文字内容为4月15日庆祝电子战专家日的通知,最后署名为俄罗斯联邦国防部武装部队活动信息支持公共委员会主席远程打印神器下载苹果版。
该文档被打开后将加载远程模板执行宏代码hxxps://
宏代码运行后首先通过 然后加载另一个远程文件hxxps://
iAt5YrWyTt.xsl包含恶意JS代码
远程打印神器下载苹果版,通过cmd.exe来运行释放的MsUpdate.cpl 2
第二阶段远控木马
MsUpdate.cpl为C++编写的远控木马,可以执行多种指令
远程打印神器下载苹果版。 木马首先隐藏当前运行窗口,关闭日志打印功能,并将控制台的代码页设置为0x4E3
远程打印神器下载苹果版。代码页0x4E3通常用于表示西里尔字母的字符集,例如俄语、乌克兰语、白俄罗斯语、保加利亚语等。因此攻击者疑似来自东欧地区。 然后通过枚举进程来查找是否有tcpview
远程打印神器下载苹果版,vmmap,debugview等等用来监控程序的进程,若存在则直接退出
通过WMI查询本机的制造商以及型号信息
,看是否包含virtual,vmbox,vmware等字段来判断是否处于虚拟环境
然后创建“C:UsersusernameAppDataRoamingMicrosoftTsk.xml”
。通过安恒云沙箱(的内容如下所示
并且通过进程树信息
,捕获到了木马利用xml文件创建计划任务的恶意行为 完成上述操作后
远程打印神器下载苹果版,木马解密出C2“teexgjvvhuab.webhop.me”并通过socket建立连接 建立连接后接收4字节数据作为指令类型并解析执行:
主要支持指令如下:
指令
含义
0xC8
上传客户端ID
0xC9
上传BOIS 信息
xCA
上传用户名
0xCC
上传文件
0xCD
上传用户目录名
0xCE
遍历用户目录并上传
0xD0
下载二进制指令运行
0xD1
下载文件
0xD2
下载字符指令运行
0xD3
上传当前系统分盘信息
0xE6
删除自身文件
0xDC
终止会话
四
关联分析
根据样本特征
远程打印神器下载苹果版,安恒猎影实验室关联到了该组织2022年10月的恶意样本,相关样本信息如下: 文件名
含义
ИНФОБЮЛЛЕТЕНЬ_ОАО_РЖД_ОТСРОЧКА_ОТ_ОБЯЗАТЕЛЬНОГО_ПРИЗЫВА.docx
推迟征召俄罗斯联邦武装部队的命令
РАСПОРЯЖЕНИЕ__ОТСРОЧКА_ПРИЗЫВА_ВС_РФ.docx
俄罗斯铁路股份公司免除义务征召通知
两个样本诱饵文档具体内容大致相同,均为俄罗斯铁路股份公司关于技术专家可以申请延期服兵役的通知
远程打印神器下载苹果版。
这两个历史样本与我们近日发现的新的针对俄罗斯国防部的恶意样本攻击流程大致相同,但技术水平存在着明显的更新迭代,主要体现在以下几方面
。 1
对于文档内置的宏代码,历史样本没有用于逃避检测的大量注释字段,且在最终木马的执行直接通过Shell命令来执行,而非通过JS代码进行加载
远程打印神器下载苹果版。
2
历史样本最终加载的木马所使用字符串未做加密处理,直接以明文存储在文件中
远程打印神器下载苹果版。而最新样本则使用了自定义算法对敏感字符进行解密后再使用,具有更好的免杀效果。
3
在最终支持指令集方面,历史样本只支持10种指令,而最新样本则扩展到了16种指令,这表明攻击者一直在开发维护该木马,不断扩展其功能
远程打印神器下载苹果版。
五
思考总结
此次捕获的攻击活动及恶意样本具有以下特征:
1
样本诱饵以俄罗斯国防部门及铁路公司为目标
远程打印神器下载苹果版,意在针对俄罗斯武装部队 2
初始阶段样本通过远程模板注入执行恶意宏代码
3
宏代码通过JS代码加载后续远控负载
4
远控木马Cyrillic RAT中将日志打印功能的代码页设置为东欧地区字符集
5
Cyrillic RAT使用自定义加密算法
远程打印神器下载苹果版,具有反沙箱、反分析的特性 通过以上活动及样本特征,我们倾向认为该威胁组织诞生于俄乌网络战时期,主要攻击目的为窃取俄罗斯军事机密,且在半年时间内对攻击武器进行了升级
远程打印神器下载苹果版。安恒猎影实验室提醒广大用户朋友,不运行未知来源的邮件附件。猎影实验室将持续对全球APT组织进行持续跟踪,专注发现并披露各类威胁事件。 目前安全数据部已具备相关威胁检测能力
远程打印神器下载苹果版,对应产品已完成IoC情报的集成: ●安恒产品已集成能力:
针对该事件中的最新IoC情报
远程打印神器下载苹果版,以下产品的版本可自动完成更新,若无法自动更新则请联系技术人员手动更新: (1)AiLPHA分析平台V5.0.0及以上版本
(2)AiNTA设备V1.2.2及以上版本
(3)AXDR平台V2.0.3及以上版本
(4)APT设备V2.0.67及以上版本
(5)EDR产品V2.0.17及以上版本
● 安恒云沙盒已集成
远程打印神器下载苹果版了该事件中的样本特征: 用户可通过云沙盒:
,对可疑文件进行免费分析,并下载分析报告
远程打印神器下载苹果版。
精彩推荐
至少2个关键基础设施组织被 3CX 攻击背后的朝鲜相关黑客破坏
2023.04.24
美国律师协会 (ABA) 遭数据泄露
远程打印神器下载苹果版,140 万会员受到影响 2023.04.23
苹果 iOS 17 支持 App 侧载以符合欧洲法规
2022 .04.21
