APT28干扰乌克兰选举的证据
在上篇文章中,ZLAB-YOROI安全研究员讨论了干扰乌克兰大选主题恶意文件的不确定归因,详细信息见上篇文章。
之后该团队研究人员对过去几年APT28的攻击活动进行了详细分析,最终发现,APT28在2017袭击欧洲和中东国家的几家酒店的攻击活动中使用的样本,其攻击手法与干扰乌克兰选举活动十分相似。
技术分析
与干扰乌克兰大选一致的是,2017年文档中的宏代码受密码保护,参考样本使用自定义“DecodeBase64”函数解码提取的Base64内容:
解码的内容实际上是一个写入“%AppData%\ user.dat”的DLL文件。之后,它将通过ASR旁路技术(攻击面减少)执行,允许攻击者在Office环境中运行新的子进程。这是先前在乌克兰样本中发现的公开可用的漏洞(下一节中的更多细节)。
在此参考示例中,“user.dat”的目的是创建两个新工件并通过“HKCU \ Environment-> UserInitMprLogonScript”设置持久性。创建的文件是:
%APPDATA%\ mrset.bat
%APPDATA%\ mvtband.dat
该“mrset.bat”文件是一个简短的bash的文件,旨在查“mvtband.dat”的存在,并通过rundll32运行mvtband.dat。
“mvtband.dat”文件实际上是一个Delphi DLL库,是一个众所周知的恶意软件,名为为“GAMEFISH”(f9fd3f1d8da4ffd6a494228b934549d09e3c59d1)。俄罗斯团体习惯于在重新分阶段使用它来窃取受害者机器的信息并植入新的有效载荷。
与乌克兰样本对比
分析的两个文档都使用受保护的宏代码。宏中的所有代码都不会以任何方式混淆:Hospitality文档也令人惊讶地包含代码注释。此外,两个文档的主宏功能名称是“Execute”,用于从Office工作空间创建新进程的ASR技巧基本相同
在这两种情况下,实际有效负载都在Base64中编码,并存储在Office隐藏部分中:第一个示例使用文档属性,第二个示例使用XML资源。
接下来的阶段是不同的:乌克兰样本部署了一些Powershell混淆脚本,最终带有一个Empire stager,允许攻击者直接与受害者机器交互; 相反,参考样本植入GAMEFISH恶意软件,该恶意软件会在等待安装新的有效负载时自动泄露受害者信息。
结论
可以确认乌克兰选举样本的归属为APT28,因为:
两者都使用密码保护。
两者都具有相同的功能名称。
两者都具有相同的宏代码结构。
两者都将实际有效负载嵌入隐藏文档部分。
ASR技巧使用相同的指令实现。
IOC
Hash:
b40cbf38284e6a1b9157002ad564e40fad2d85ba36437cf95c3b6326ad142520
353aa1f03b36ee51138b61ef1f91f75de01850d73d619bbe5a0050594eba660d
58b223f74992f371cab8f1df7c03b9b66f2ea9e3c9e22122898a9be62a05c0b4
51eaf3b30c1ea932843cb9f5b6fb41804976d94a53a507ccb292b8392276cfd6
8c47961181d9929333628af20bdd750021e925f40065374e6b876e3b8afbba57
e259df89e065c4162b273ebb18b75ea153f9bafe30a8c6610204ccf5e3f4ebcd
https://www.fireeye.com/blog/threat-research/2017/08/apt28-targets-hospitality-sector.html
网友评论