导语:Proofpoint在4月20日发表了一项针对性的入侵报告,专注攻击俄罗斯和邻国的顶级金融公司工作的金融分析师。这些分析师与电信行业有所关联。
Proofpoint在4月20日发表了一项针对性的入侵报告,专注攻击俄罗斯和邻国的顶级金融公司工作的金融分析师。这些分析师与电信行业有所关联。这次的攻击非常类似于我们的“https://www.proofpoint.com/us/threat-insight/post/PlugX-in-Russia”博客中所描述的攻击,并且可能延续。然而,这次攻击者使用Microsoft word进行攻击,利用最近修补的CVE-2017-0199来执行ZeroT Trojan,后者又下载了PlugX(RAT)。
Proofpoint正在跟踪这些攻击者,如TA459,他们的攻击通常针对中亚国家,俄罗斯,白俄罗斯,蒙古等。TA549拥有多种恶意软件,包括PlugX,NetTraveler和ZeroT。在这个博客中,我们还记录了2017年其他的活动,包括他们使用的恶意软件PCrat / Gh0st。
分析
在这个活动中,攻击者使用了一个名为0721.doc的Microsoft Word文档,该文档利用了CVE-2017-0199漏洞。在攻击前这漏洞已经被纰漏了。
Microsoft Word文档0721.doc
该文档使用逻辑缺陷首先从http//122.9.52.215/news/power.rtf下载文件power.rtf。power.rtf这个文件实际上是HTML应用程序(HTA)文件,而不是RTF文档。
利用文件下载的第一个脚本是一个HTA文件
如上图所示,HTA中的VBScript会更改窗口大小和位置,然后使用PowerShell下载另一个脚本:power.ps1。power.ps1是一个下载并运行ZeroT远控的payload"cgi.exe"。
漏洞利用文档下载的第二个脚本是一个PowerShell脚本
ZeroT等有效载荷
自上次分析以来,攻击者对ZeroT进行了改进。虽然它们仍然使用RAR SFX格式作为初始有效载荷,但是ZeroT现在使用名为mcut.exe的合法McAfee实用程序(SHA256 3124fcb79da0bdf9d0d1995e37b06f7929d83c1c4b60e38c104743be71170efe),而不是像过去一样进行侧向加载的Norman Safeground AS。
加密的ZeroT有效载荷(称为Mctl.mui)在存储器中被解码,显示出类似篡改的PE标题,并且与之前分析的ZeroT有效载荷相比,只有稍微修改的代码。
一旦ZeroT运行,我们观察到,请求中使用的user-anget从“Mozilla/6.0 (compatible; MSIE 10.0; Windows NT 6.2; Tzcdrnt/6.0)” 变成“Mozilla/6.0 (compatible; MSIE 11.0; Windows NT 6.2)”,删除了以前版本中的”Tzcdrnt“错字。将index.php的初始信息更改为index.txt,但是ZeroT仍然使用静态密钥进行RC4加密的响应:“(* ^ GF(9042&*”)。
上图是通过HTTP请求URL配置的ZeroT初始信息
接下来,ZeroT使用HTTP将感染系统的信息传输到命令和控制(C&C)。所有的都是加密的,跟上次分析的一样,第一个POST还是未加密的。之后,仍使用LSB隐写术来隐藏真实payload的位图(BMP)图像来检索第2阶段的payload。这些图像在图像查看器中显示正常。
第2阶段的payload是插入PlugX的C&C服务器。
ZeroT和PlugX HTTP网络活动
TA459额外的活动
在2017年,我们观察到这个组织还在积极的用各种恶意软件来攻击。ZeroT仍然是第一阶段的有效载荷,但是第二阶段的载荷有所变化。一个这样有趣的例子是“ПЛАНРЕАЛИЗАЦИИПРОЕКТА.rar”(SHA256 b5c208e4fb8ba255883f771d384ca85566c7be8adcf5c87114a62efb53b73fda)。该文件由俄文翻译成“PROJECT REALIZATION PLAN”,包含一个压缩的.scr可执行文件。 该ZeroT可执行文件与PlugX的C&C域www.kz-inf.net以及另一个与PCRat/ Gh0stC&C域www.ruvim.net进行通信。
另一个有趣的ZeroT样本(SHA256 bc2246813d7267608e1a80a04dac32da9115a15b1550b0c4842b9d6e2e7de374)包含在RAR SFX存档中的可执行文件0228.exe和诱饵文件0228.doc中。Proofpoint认为,捆绑诱饵文件是该组织的常用方法。执行恶意payload时,RAR SFX 指令用于显示诱饵。
诱饵文件
诱导文件中的文字信息来源
结论
TA459这样的黑客组织一直在进行持续攻击,且利用较为传统的攻击方式,使用网络钓鱼活动以及社交工程等手段瞄准从事特定研究工作并拥有专业知识的相关专家。