概览

Sofacy仍然是一个持久性的全球威胁。Unit42和其他研究机构发现2018年上半年该威胁组织攻击的目标遍及全世界，主要攻击目标为南美和欧洲的政府、外交和战略组织。

根据2018年2-3月的最新研究，研究人员发现sofacy组织开始使用一个不太著名的攻击的工具——Zebrocy。Zebrocy是通过含有宏的office文档和其他简单的可执行文件附件进行钓鱼攻击的。另一个活动是与前两个活动一致的，目标是与外交事务相关的政府组织。而且目标位于不同的地缘政治区域。

研究人员发现使用Zebrocy的攻击者会发送钓鱼邮件给指数级的用户。目标用户并没有明显的特点，而且邮箱地址很容易可以通过网页搜索引擎找到。这与Sofacy组织的其他攻击活动形成明显对比，因为sofacy组织的攻击活动一般都是有针对性的。

除了这些以外，研究人员还发现sofacy组织利用McAfee之前公布的Dynamic Data Exchange (DDE)漏洞利用技术。研究人员发现sofacy组织的DDE漏洞利用与之前公布的payload有所不同。其中一个DDE攻击实例是传播和安装Zebrocy，另一个实例是传播一个开源的渗透测试工具Koadic。 

与之前攻击的关系

2月份的报告中，研究人员发现Sofacy组织使用含有恶意宏大office文档来传播SofacyCarberp payload给多个政府实体。报告中还描述了Sofacy使用混淆技术来隐藏基础设施，比如使用随机的注册商和服务提供商。而且Sofacy组织在每个域名里都有一个web页面，这是很奇怪的，因为攻击者几乎不会在C2上建议真实的页面。更奇怪的是，每个web页面都有相同的内容。基于该报告的内容，研究人员发现另一个含有相同内容的域名supservermgr[.]com。该域名是2017年12月20日注册的，解析的地址是92.222.136.105，该IP地址是一个Sofacy组织常用的著名的VPS提供商。基于对与域名supservermgr[.]com相关的恶意软件样本的静态和动态分析，研究人员发现：

样本d697160ae尝试与位于hxxp://supservermgr[.]com/sys/upd/pageupd.php的C2通信来提取Zebrocy AutoIT下载器。因为该域名已经不再使用了，所以该活动无法完成。但可以判断出这是用于C2通信的硬编码的用户代理： 

Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322; .NET CLR 2.0.50727; .NET CLR 3.0.04506.30; .NET CLR 3.0.04506.648; InfoPath.1)

研究人员使用AutoFocus将用户代理数据集扩展到3个Zebrocy样本，同时发现了位于185.25.51[.]198 和185.25.50[.]93的基础设施。截止目前，研究人员一共发现和收集了将近30个和原始样本相关的Zebrocy样本和相关的C2域名。许多收集的样本数Zobrocy下载器工具的C++变种。另外，研究人员还发现了一个完全不同的payload，以及ESET报告中提到的最后一阶段payload的C2的IP地址（185.25.50[.]93）。

下图是研究人员分析的相关关系分析图：

图1 关系视图

这并不是所有收集到的Zobrocy和Koadic样本的综合图，只包含了相关分析的一部分。

从C2 IP地址185.25.50[.]93，研究人员发现Zobrocy使用的另一个硬编码的用户代理：

Mozilla/5.0 (Windows NT 6.1; WOW64) WinHttp/1.6.3.8 (WinHTTP/5.1) like Gecko

研究人员发现了许多使用该用户代理工具中亚国家外交事务部的Zobrocy样本。其中一个样本将该用户代理与之前的用户代理相结合：

Mozilla v5.1 (Windows NT 6.1; rv:6.0.1) Gecko/20100101 Firefox/6.0.1

使用两个不同的用户代理字符串的恶意软件样本是不常见的。通过对该工具进行分析，研究人员发现第二个用户代理字符串是从样本cba5ab65a提取的。Mozilla v5.1的用户代理有超过40个额外的Zebrocy样本，主要攻击中亚国家。

通过对独特的用户代理字符串的使用发现，之前攻击者只是使用Mozilla/5.0用户代理，自2017年中开始这三个用户代理字符串都被Zebrocy用做C2通信的工具。

图2用户代理时间线

DDE文档

在分析样本25f0d1cbc…时，研究人员利用IP为220.158.216[.]127的C2来收集其他的Zebrocy样本和武器化的文档。该文档（85da72c7d…）攻击的是南美处理外交事务的政府组织。该攻击使用DDE来提取payload，并安装在受害者的主机上。本攻击中还使用了诱饵文档，文档内容是公开联合国关于乌兹别克斯坦共和国的官方文档。

图3 传播的文档示例

图4 使用的诱饵文件图

该武器化的文档的创建者将DDE指令添加到诱饵文件的文章末尾。但文档在word中打开后，指令并不会马上可见，因为word默认情况下是不显示这些区域的内容的。下图可以看到，高亮这些含有DDE指令的行，DDE指令的内容也不会显示。

图5 隐藏的DDE命令

启用切换区域代码（Toggle Field Codes）就可以看到作者将指令的大小设置为1 font，而且颜色是白色的。字体颜色是白色就是为了隐藏武器化的文档的内容，这也是Sofacy组织在恶意宏攻击中常用的技术。

DDE指令会在受害者主机上运行下面的指令，并从远程的服务器上下载和执行payload：

在分析中，研究人员观察了DDE下载和Zebrocy AutoIt下载器执行的情况，下载器会从220.158.216[.]127处下载payload。DDE指令包含一个从未运行的命令，也就是说这是一个用于传播的文档的初期版本。下面是一些未使用的命令，从中研究人员发现了Sofacy下载和执行powershell脚本的基础设施：

这些未使用的命令看起来和之前的攻击也是相关的，尤其是2017年11月的攻击。该攻击中使用的payload就是叫做SofacyCarberp的DDE文档，这与2018年2月攻击中的Zebrocy下载器传播的文档是不同的。

115fd8c61…是研究人员通过C2 86.106.131[.]177发现的另一个Zebrocy样本。样本的目标同样的中亚国家组织，有趣的是其中一个武器化的文档也使用了DDE，并且含有一个非Zebrocy的payload。该payload最终会变成一个开源的渗透测试工具集——Koadic，该工具与Metasploit和PowerShell Empire类似，而求索免费的。

图6 传播的文档示例

RTF文件是非常小的，只有264字节，但可以明确的是：

上面的内容使用word中的DDE功能来预计女性powershell脚本来从远程服务器下载Koadic payload，并在系统中保存为可执行文件，之后再执行。

结论

2018年，Sofacy组织的攻击活动仍在继续，而且该组织对同样的攻击目标使用不同的工具集执行并行攻击。与当前攻击相关的Zebrocy工具是基于开发者选择的编程语言来构造不同的攻击形式。

研究人员发现Zebrocy有Delphi, AutoIt, C++等不同编程语言的变种，这些不止是与其功能相关，还与一次攻击中链接变种的次数相关。这些攻击主要是通过鱼叉式钓鱼攻击，当用户加载了钓鱼攻击中的可执行文件附件，就可以利用前面描述的DDE攻击技术了。