导语:Check Point的威胁情报团队发现一起回归的针对中东国家的APT监控攻击,攻击主要针对巴勒斯坦当局。
简介
首先攻击是从一封钓鱼邮件开始的,邮件附件可以自解压提取出2个文件——1个word文档和一个恶意可执行文件。钓鱼邮件显示来自巴勒斯坦政治和国家指导委员会,word文档是诱饵文件,用于转移受害者的注意力,而恶意软件会在后台进行安装。
恶意软件有许多模块,包括:
· 对受感染设备截图,并发送给C&C服务器;
· 发送一系列扩展名为.doc, .odt, .xls, .ppt, .pdf的文档;
· 系统的日志详情;
· 重启系统;
· 对可执行文件进行自毁。
恶意软件模块很多,所以不清楚攻击者的具体目的;但可以确定的是,一旦攻击者找到想要的东西,就进入第二阶段攻击了。会从C&C服务器提取其他的模块或恶意软件。然后监控攻击就发生了,因为攻击者对电视Big Bang非常喜欢,所以攻击活动也被命名为Big Bang。
该APT组织的上一次活动是2017年6月Talos团队发现的,之后该组织就销声匿迹了。Big Bang攻击活动结合了许多新的能力和攻击性的基础设施,看起来目标性更强。
Ramallah
第一个攻击实例是4月中旬发现的。但根据攻击者的诱饵文件日期,可以将其追溯至2018年3月。
这次攻击活动和之前的类似,都使用钓鱼攻击的方法来传播勘察阶段的恶意软件。与2017年不同的是,这次的恶意文档是一个自提取的压缩文件,压缩文件中包含诱饵文件和恶意软件。为了让该文件看起来像一个合法文件,开发者给文件做了一个word图标,并命名为التقرير الإعلامي الشهري(每月新闻报道)。
当双击该文件时,会打开一个含有巴勒斯坦政治和国家指导委员会logo的word文档。该文档伪装成新闻报道的样子,含有从不同的新闻网站复制过来的新闻标题。
当受害者注意力转向该word文档后,恶意可执行文件就会在后台安装。
图1: Word文档截图
虽然压缩文件是4月中旬发现的,但word文档表明上次编辑时间是2018年3月29日。日期也出现在文档的主题和标题部分29-3.doc。文档的元数据表明该文档也叫做“سيادة العقيد /عصام أبو عوكل”,这是指导委员会首席执行官的名字。
文件的名字和内容说明攻击者对受害者非常熟悉。
分析
下面的分析泄漏了恶意软件的一些能力,研究人员非常确定这是一起攻击特定受害者的多阶段攻击。下面的恶意软件是勘察阶段的一部分,但其本质功能还不确定。
2017年,该组织使用的是一款相对简单的恶意软件Micropsia,编程语言是C++,用Delphi封装。2018年,攻击者使用的是该恶意软件的升级版变种,仍然用C++编写,但使用自提取的可执行文件封装。
可执行文件
压缩包中的可执行文件名为DriverInstallerU.exe,但其元数据显示原始名为Interenet Assistant.exe。
一旦执行,恶意软件就会设定mutex(InterenetAssistantN),复制自己到ProgramData,将自己添加到计划任务中来确保驻留。
默认情况下,恶意软件会与事先硬编码的C&C网站进行通信,不同样本中的C&C网站各不相同。如果恶意软件不能从硬编码的第一个网站接收到响应,就会与备用的C&C网站(lindamullins[.]info)通信。
图3: 硬编码的C&C网站
一旦样本能够与主C&C通信,第一件事就是对系统打水印和窃取收集到的信息,打水印的信息包括用户和PC名,操作系统版本,以及安装的反病毒工具。
图4: 初始化的Beacon.
之后,会发送一个POST请求到C&C,C&C会根据返回一个可以开启恶意软件特定功能的配置文件。
图5: C&C Commands
配置文件中的每个key代表可执行文件中的不同模块,如果key被标记为true,那么可执行文件就会运行相关的模块。模块名也来源于流行剧Big Bang和土耳其的电视连续剧Resurrection: Ertugrul中演员的名字。
在配置文件中,研究人员发现13个不同模块的13个key。但研究人员在样本中只找到5个对应的模块。这也就是说攻击活动还在发展中,未来也会出现更多的样本。
下面的表描述每个模块的角色:
RAT会尝试记录受感染的系统并收集凭证,但样本与RAT不同,会在受害者样本中寻找Office文档。另外,文件还有下载和运行另一个可执行文件的能力。
在检查了恶意软件的功能后,研究人员认为攻击者在寻找那些回应了特定特征的受害者,之后的攻击也是适应特定受害者的。
攻击者的英文水平
研究人员利用文件名(Interenet Assistant)中的错误找到了与原始文件有相同名称的另一个可执行文件。使用通信模式可以找到另一个样本DriverInstallerU,在该样本中,模块的名从演员名改为汽车型号名,即BMW_x1,BMW_x2一直到BMW_x8。
但这种错只是APT组织的语言错误。C&C站点中不正确的语法词组能够帮助找出操作的基础设施。浏览C&C站点会返回下面的响应:
与活动相关的站点会使用准备好的bootstrap模板,但含有一些语法错误的字符串,比如“Probably the most Music Site in the world!”和“[email protected][.]com”。
这些字符串可以帮助找出使用相同模板的其他站点,虽然不能与特定的恶意软件样本关联起来,但是未来可能会用到。
回顾
经过一年的发展,APT组织使用的工具有了明显的升级,攻击活动的执行者在传播方法和恶意软件开发过程中都留下了明显的痕迹。这些留下的线索可以帮助研究人员将这波攻击与过去的攻击相关联,最终研究人员认为这些攻击与Gaza Cybergang APT组织的攻击活动非常相似。
另外,使用自提取压缩文件和诱饵文件的概念并不新鲜,Gaza Cybergang APT组织过去的攻击也实施了类似的攻击。
而且这些恶意样本中也有很多的相似之处,比如2017年使用最新的电视连续剧中的演员和角色名,以及系统中的指纹信息等。但2017年,该APT组织使用的可执行文件是用Delphi封装的,而2018年研究人员发现的恶意样本使用的是自提取压缩技术。但双击打开文档时,一个用C++编写的另一个可执行文件就会执行。
在最近的攻击活动中,C&C通信技术也进步了很多,比如备份域名技术之前未使用过。另外,新的恶意软件比旧的恶意软件功能和能力更强。
结论
从2017年3月起,经过1年的发展,研究人员发现该攻击活动的功能不断增多、攻击目标也更加具体。虽然该APT组织的目标都是精心挑选的,使用传统的信息窃取器进行情报收集,但还是很难确定攻击活动的最终目标是什么。事实上,攻击的下一阶段可能仍在开发中,并未应用于实际的攻击中。
虽然从攻击活动中的线索判断是Gaza Cybergang APT组织回归了,但仍然无法确认攻击活动背后是哪个威胁组织。
IOC
哈希:
a210ac6ea0406d81fa5682e86997be25c73e9d1b
994ebbe444183e0d67b13f91d75b0f9bcfb011db
74ea60b4e269817168e107bdccc42b3a1193c1e6
511bec782be41e85a013cbea95725d5807e3c2f2
9e093a5b34c4e5dea59e374b409173565dc3b05b
域名:
lindamullins[.]info
spgbotup[.]club
namyyeatop[.]club
namybotter[.]info
sanjynono[.]website
exvsnomy[.]club
ezofiezo[.]website
hitmesanjjoy[.]pro