一、简介

网络犯罪分子一直在使用远程访问工具Quasar，Sobaken和Vermin，系统的监视乌克兰政府机构并从他们的机器中窃取数据。威胁攻击者持续开发其隐形恶意软件的新版本。自2017年中以来ESET一直在跟踪攻击者，并在2018年1月的报告中首次记录。

在本白皮书中，我们将详细介绍这一正在进行的行动。我们提供了有关用于危害受害者系统以及安装在受感染系统上的恶意软件的更多详细信息，并描述了攻击者用来分发恶意软件以及规避检测的各种方法。

二、攻击者策略

即使这些攻击者没有高级技能或获得0 day漏洞，他们也非常成功的使用社交工程来分发恶意软件，并隐蔽进行了很长一段时间。我们能够追溯到2015年10月。但是，攻击者可能在更早就开始活跃了。

这些攻击者在攻击中使用了三种不同的.NET恶意软件 –  Quasar RAT、Sobaken（一种源自Quasar的RAT）和一种名为Vermin的定制RAT。所有这三种恶意软件都同时针对不同的目标主动使用，它们共享一些基础设施并连接到相同的C&C服务器。并行使用三种恶意软件的可能原因是它们是独立开发的。

三、受害者

如图1所示，这个恶意软件集群已被用于针对乌克兰政府机构。ESET的遥测显示了不同机构中的数百名受害者以及与该行动相关的数百个可执行文件。

图1 // ESET对Quasar，Sobaken，Vermin及其恶意组件的检测（地图数据©2018 Google，ORION-ME）

四、时间轴

查看遥测数据的另一种方法是采用时间轴的形式，如图2所示。

图2 //行动的时间轴

五、分发

根据我们的遥测数据，攻击者一直使用电子邮件作为三种恶意软件的主要分发渠道。他们在使用社交工程引诱受害者下载和执行恶意软件方面非常成功。

在大多数情况下，文件名是乌克兰语，涉及与受害者职业相关的特定主题。

此类文件名的示例：

· “ІНСТРУКЦІЯ з організації забезпечення військовослужбовців Збройних Сил України та членів їх сімей” (大致翻译为“为乌克兰军队及其家属提供安全保障的指令”)

· “новий проекту наказу, призначення перевірки вилучення” – (翻译为“新的订单，预约验证检查”)

· “Відділення забезпечення Дон ОВК. Збільшення ліміту” – (翻译为“采购部门Don OVK.增加信贷限额“)

除了使用电子邮件附件吸引目标受害者的基本社会工程技术外，这些攻击者还使用了三种特定的技术方法，进一步提高有效性。

方法＃1：在电子邮件附件的文件名中使用Unicode right-to-left override 来隐藏其真正的扩展名。这些可执行文件实际上使用了Word，Excel，PowerPoint或Acrobat Reader图标，看起来更可靠。

如在图3看到的那样，文件名：“Перевезення твердого палива (дров) для забезпечення опалювання_<<RLO>>xcod.scr”（翻译为“提供木柴运输”）将被粗心地看成.DOCX扩展名。

图3 //伪装成Word文档的可执行文件

方法＃2：伪装成RAR自解压档案的电子邮件附件。

示例：如图4所示，电子邮件带有附件“Наказ_МОУ_Додатки_до_Iнструкцii_440_ост.rar”（翻译 – “国防部令，附录440号指令”）。在RAR档案的内部，有一个使用RAR SFX图标的名为“Наказ_МОУ_Додатки_до_Iнструкцii_440_ост”的可执行文件.exe。受害者可能会运行此文件用于提取自解压存档，但这会无意中启动恶意可执行文件。

方法＃3：Word文档加CVE-2017-0199漏洞利用。

受害者打开特制Word文档时会触发此漏洞。Word进程向位于远程服务器上的恶意脚本HTA文件的发送HTTP请求。然后恶意脚本将由mshta.exe执行。有关此漏洞的第一个公开信息出现在2017年4月，Microsoft已为所有版本的Windows和Office发布安全更新来修复它。根据ESET的遥测，这些威胁行为者于2017年5月开始使用这种方法。攻击者使用hxxp://chip-tuning.lg[.]ua/ 来传递HTA文件和最终的有效载荷。

图4 //文件伪装成RAR自解压存档。版本信息和版权年度可靠地告诉我们这是假的。

六、安装与持久性

这些攻击者使用的三种恶意软件，安装过程是相同的。Dropper将恶意文件（Vermin，Quasar或Sobaken恶意软件）释放到%APPDATA%文件夹中以合法公司（通常是Adobe，Intel或Microsoft）命名的子文件夹中。然后，如图5所见，它创建了一个计划任务，每10分钟运行一次有效载荷，以确保其持久性。某些版本还采用了滥用Windows控制面板快捷方式的技巧，使其文件夹无法从Windows资源管理器中访问。在Windows资源管理器中单击时，将无法打开此类文件夹;相反，它会打开Windows控制面板中的“所有任务”页面。

图5 //计划任务每10分钟运行一次释放的恶意载荷

例子：

C:\Users\Admin\AppData\Roaming\Microsoft\Proof\Settings.{ED7BA470-8E54-465E-825C-
99712043E01C}\TransactionBroker32.exe
C:\Users\Admin\AppData\Roaming\Adobe\SLStore\Setting.{ED7BA470-8E54-465E-825C-99712043E01C}\AdobeSLService.exe

七、检查措施

攻击者一直使用相当多的技巧来确保恶意软件仅在目标计算机上运行，特别注重避开自动分析系统和沙箱。

方法＃1：Windows键盘布局检查。

恶意软件会检查是否安装了俄语或乌克兰语键盘布局。如果没有，它会立即终止。

方法＃2：IP地址检查。

恶意软件通过对合法服务ipinfo.io/json的请求获取其计算机的IP地址。如果IP地址不在乌克兰或俄罗斯，或者IP地址已注册到多个选定的反恶意软件供应商或云提供商之一，则恶意软件将终止。与这些检查相关的代码见图6和图7中的反汇编。

图6 //检查主机IP地址的地理位置的代码

图7 //针对云提供商和反恶意软件供应商IP地址列表的检查代码

方法＃3：模拟网络环境检查。

自动分析系统通常使用Fakenet-NG等工具，其中所有DNS / HTTP通信都成功并返回一些结果。恶意软件作者试图通过生成随机网站名称/ URL并通过测试与URL失败的连接来识别此类系统，如图8所示，正如在真实系统上所期望的那样。

图8 //生成随机URL并尝试下载的代码

方法＃4：特定的用户名检查。

恶意软件拒绝在具有典型自动恶意软件分析系统的用户名的帐户下运行，如图9所示。

图9 //根据已知恶意软件分析系统列表检查当前用户名

八、使用隐写术绕过内容过滤

2017年中期，攻击者探索了将有效载荷隐藏在图片中的可能性，这些图片托管在免费图像托管网站上savehot.net和ibb.co.

隐写术是将数据“隐藏在视线中”的科学，也就是说隐藏在其他非秘密数据中。在本案例中，恶意EXE文件被加密并隐藏在有效的JPEG文件中，例如图10中的示例。恶意软件下载并解码JPEG文件，提取隐藏数据，从该数据解密EXE文件，然后启动它。

图10 //用于隐藏有效载荷的JPEG图像示例（图像已调整大小和有效载荷已删除）

解密过程非常复杂，可以描述如下：

1.从downloader文件中硬编码的URL下载JPEG。

2.通过暴力穷尽8位密码计算其哈希值，对downloader中硬编码的哈希进行验证。此步骤非常占用CPU，并且需要10分钟以上才能完成。这很可能是针对自动恶意软件分析系统的另一项措施。

3.处理JPEG文件并提取隐藏在其中的数据，如图11和图12中反汇编中所示。恶意软件使用的算法与JSteg非常相似，JSteg是用于JPEG文件的最古老，最简单的隐写算法之一，它将数据隐藏在JPEG DCT系数的LSB中（最低有效位）。这种隐藏数据通常不会以肉眼可见的方式影响图像，但隐藏数据的存在很容易通过专门的算法检测到。但是，这种隐写算法很容易实现，这可能是恶意软件作者选择它的原因。

4.使用GZip提取数据并解压缩。

5.使用AES和步骤2中获得的密码解密解压缩的数据。

6.使用Base64解码解密数据。

7.将EXE文件写入磁盘并执行它。

但是作者放弃了隐写术的想法，使用hxxp://chip-tuning.lg[.]ua 来提供未加密的恶意软件可执行文件。

图11 // JPEG解码器内的隐写代码

图12 // JPEG解码器内的隐写代码

九、恶意软件

威胁行为者在攻击中使用了三种不同的恶意软件。我们概述一下，并着重描述它们的独特功能。

1．Quasar

Quasar是一个开源RAT（远程访问工具），可以在GitHub上免费获得。我们已经看到过好几个这些威胁行为者使用Quasar RAT的攻击行动。

我们所知道的第一个行动从2015年10月持续到2016年4月。利用Quasar RAT的下一个行动于2017年2月开始。编译工件显示的PDB路径为n:\projects\Viral\baybak_files_only\QRClient\QuasarRAT-master\Library\obj\Release\Library.pdb

使用这些攻击者的C＆C服务器（mailukr.net）的另一个Quasar RAT行动发生在2017年7月至9月。在该行动中，攻击者使用名为“xRAT 2.0 RELEASE3”的旧版Quasar RAT。dropper中的编译工件显示PDB路径为 N:\shtorm\WinRARArchive\obj\Release\WinRAR.pdb

2．Sobaken

Sobaken是Quasar RAT的一个经过大量修改的版本。在比较Quasar和Sobaken的程序结构时，我们可以看到很多相似之处，如图13所示。

恶意软件作者不断删除功能，从而创建一个更小的可执行文件，这也更容易隐藏。他们还添加了反沙箱和其他上面描述的规避技巧。

图13 // Sobaken的演变——左：Quasar RAT v1.3，中间和右 –  Sobaken的2个版本

3．Vermin

Vermin是一个定制的后门，仅供这些威胁行为者使用，于2018年1月首次出现在Palo Alto Networks的报告中。它首次出现在2016年中期，目前仍在使用中。就像Quasar和Sobaken一样，它也是用.NET编写的。为了解缓分析速度，程序代码使用商业.NET代码保护系统.NET Reactor或开源保护软件ConfuserEx进行保护。

此外，就像Sobaken一样，它使用了Vitevic Assembly Embedder，这是一个免费软件，用于将所需的DLL嵌入主可执行文件中，可从Visual Studio Marketplace获得。

功能

Vermin是一个功能齐全的后门，有几个可选组件。在撰写本文时，已知的最新版本Vermin（Vermin 2.0）支持以下命令：

· StartCaptureScreen

· StopCaptureScreen

· ReadDirectory

· UploadFile

· DownloadFile

· CancelUploadFile

· CancelDownloadFile

· GetMonitors

· DeleteFiles

· ShellExec

· GetProcesses

· KillProcess

· CheckIfProcessIsRunning

· CheckIfTaskIsRunning

· RunKeyLogger

· CreateFolder

· RenameFolder

· DeleteFolder

· UpdateBot

· RenameFile

· ArchiveAndSplit

· StartAudioCapture

· StopAudioCapture

· SetMicVolume.

大多数命令都是在主有效载荷中实现的，还有几个命令和附加功能是通过攻击者上传到受害者机器的可选组件实现的。

已知的可选组件包括：

· Audio recorder

· Keylogger

· Password stealer

· USB file steal

Audio recorder (AudioManager)

这是Vermin的全功能组件，可以从受害者计算机上的麦克风录制音频。它实现了Vermin的三个命令：StartAudioCapture，StopAudioCapture和SetMicVolume。使用Speex编解码器压缩捕获的数据，并以SOAP格式上传到Vermin的C＆C服务器。

Keylogger (KeyboardHookLib)

Vermin的键盘记录器是一个简单的独立可执行文件，它设置全局键盘钩子并将所有击键写入加密形式的文件中。它还记录剪贴板内容和活动窗口标题。键盘记录器本身无法连接到Vermin的C&C服务器 ，通过主后门组件将收集的信息传输到攻击者的服务器。

键盘记录程序中的PDB路径确认其与Vermin恶意软件关联：Z:\Projects\Vermin\KeyboardHookLib\obj\Release\AdobePrintLib.pdb

Password stealer (PwdFetcher)

Vermin的独立密码窃取程序用于从浏览器（Chrome，Opera）中提取已保存的密码。其大部分代码是从俄罗斯论坛Habrahabr上的一篇文章中复制粘贴的。示例还包含用于从Firefox浏览器中提取信息的代码，但它并未使用。如图14所示，该组件还包含类似于键盘记录器组件中的PDB路径，确认其与Vermin恶意软件关联。

图14 //将密码窃取程序关联到Vermin恶意软件的编译组件

USB file stealer (UsbGuard)

UsbGuard.exe是Sobaken和Vermin使用的可选组件。它是一个小型独立程序，用于监控连接到计算机的USB驱动器，并复制与攻击者选择的过滤器匹配的所有文件。然后来使用主后门模块传输被盗文件。许多不同的PDB路径明确地将它们与Vermin联系起来。

自2018年4月以来，文件窃取程序已被用作独立工具。它会复制文件并立即将其上传到受攻击者控制的服务器。

在分析的示例中，攻击者使用以下扩展名的文件：

 .doc
 .docx
 .xls
 .xlsx
 .zip
 .rar
 .7z
 .docm
 .txt
 .rtf
 .xlsm
 .pdf
 .jpg
 .jpeg
 .tif
 .odt
 .ods

十、总结

在针对乌克兰高价值目标的众多不同恶意软件攻击中，这些攻击者并未引起公众的太多关注，可能是因为他们在开发自己的专用产品（Vermin）之前最初使用了开源恶意软件。

在过去三年中，攻击者使用了多种恶意软件系列以及各种感染机制（包括常见的社交工程技术，以及不常见的隐写术）。

事实上，攻击者成功的使用了相对简单的技术，例如通过电子邮件发送RAR和EXE文件，这突出了在计算机网络保护中人为安全因素的重要性。

IOCs(参见原文)