一、背景

上周，Yoroi CERT的分析人员发现了几起针对意大利海军和国防工业的攻击。攻击者使用电子邮件作为传播媒介，通过发送特制的xls文件来感染受害者。已识别的攻击触发内部defcon升级，据此评估威胁程度并最终分析此特殊恶意软件。

10月9日至15日，在我们的CSDC（网络安全防御中心）运营期间，分别拦截了两起不同行动的可疑电子邮件，每起行动都有一次或多次尝试，社会工程技巧略有不同。

二、恶意邮件

第一个截获的恶意电子邮件的发件人为“markvanschaick.nl @qixnig .com”。攻击者选择特定人名试图利用荷兰海运服务公司“Mark Van Schaick”的名誉，但发件人的域名和IP地址与该组织没有直接关系。

图1. 第一波攻击SMTP头部详细信息

该消息从Roundcube Webmail服务器lord.vivawebhost .com（173.237.190.12 COLO4-BLK7 US）发送，这显然与发件人的域名无关。此外，“qixnig .com”（发件人域名）解析为另一个不同的IP地址66.45.243.148（INTERSERVER US）。有趣的是对所有访问用户精心设计的重定向：HTTP 301代码重定向到Dan Marine Group的官方门户网站。

图2.重定向到Dan Marine Web门户

第二起电子邮件活动与第一起活动略有不同。它起源于mail.dbweb .se（52.58.78.16 AT-88-Z US）托管的另一个Roundcube网络邮件服务：

图3. 第二波的SMTP头部详细信息

在此情况下，虚假的通联过程模仿“Naviera Ulises Ltd <[email protected]>”和“Evripidis Mareskas（Mr）<supplies.ulisnav @ kiramko .com>”之间的互动。提取的域名r恰好是“kiramko .com”并且它解析为在第一个波中发现的相同远程IP地址（“qixnig .com”，66.45.243.148 INTERSERVER US）。所以可以认为这些行动密切相关。在撰写本文时，“ulisnav .gr”似乎并未注册。

截获的电子邮件提出了精心准备的网络钓鱼计划，专门针对意大利海军部门。观察到的标题和网络环境显示，攻击者试图冒充海事部门和海军服务供应商，诱使受害者打开附件。

例如，前两次检测到的尝试试图模仿中国丹海洋集团的询问，假装验证发件人的域名“qixnig .com”由该集团拥有。然后，它试图将访客重定向到Dan Marine官方网站。另一个截获的电子邮件将受害者作为BCC插入希腊Naviera Ulises有限公司的技术支持与其雇主之一（在linkedin上公开的数据）之间的虚假通信。

这些通信中没有一个是真实合法的，实际上截获的数据并不表明攻击者可以访问任何实际目标。

三、附件

截获的电子邮件包含多个附件文档：在第一个电子邮件活动中，我们观察到相同Excel文件的两个副本（5c947b48e737648118288cb04d2abd7b）封装CDFV2加密数据并在VT的AV测试中得分相对较低（撰写本文时为9/59）。

该文档能够从受感染的门户网站下载可执行的有效载荷（66b239615333c3eefb8d4bfb9999291e）：

图4.截获的下载恶意软件的HTTP请求

有关规避技术的更多详细信息，特别是与VelvetSweatshop技巧和用于释放恶意软件的公式编辑器漏洞利用有关的内容，可在此处获取（link）。

图5.恶意Excel文档

第二波攻击中的附件是Excel文件的副本和另一个名为“Company profile.pdf”的PDF文档（6d2fc17061c942a6fa5b43c285332251），此文档是在网络钓鱼尝试的同一时间段内生成的：在恶意消息发送前30分钟由一个MS Word 2013文档生成。

图6. “Company Profile.pdf” 元数据

嵌入式附件已于10月中旬使用多个名称分发，其中大多数名称与海军行业相关，包含机械部件的报价、查询或订单。

图7.提交时间和样本名称

话虽如此，现在来解释此攻击系列“MartyMcFly”名称的来历，该名称来自VT平台报告的“Wild In First Seen in the Wild”值以及部件中找到的元数据，此部件非常有趣值得讨论。

四、Payload

可执行的有效载荷从一个可能受到感染的网站下载，该网站由一家销售机械备件的土耳其公司合法拥有，表明攻击者已经仔细处理好了恶意软件分发基础设施。

PE32文件66b239615333c3eefb8d4bfb9999291e包含从Delphi源代码（BobSoft Mini Delphi）编译的可执行二进制代码。

执行的第一阶段包含了几种反分析模式和技巧，例如在0x0045e304，恶意软件检查操作系统中配置的本地时间年份是否在2017之后（图8），此外在0x045e393它会调用SleepEx库函数降低执行速度（图9）。

图8. 本地时间检查

图9.通过SleepEx减慢代码速度

恶意代码中绕过所有调试检查和规避技巧会导致在映射在0x012e0000位置的RWX代码段中动态加载.NET模块。

图10.在内存中解压缩的可执行模块

Yara签名证实提取的PE32模块可归因于武器化版本的“QuasarRAT”： github上免费提供的开源远程管理工具。

图11.转储的.NET模块上与Yara签名匹配

图12中报告的手动验证确认提取的有效载荷与github存储库上发布的QuasarRAT模块匹配。此外，后面的IoC部分报告了恶意软件配置中的C2服务器。

图12. QuasarRAT使用的模块名称和消息示例

目前没有归属于已知组织的可能性，许多威胁行为者选择使用或定制开源工具以试图使溯源更难，例如APT-10以及Gorgon组织的武器库中都包含QuasarRAT 。

IoC

Malspam

· INQUIRY FOR Engine Requisition: Spare parts: Valves: Cylinder etc

· “Mark Van Schaick Marine” <markvanschaick.nl @qixnig[.com>

· Mark van Schaick Enquiry – Marine Parts, Valve, Cylinder ets..xlsx

· Mark Van Schaick Company Profile.xlsx

· “INQUIRY MJ1409-FWS-FBR-61 / 18092867Q1/ MARINE PARTS”

· “Cherry dan” <cherry.dan-marine @ qixnig[.com>

· Engine_9463.xlsx

· List of order spares parts.xlsx

· Company Profile.pdf

· lord.vivawebhost[.com

· mail.dbweb[.se

Dropurl

· http://apexmetalelektrik[.com/js/jquery/ui/jquery/file/alor/GEqy87.exe

C2

· secureserver.marinelectricsystems[.com:4783

· safebridge.marinelectricsystems[.com:4783

· neumeistermcntrade[.ddns[.net:4783

· mcntradeandreas.ddns[.net:4783

· 79.172.242[.87:4783

Hash

· a42bb4900131144aaee16d1235a22ab6d5af43407a383c3d17568dc7cfe10e64  xlsx

· 3b5bd3d99f1192adc438fb05ab751330d871f6ebb5c22291887b007eaefbfe7b pdf

· 1aa066e4bcc018762554428297aa734302cfbb30fef02c0382f35b37b7524a4a  exe