导语:今年早些时候,一种名为Olympic Destroyer Wiper的恶意软件曾短暂的干扰过韩国冬奥会。现在它又带着一种新类型的dropper变种回来了,有重要变化显示表明其背后的APT组织发生了变化。
今年早些时候,一种名为Olympic Destroyer Wiper的恶意软件曾短暂的干扰过韩国冬奥会。现在它又带着一种新类型的dropper变种回来了,有重要变化显示表明其背后的APT组织发生了变化。
尽管名为Olympic Destroyer,但自今年2月以来,Olympic Destroyer早已将攻击目标转移到了奥林匹克赛事之外。该恶意软件最初的传播途径,是靠其背后的APT组织大肆发送带有恶意附件的鱼叉式钓鱼电子邮件来实现的。Check Point的研究人员表示,据他们观测结果显示,在恶意附件中,宏的复杂性随着时间的推移而愈发增加,为了掩人耳目,Hades每个月都会出现新的版本。然而到了十月份,这个情况发生了变化。
Check Point的研究人员在最近发表的一篇文章中指出,
通过对字符串编码方法以及一些其他常用指标的研究表明,大多数恶意文档都是由同一个威胁行为者创建的,使用的是相同的混淆工具集,每月更改一次。但最新样本显示出了与Hades APT的宏通常所采用的、常规进化路径的偏离,出现了一种全新的变种。
具体来讲,就是该变种中引入了反分析和延迟执行等新特性,这些特性过去只在第二阶段Wiper负载中使用。
Hades APT的doc文件和宏混淆器具有一些独特的特征,通过这些特征,可将它们与其他dropper区分开来。例如,Hades大多数的dropper都包含了下列三个文档作者签名:James,John或AV。分析师表示,这些“指纹”对追踪该组织的研究人员来说非常重要,因为它们很少见。在缺乏区别特征、代码中内置了大量错误标志的情况下,卡巴斯基实验室仍旧致力于识别此组织的特征。
Check Point的研究人员表示,
众所周知,Hades利用公开的工具进行侦察和后期开发,这使得对攻击第一阶段的分析和检测变得更加重要,这也是区分该组织与他人的行动,乃至追踪其全球活动的方法之一。
Check Point说,
在Olympic Destroyer Wiper最近的一次更新中,用户首先会看到一个空白页面。一旦激活,宏就会将白色文本变为黑色,内容就会显示出来。这份文件的文本是可以在网上找到的合法文件。接着宏本身执行沙箱规避;它检索运行进程的列表,然后将其与流行的分析工具使用的进程进行比较,并计算总共有多少个正在运行的进程。这个过程计数对沙箱和分析环境很有效,因为通常有一些进程在运行。
在此之前,这些工作都是在旧版本的PowerShell阶段进行的。最新的dropper能还将解码的HTA文件写入计算机的磁盘,并安排它在早上执行。HTA文件利用VBScript对下一级命令行进行解码,使用与宏相同级别的技术和解码器。
除了第一阶段变化之外,Check Point的研究人员还发现了一些新情报,比如Hades的droppers使用受感染服务器作为第二阶段命令和控制(C2)。
Check Point表示,
尽管人们对Hades的基础设施知之甚少,但一些与他们C2相关联的droppers暴露了一些服务器问题,这些问题表明受损的服务器仅充当代理,请求实际上被重定向到另一台服务器,该服务器承载着Hades整个组织的后端。
总体而言,这些变化表明,为了避免被找到任何蛛丝马迹,该组织在持续创新当中。之前在奥运会期间,Hades就操作了伪旗行动;而其最新的dropper也在隐匿着自己的行踪。
Check Point的研究人员表示,
Hades没有表现出放慢运作的迹象,他们的能力与他们的受害者名单一起增长。