分析某针对乌克兰国防和经济部门的大规模钓鱼事件!

前言

石楠花开前,小河西村检测到多起针对乌克兰国防和经济部门的攻击事件。在短暂的分析之后,我们惊讶地发现这是一起持续且大规模的网络间谍活动,乌克兰是主要的受害国。

在早起的公开报告中Palo Alto和ESET分别在2018年1月和7月对其进行揭露,小河西村编写本文前两天,FireEye再次揭露一起网络钓鱼活动。我们想各家报告或多或少存在重叠、不尽人意的地方。

由于各种原因,小河西村在惊叹之余一拖再拖,重新提笔亦是行文仓促。为了避免误导,我们力争对以下全部样本进行人工判读,小心求证之后,也对无法笃定的事件本身进行大胆假设。令人鼓舞的是,FireEye的核心观点与关键证据多与小河西村不谋而合,经过劳作,最终行文于此。《维摩诘经》有云:“有所饶益,欢喜无悔”。

我们认同FireEye的观点,小河西村同样认为攻击来源可能来自卢甘斯克或其相同、相邻时区的政治、经济关切实体。攻击活动最早可以追溯到2014年底或2015年初。该组织最近异常活跃,除了国防,证据显示乌克兰经济部门同样遭到该组织攻击。团伙成员使用俄、乌两种语言,活动范围在UTC +2到UTC +3时区。

该团伙以鱼叉钓鱼邮件为主,针对政府部门特定人员定向投递,在多起邮件攻击中,他们自称来自合作伙伴或内部人员,要求收件人员阅读附件内容。这些诱饵包括:行政文件、人员名单、货物清单等等。附件多以压缩文件进行投递,包括lzh、zip、rar等,攻击载荷多以lnk、js、exe和scr为主。该组织成员注册了大量域名用于RAT的下载和C2服务。

虽然根据诱饵内容和收件人地址明确判定为定向投递,仍然让小河西村惊讶的是如此长时间、大规模、高频次的鱼叉钓鱼会有多少成功率?乌克兰政府有没有投入足够的安全设施以及开展安全意识培训?除了一本正经的胡说八道我们也可以聊聊八卦、带上小板凳吃瓜、脑补入侵现场。

开始调查

此处我们以近期该组织针对乌克兰某国防部门的一封鱼叉钓鱼邮件进行切入,收件日期是2019年3月19日(UTC +2)。邮件内容大概是说需要支付某项商品的费用。正文醒目地标识出来这封邮件已经使用最新版本的ESET NOD32进行扫描,没有发现威胁。

邮件附件是一个名为<задолжность 910 грн рахунок за 19.03.2019р..lzh>的压缩文件。其中包含一份作为欺骗诱饵的xlsx文档和一份用于攻击的js脚本。

这个js脚本经过相当程度的混淆,其主要的功能是访问http://gravironallc.icu/priceuweb/price.exe下载RAT。

在我们获样时,域名gravironallc.icu成功解析到IP地址62.173.138.211。

price.exe包含PDB路径C:\Magalhae\Release\Store.pdb。

对price.exe进行分析之后,小河西村认定这是新版的SmokeBot Loader。根据样本回溯,在2018年中旬,该组织以及启用SmokeBot Loader。这款木马的执行流程非常复杂。首先在内存中解密一片shellcode,该shellcode经过严重的混淆和乱序,样本通过动态方法获取api函数地址,检查虚拟机环境,校验特定的键盘布局之后,解压一段代码并将其注入到explorer进程当中。

在注入的explorer进程中,样本首先会开启两个线程进行反调试,然后解密字符串,并且通过获取的计算机名、用户名、磁盘序列号等信息通过计算生成互斥提名称以及拷贝自身用作持久化功能的木马名称。创建lnk放入Startup路径,并且创建计划任务。利用控制台启动自身拷贝。连接C2接收指令等等。

在我们分析这例SmokeBot Loader连接的C2服务器地址是:anotherblock.bit和aviatorssm.bit。

Double Kill

在小河西村的调查中我们发现除了以js作为载体外,该组织同样利用lnk(fackDoc)和exe(fackRar)作为下载者进行攻击。再以近期一封邮件为例。

在该组织的攻击惯例中,js包含在lzh文件中。而lnk和exe通常在rar和zip文件中,且同时存在,它们的主要功能都是下载和执行下一阶段的payload。lnk包含在一堆钓鱼文档之中。它们访问的url同为:sinoptik.website/fNXIjoKp

查看lnk文件属性可以清楚地看到该快捷方式调用powershell执行下载操作。

 分析某针对乌克兰国防和经济部门的大规模钓鱼事件!-互联网之家

为了隐藏和欺骗,该exe伪装成rar压缩包。

一旦收件人不小心执行起来,该下载者木马会下载下一阶段木马。

 分析某针对乌克兰国防和经济部门的大规模钓鱼事件!-互联网之家

并且向受害者显示”Архив имеет неподдерживаемый формат или поврежден!”(不支持的文档格式或已损坏)。

人设坍塌

主动溯源方面,我们从已知的发件人邮箱进行分析,在使用邮箱进行关联没有明显线索的情况下,转向木马下载地址sinoptik.website。最初的想法是从开源情报、whois信息以及PDNS建立画像。幸运地是,我们看到OptiData关联的一批恶意域名,直接加快了我们的调查进度。

在这些信息中,我们获取到Palo Alto和ESET的公开报告,掌握了历史攻击背景。针对手中其它相关钓鱼邮件进行分析之后,我们通过攻击意图、攻击手法、代码特征、网络基础设施重叠、历史PDNS解析、SOA记录等等关键信息,找到最薄弱的突破口,疑似该组织某成员的电子邮箱:re2a1er1@yandex.ru。

根据掌握的关联域名,多个域名的whois信息直指名为Raisa Chilikina的域名所有人,注册人联系邮箱为:re2a1er1@yandex.ru。

根据历史PDNS记录,OptiData和FireEye列举出来的关联域名已经远远超过小河西村掌握的资料。为什么认定re2a1er1@yandex.ru是组织成员?我们通过交叉关联配合意图、特征以及历史攻击活动可以很快锁定嫌疑人。

例如:

cdn1186.site于2018年10月25日首次解析IP地址为94.158.34.2

rst.website于2019年2月11日首次解析IP地址为94.158.34.2

olx.website于2019年3月29日首次解析IP地址为94.158.34.2

censor.website于2018年06月01日首次解析IP地址为94.158.34.2

还有:

cnd1186.site于2019年2月7日首次解析IP地址为88.85.86.229

1ua.eu于2019年2月25日首次解析IP地址为88.85.86.229

uatoday.website于2018年12月13日首次解析IP地址为88.85.86.229

ukrnews.website于2018年12月03日首次解析IP地址为88.85.86.229

还有同时间段同ASN域等等交叉信息,本次我们不做可视化展示。

根据检索,我们在2015年初一段有关“卢甘斯克”的政治话题讨论中看到该关键字。

同样地,某社交媒体用户re2a1er1在2015年初留下唯一的黑客画像。其配图常常出现在”乌克兰、顿涅茨克、卢甘斯克、领土、军队、DPR、LPR”相关的俄、乌语言新闻中。

经过比对,图片出处可能来自顿巴斯战争。

攻击频度

统计显示该组织的攻击活动持续活跃,最近三月持续对外输出钓鱼邮件。(ps.其它维度的统计懒得写了)

番外篇

本来准备在番外一聊聊re2a1er1是一位勤劳的矿主,讲讲区块链的故事。由于小编没有完成美美的数据可视化配图,实在没有心思编故事。我们来讲番外二:如此长时间、大规模、高频次的鱼叉钓鱼你烦不烦?

除了杀软大厂对该组织活动进行报道意外。小河西村关注到恶意代码论坛、在线沙箱上存在不少该组织的恶意代码样本。也检索到乌克兰本地安全厂商出具的样本分析报告。

我们也看到政府内部用户发转发给CERT-UA的邮件,大概意思是财政部的同事收到了一封携带附件的陌生邮件,请求对附件进行检查。

更多地,我们也看到针对乌克兰某国防部门进行攻击的钓鱼邮件详细分析的内部报告,在此不再一一截图。鉴于此,不玩点儿新鲜花样也没什么意思。

总结

总地来讲,从攻击目标和攻击意图来说,这是一场APT攻击事件。深入了解背景后,这次事件与“领土”、“战争”等关键字紧密相连,有证据显示,对其目标也可能存在经济意图。

正如标题所示,此文仅仅做浅析,颇有不求甚解的精神,所以,非常多的维度小河西村只是做了不合格的开端,我会怪自己?不存在的。

参考资料

1.VERMIN: Quasar RAT and Custom Malware Used In Ukraine

2.QUASAR, SOBAKEN AND VERMIN: A deeper look into an ongoing espionage campaign

3.Spear Phishing Campaign Targets Ukraine Government and Military; Infrastructure Reveals Potential Link to So-Called Luhansk People’s Republic

IOCs

PDB

C:\Magalhae\Release\Store.pdbC:\offload\F\Release\OSBench.pdbC:\BBM\?Ce\Release\upkeep.pdbC:\casts\La\Release\
Check.pdbC:\Donate\r\Release\brighter.pdb

DOMAIN & URL(ps.不全的自己去FireEye的报告看啊)

gravironallc.icu

anotherblock.bit

aviatorssm.bit

sinoptik.website

ingomanulic.icu

pomulaniop.icu

cdn1186.site

goodplacejeep.ru

cavanasipontum.ru

chubanomania.icu

districoperav.icu

varanasiclick.ru

musicaustriallc.ru

ceronamtinclube.icu

telemagistralinc.info

caretaselling.ru

umileniumkk.ru

unicferendocas.icu

madagascarfoment.ru

abitwindoc.ru

jeponautoparts.ru

xyz.xyz/exsf22

MD5

e45d8d675fbf6a9593b54259551f8125cd687fa33fdcfef155ed8f03df193dff

e828d9018168911b202b4fd252900396

fe198e90813c5ee1cfd95edce5241e25

031fb73dc164b0e2fa07ce2fd000b873

15b9269d61f3e21a6990969f54a158d5

c456694448a5088e6b6a89c5c08f05bd

b901d40cbf7cc42ea0e079131b0b6d33

c959df3ea18341c1617661498dc7119a

00d2b07c23726209048cce5473cfffb3

e09df549d4df1b2be4c804f654f6079a

12a951212789ce1fa3a67d54f31d2f07

f0c9d851ab1adcc6999d17fbd6dd31cf

4eca377a1a58d3052b9339dd085266b4

62016358ece65e2400caa752f8701096

dcba902adeb89f2f2f6a69361c0b139f

ca535090ce4d370f257dcd13ecc7e5b3

0d1fb6aa62bc0e60d2e27863f6dd11cd914dffe8271acbe4348c2c609df5faf1

df297e3a2635842ddbcb49b541956aa6

350fb5c7f75f00e3a2e9657d8452bd84

5f0a55f6d26559c0f4c0b0248ecc8bd7

804539a0bc5865b5af5ab825efa9878b

024e02705168667c380c1e48c42c6d9b

b3b91954d64937c0583346a49da1b607

428a2b5bda7a4eae72f09b53ba482359

ec0fb9d17ec77ad05f9a69879327e2f9

90ef3fa32f154dfa165fcd117a02c83a

8b413a866fec93aad403f6ee902a1f89

9dfbc09bc1610b800eca6306c0d8ea4a

5975c56bdff0c5d340ca87122a235827

5ba007548e9c68057587bfda90e13d4e

2044ae237eb17d8ed516ff2187c9e70c

a5300dc3e19f0f0b919de5cda4aeb71c

4b8aac0649c3a846c24f93dc670bb1ef

c094a5a5c8421defebf3626c089a1644

8fac2cebe3409cf6b02d025570f756b6

f75113a4768fc0943af2b393f3f806ba

66557b26f078f1cc0bb579507a86456d

49452e93ef87b0a55df0a71e46dc3988

34a673162a96c5bca2cd21fcface906f

5286cd70ff513b6496ff214150d8308f

f3591d95a5c9fe87bf7082a3053470e3

9ae4d540b95759fc29c181d04e337483

560fd62af66742529ab1970203306795

dbd464ecd6c8caa277482821d0798d92

4d99be821a2865899392248fac584e94

MD5 (ps.这部分仅作参考啊)

cd687fa33fdcfef155ed8f03df193dff

c094a5a5c8421defebf3626c089a1644

e96c12188fca0652c36d4d0acc5a72f5

a339f5b8ef18fb65db3b5d9d74e86a2d

7bba29efc7f06e9503744111cb007f32cd20750ac50282a40f0f4c69fdb827fb

eed3b05a36948a63e591b5cc0ee36249

428a2b5bda7a4eae72f09b53ba482359

4454b74af9bb7c52965334a706ead4cf

54727999268b0db8fb0f1d8cfde57229

71e64237e53f95096710854badd1d348

3bf4cd4bd58909833d26d40cf1a37003

224d5b1f9eb9f004922fdc8a8a0aa809

f846d90ee34bf0ec70a7d25d5958c081

e09df549d4df1b2be4c804f654f6079a

24486b1bb40630e15f1ed2fbfcb93838

2298318aaafe1e2c13fdf25c87b79f22

3341fd59ccf5c9ba281515f0d64b3565

11af285c2cc20603ef79889bbf6c6ac3

a31ee1b959d804a560738aed872b6068

a31ee1b959d804a560738aed872b6068

92645bd4d8998ee8e73c8d894566ed43

12a951212789ce1fa3a67d54f31d2f07

3b4da5a384d363a13133162f16d9ff1c

c6750e292880aeac8b1893365ea355f6

7934e1f489f5479e3c45a52aadf382fa

67b75010b6eeb5670716763c53efa207

4eca377a1a58d3052b9339dd085266b4

72cc420335295d406fe6e80d79265250

b2e0a64ba6b41189cc664e67269b245f

eb3f27103f8ff6409e60bac03392833f

ac7da84782c6c674cd395c59153799ae

b4082807185f6952805b50f4cacb2481

b491de4da59e9b7ec31cd72bd2a7cd4b

7d6f4ee54efaf7a168779816d815a59b

dbba4d0f4aa3fd7ab63fd2cb3889ae57

fac4aedbbd0bfb8178542c1417819bde

*本文作者:小河西村安全研究所


发表评论 取消回复

电子邮件地址不会被公开。 必填项已用*标注