注册登录

“奇幻熊”(APT28)组织最新攻击

  • FreeBuf
  • 3
  • 2018-02-15 23:02:23

近日腾讯御见威胁情报中心在监测Fancy Bear“奇幻熊”组织的攻击活动过程中,发现了其使用的最新攻击样本。下文将详细披露该组织的攻击手法,和各企业一起共同抵御此类高级攻击。

0x1 概况

“奇幻熊”(Fancy Bear,T-APT-12)组织,也被称作APT28, Pawn Storm, Sofacy Group, Sednit或STRONTIUM,是一个长期从事网络间谍活动并与俄罗斯军方情报机构相关的APT组织,从该组织的历史攻击活动可以看出,获取国家利益一直是该组织的主要攻击目的。据国外安全公司报道,该组织最早的攻击活动可以追溯到2004年至2007年期间。

“奇幻熊”(APT28)组织最新攻击(图1:攻击活动时间轴)

腾讯御见威胁情报中心近日检测到该组织利用英国信息服务提供商IHS Markit公司的邮箱账号向罗马尼亚外交部发送钓鱼邮件进行定向攻击。在攻击技术利用方面,该组织使用了最新的白利用技术,白利用程序为证书管理程序certutil.exe。此外,该组织还使用了最新的后门技术,利用UserInitMprLogonScript注册表键值来实现开机自启动。本次攻击中使用的木马为Carberp银行木马的变种,在隐藏网络行为及保护胜利果实方面做出了优化。此前,该组织也曾使用钓鱼邮件及Carberp变种木马对美国政府机构进行攻击。

“奇幻熊”(APT28)组织最新攻击(图2:攻击流程图)

0x2 荷载投递

此次攻击使用了钓鱼邮件进行定向攻击,诱饵邮件主题为《Upcoming Events February 2018》,邮件附件名Upcoming Events February 2018.xls,邮件内容如下图所示。当打开邮件附件中的excel表格时,会发现表格中大部分内容为空,同时会弹出“启用宏”的醒目提示。

“奇幻熊”(APT28)组织最新攻击

(图3:邮件内容)

“奇幻熊”(APT28)组织最新攻击

(图4:启用宏的提示及表格内容为空)

“奇幻熊”(APT28)组织最新攻击

(图5:启用宏后,表格内容显示出来)

一旦点击“启用内容”按钮,电脑就会执行宏代码。分析宏代码时,发现代码被加密保护,破解密码后,可看到宏代码的主要功能是从表格中取出加密的pe文件,再利用微软的签名程序certutil.exe解密此pe文件,最后再执行此解密的pe文件。

“奇幻熊”(APT28)组织最新攻击

(图6:分析宏代码时,弹出输入密码的提示)

“奇幻熊”(APT28)组织最新攻击

(图7:宏代码,功能解释)

“奇幻熊”(APT28)组织最新攻击

(图8:宏代码,功能解释)

“奇幻熊”(APT28)组织最新攻击

(图9:表格中存储的base64加密的pe文件)

上文表格中存储的base64加密的pe文件,会被宏代码存储为N9A6C5T3.txt文件,之后宏代码会利用微软的签名程序certutil.exe对释放的N9A6C5T3.txt(文件名随机生成)文件进行base64解密从而得到木马exe,解密时命令行为”certutil -decode C:\Programdata\N9A6C5T3.txt C:\Programdata\C3E4U3B1.exe”

“奇幻熊”(APT28)组织最新攻击

(图10:释放的文件)

c3e4u3b1.exe执行后会释放cdnver.dll和cdnver.bat到“C:\Users\Administrator\AppData\Local”目录,接着会修改UserInitMprLogonScript注册表的键值为“C:\Users\Administrator\AppData\Local\cdnver.bat”,从而实现开机自启动。 修改完注册表后会利用rundll32.exe 来执行cdnver.dll,命令行为”C:\Windows\System32\rundll32.exe” “C:\Users\Administrator\AppData\Local\cdnver.dll”,#1

“奇幻熊”(APT28)组织最新攻击

(图11:bat中的内容)

“奇幻熊”(APT28)组织最新攻击

(图12:修改的注册表)

0x3 RAT分析

木马的主要功能都集中在cdnver.dll中,此功能主要包括信息收集、上传与下载文件、下载与执行pe、截屏等。在此dll的导出函数cdnver_1中会创建一个线程,木马的主要功能都是从此线程开始。

“奇幻熊”(APT28)组织最新攻击

(图13:导出函数cdnver_1)

Pe中的关键明文字符串同样使用了简单的异或算法加密。

“奇幻熊”(APT28)组织最新攻击

(图14:字符串解密函数)

木马运行后会创建名为“vgekW8b1st6yjzPA9fewB70o7KC” 的互斥对象,还会创建名为“SNFIRNW” 的FileMap对象,方便后续进行进程间通信。在读写FileMap对象时,会对tag进行验证,主要tag有0x1234ABCD、0x0DCBA4321、0x98761234、0x43216789

“奇幻熊”(APT28)组织最新攻击

(图15:创建互斥对象)

“奇幻熊”(APT28)组织最新攻击

(图16:FileMap对象)

“奇幻熊”(APT28)组织最新攻击

(图17:进程间通信时验证tag)

该木马配置了两个c2地址,一真一假,第一个c2的域名为”google.com”。第二个c2为“cdnverify.net”,在传输数据中途会不断地切换两个c2,从而达到隐藏通信的目的。如果通信失败,还会将自身注入进firefox.exe或iexplore.exe等浏览器进程,直接在这些进程里将收集的信息上传到c2,木马还会将c2信息加密后存储在注册表下HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Servers的Domain项中。

“奇幻熊”(APT28)组织最新攻击

(图18:解密出两个c2)

“奇幻熊”(APT28)组织最新攻击

(图19:存储c2)

在通信过程中会读取firefox的配置文件prefs.js中的“network.proxy.http”和”network.proxy.http_port”字段来获取本地代理的地址,进而方便将收集的信息成功传送出去。

“奇幻熊”(APT28)组织最新攻击

(图20:从profiles.ini中获取prefs.js文件的路径)

“奇幻熊”(APT28)组织最新攻击

(图21:查找prefs.js中的proxy相关字段)

注入dll时先使用ZwWriteVirtualMemory等函数将pe文件写进目标进程,再创建远线程将注入dll依赖的dll全部加载,最后再创建远线程开启进程间通信功能。

“奇幻熊”(APT28)组织最新攻击

(图22:注入)

在查找待注入的进程时,直接比较的是进程名的hash值,而不是直接的明文字符串。

Hash进程名
0x0CDCB4E50iexplore.exe
0x70297938firefox.exe
0x723F0158hChrome.exe

“奇幻熊”(APT28)组织最新攻击

(图23:根据进程名hash值进行查找)

该木马会使用HttpSendRequestA等函数进行网络发包,在发上线包时会将当前所有进程名及计算机截屏等信息上传。截屏时使用模拟printscreen按键进行截屏,再从剪贴板取出图像数据。

“奇幻熊”(APT28)组织最新攻击

(图24:发包)

“奇幻熊”(APT28)组织最新攻击

(图25:截屏)

在进行发包时,会将收集的内容存储在“disk”、“ build”、“img”、“id”等标签中,主要标签如下表所示,之后进行加密后,再随机生成url后进行post发包。

标签名含义
ID硬盘序列号,dword
disk磁盘名称
build木马版本号0x9104f000
Img加密成字符串后的截屏bmp文件

“奇幻熊”(APT28)组织最新攻击

(图26:http发包时的明文协议)

“奇幻熊”(APT28)组织最新攻击

(图27:http发包时的明文协议)

“奇幻熊”(APT28)组织最新攻击

(图28:发包时使用的相关标签)

“奇幻熊”(APT28)组织最新攻击

(图29:抓包数据,url为随机生成)

木马使用InternetReadFile函数来接收服务器下发的指令,解密后再进行解析。指令标签主要有Execute、Delete、LoadLib、ReadFile、shell、FileName、PathToSave、Rundll、IP等。

“奇幻熊”(APT28)组织最新攻击

(图30:接收协议)

“奇幻熊”(APT28)组织最新攻击

(图31:服务器response中存在的内容)

“奇幻熊”(APT28)组织最新攻击

(图32:服务器response中存在的内容)

“奇幻熊”(APT28)组织最新攻击

(图33:根据服务器下发的指令创建进程)

0x4 总结

从上文可以看出,此次攻击未使用主流的offfice漏洞,反而使用了office固有的宏技术,但该组织在诱饵制作、诱饵投递、胜利果实回收方面,确实下了一番功夫。目前,腾讯御界高级威胁检测系统基于腾讯反病毒实验室的安全能力,依托腾讯在云和端的大数据,形成了强大且独特的威胁情报和恶意检测模型,凭借基于行为的防护和智能模型两大核心能力,能高效检测未知威胁,并实时阻拦此类钓鱼邮件、恶意宏文档、证书管理程序白利用等攻击方式。

“奇幻熊”(APT28)组织最新攻击

附录(IOCs)MD5:56F98E3ED00E48FF9CB89DEA5F6E11C1 (Upcoming Events February 2018.xls)36524C90CA1FAC2102E7653DFADB31B2(C3E4U3B1.exe)4FD196D9ADD7194E27C2591D30E3A90A(cdnver.bat)2361181C5D9A15EC3D5249DE1985B83D(N9A6C5T3.txt)AA2CD9D9FC5D196CAA6F8FD5979E3F14(cdnver.dll)C2:cdnverify.net151.80.74.167Email:

events@ihsmarkit.com(发信邮箱)

注册表项:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Servers HKEY_CURRENT_USER\Environment\UserInitMprLogonScript

*本文作者:腾讯电脑管家,转载请注明来自FreeBuf.COM

“奇幻熊”(APT28)组织最新攻击

0次点赞
0 条评论

暂时还没有网友评论

D1net阅闻:IBM宣布搭载全新云服务器
IBM宣布搭载全新云服务器 IBM近日宣布将会搭载全新的云服务器,其中除了传统的Intel处理器之外,还将搭载......
  • 科技
  • 企业网D1net
  • 1
  • 02月07日
iPhone基带转单Intel恐引发供应链洗牌
近日传出,苹果今年iPhone新机搭载的基带芯片可能舍弃原伙伴高通产品,全部改用英特尔平台,掀起一连串供应链变化,其中,......
  • 科技
  • 芯师爷
  • 2
  • 02月07日
紫光展锐气 深化移动芯片自主研发、国际化布局
紫光展锐日前已正式完成展讯与RDA合并,及组织架构调整,今年将在移动芯片市场展现“锐气”,自主研发CPU推出终端产品;同......
  • 科技
  • DIGITIMES
  • 5
  • 02月07日
月付仅 6 元!腾讯王卡亲情卡正式上线:应用免流特权+互打免费
2017 一整年中,联通推出了大量互联网合作卡,种类和数量之多,让人看得眼花缭乱。电信加入战局后,联通开始对现有互联网合......
  • 科技
  • 雷科技
  • 4
  • 02月07日
【推荐】手机圈视点每日早报总第1230期
【手机圈视点】每日早报总第1230期 2018.2.5 星期一主编:蒲元彬 责编:钟艳妮 编辑:刘开......
  • 科技
  • 手机圈
  • 1
  • 02月07日
大地震!谷歌突然宣布!华为懵了,百度、滴滴要哭了!
敖评(commenter)一个与众不同的思想平台。有深度,有温度;有营养,有影响。点击标题下方蓝字 敖评&nb......
  • 科技
  • 敖评
  • 3
  • 02月07日
中国联通:30元/月的全国不限量套餐
据爆:中国联通现已推出全国流量不限量的耍卡,流量耍卡套餐为46元/月,但新春特别优惠价为30元(办理前两月)。2017年......
  • 科技
  • 通信圈
  • 2
  • 02月07日
SpaceX重型猎鹰火箭发射成功,特斯拉敞篷跑车成功上天 | 科技早报
科技早报来自一财科技SpaceX重型猎鹰火箭发射成功,特斯拉敞篷跑车成功上天SpaceX公司完成又一创举,倍受瞩目的重型......
  • 科技
  • 一财科技
  • 2
  • 02月07日
思科云指数报告:2021年数据中心95%流量为云服务
根据思科最新公布的全球云指数报告,云服务在互联网发展中扮演着越来越重要的角色,预计未来三年将会占据95%的数据中心流量,......
  • 科技
  • 讯石光通讯
  • 2
  • 02月07日
福特打造可穿戴外骨骼设备 帮助工人提高生产效率
腾讯数码讯 几十年以来,汽车行业一直都在使用机器人用来组装汽车。早在1961年,通用就发明了一种早期的工业机器人,可以执......
  • 科技
  • 互联网盘点
  • 5
  • 02月07日
巴展前夕,“5G先锋”中兴通讯再次释放出哪些更强音?
2月6日,中兴通讯向媒体释放了2018年巴塞罗那MWC展会之前的5G信号:在每年投入30亿元,已组成4500余名技术专家......
  • 科技
  • 通信世界
  • 8
  • 02月07日
疯狂比特币:如果你不懂,最好远离它
野蛮生长之地,草莽自由之邦,不成疯,便成魔。Bitcoin网站显示,2月6日比特币跌破6000美元,24小时跌幅超过25......
  • 科技
  • 创业资本汇
  • 9
  • 02月07日
平安科技AI站岗,把好校园安防第一关
平安科技在竞争近乎白热化的CV圈(计算机视觉computer vision)显得有些“清新脱俗”。不似于科技圈套路满满的......
  • 科技
  • 李瀛寰
  • 2
  • 02月06日
我国有线电视宽带业务用户3498.5万户 同比大幅增长33%
中国广电日前发布《2017年第四季度有线电视行业发展公报》。公报指出,2017年我国有线电视用户下滑至2.45亿户,此外......
  • 科技
  • C114通信网
  • 1
  • 02月06日
新大陆人 | 专访基于大数据的全业务测试诊断支撑平台项目团队成员代表
厉害了我的团队!......
  • 科技
  • 新大陆科技集团
  • 3
  • 02月06日
e络盟杯树莓派创意设计大赛作品展示
作为一家全球知名品牌授权分销商,e络盟始终致力于向企业和个人提供电子系统设计、维护和维修领域的技术产品、服务和解决方案。......
  • 科技
  • 爱板网
  • 3
  • 02月06日
中国移动2017年宽带用户增速大 中国电信还能坐稳第一宝座吗?
日前,运营商世界网发布了2017年度通信行业报告数据分析,总结了包括运营商情况分析、物联网领域探索、手机厂商竞争焦点、云......
  • 科技
  • 运营商观察
  • 7
  • 02月06日
民航局发声啦!《低空联网无人机安全飞行测试报告》出炉
 要 闻 中国民用航空局、华为以及多家技术单位共同发布《低空联网无人机安全飞行测试报告》。该报告分析......
  • 科技
  • 华为
  • 3
  • 02月06日
我国4G基站总数达到328万个 光缆线路总长度达3747万公里
  据工信部公布的《2017年通信业统计公报》显示,2017年我国网络基础设施建设继续加强。2017年,全国净增移动通信......
  • 科技
  • 中国联通微学堂
  • 2
  • 02月06日
在空中绘画成为现实!苹果新专利让你对着空气画画
在一些颇具未来气息的商业广告中,观众经常可以看到这样的画面:一名企业高管在空气中的一个虚拟显示屏上划来划去,指点江山,围......
  • 科技
  • 钛师父
  • 6
  • 02月06日
加载更多资讯
  • 最新
  • 最热
  • 推荐
  • 最赞