俄烏沖突地區發現新的APT

自俄烏沖突開始以來，網絡攻擊就被大量用于其中。我們之前發布了一份與俄羅斯和烏克蘭沖突有關的網絡活動和威脅形勢的介紹，并繼續監測這些地區的新威脅。

2022年10月，研究人員發現頓涅茨克、盧甘斯克和克里米亞地區的政府、農業和運輸組織出現了大量網絡攻擊。盡管最初攻擊途徑尚不清楚，但下一階段的細節意味著要使用魚叉式網絡釣魚或類似方法。受害者導航到指向惡意網絡服務器上托管的ZIP存檔的URL，該存檔包含兩個文件：

1.誘餌文件（研究人員發現了PDF、XLSX和DOCX版本）；

2.具有雙重擴展名（例如.pdf.LNK）的惡意LNK文件，打開后會導致感染；

惡意ZIP存檔

虛假文字文件

在一些情況下，誘餌文件的內容與惡意LNK的名稱直接相關，以誘使用戶激活它。例如，一個檔案包含一個名為 “Приказ Минфина ДНР № 176.pdf.lnk” 的LNK文件，誘餌文件在文本中明確提到了它的名字。

帶有惡意快捷方式文件的誘餌PDF(主題：關于朝鮮民主主義人民共和國財政部第176號法令的信息)

ZIP文件是從托管在webservice-srv[.]online和webservice-srv1[.]online兩個域上的不同位置下載的。

已知附件名稱，編輯后刪除個人信息：

當潛在受害者激活ZIP文件中包含的LNK文件時，它會觸發一系列事件，導致計算機感染之前未見的惡意框架，我們將其命名為CommonMagic。該活動中使用的惡意軟件和技術并不特別復雜，但很有效，并且代碼與任何已知的攻擊沒有直接關系。

感染鏈

安裝工作流

惡意LNK指向一個遠程托管的惡意MSI文件，該文件由Windows安裝程序可執行文件下載并啟動。

MSI文件實際上是一個滴管程序包，包含一個加密的下一階段有效負載（service_pack.dat）、一個滴管腳本（runservice_pack.vbs）和一個應該顯示給受害者的誘餌文件。

附件.msi中包含的文件

加密的有效負載和誘餌文件被寫入名為%APPDATA%\WinEventCom的文件夾。反過來，VBS滴管腳本是一個啟動嵌入式PowerShell腳本的包裝器，該腳本使用簡單的單字節XOR解密下一階段，啟動它并將其從磁盤中刪除。

service_pack.dat文件的解密

Расшифровка файла service_pack.dat

下一階段腳本完成安裝，它打開誘餌文件并將其顯示給用戶，將兩個名為config和manutil.vbs的文件寫入%APPDATA%\WinEventCom，并創建一個名為WindowsActiveXTaskTrigger的任務調度程序作業，以每天執行wscript.exe%APPDATA%\WinEventCom\manutil.vbs命令。

PowerMagic后門

初始包釋放的腳本manutil.vbs是一個加載程序，用于在PowerShell中編寫的以前未知的后門，我們將其命名為PowerMagic。后門的主體從文件%APPDATA%\WinEventCom\config中讀取，并使用簡單的XOR（密鑰：0x10）進行解密。

包含“PowerMagic”字符串的PowerMagic代碼片段：

啟動后，后門會創建一個互斥對象——WinEventCom。然后，它進入一個無限循環，與C&C服務器通信，接收命令并上傳結果作為響應。它使用OneDrive和Dropbox文件夾作為傳輸，使用OAuth刷新令牌作為憑據。

后門每分鐘都在執行以下操作：

修改位于/$AppDir/$ClientDir/

下載以文件形式存儲在/$AppDir/$ClientTaskDir目錄中的命令；

將每個命令作為PowerShell腳本執行；

將執行PowerShell命令的輸出上載到云存儲，并將其放置在/$AppDir/$ClientResultDir/

CommonMagic框架

事實證明，PowerMagic并不是攻擊者使用的唯一惡意工具包。PowerMagic的所有受害者都感染了一個更復雜、以前從未見過的模塊化惡意框架，我們將其命名為CommonMagic。這個框架是在最初感染PowerShell后門后部署的，這讓人們相信CommonMagic是通過PowerMagic部署的。

CommonMagic框架由幾個可執行模塊組成，所有模塊都存儲在目錄C:\ProgramData\CommonCommand中。模塊從獨立的可執行文件開始，并通過命名管道進行通信。有專用模塊用于與C&C服務器交互、加密和解密C&C流量以及各種惡意行為。

該框架的體系結構如下圖所示。CommonMagic框架由幾個可執行模塊組成，所有模塊都存儲在目錄C:\ProgramData\CommonCommand中。模塊從獨立的可執行文件開始，并通過命名管道進行通信。有專用模塊用于與C&C服務器交互、加密和解密C&C流量以及各種惡意行為。

該框架的體系結構

網絡通信

該框架使用OneDrive遠程文件夾進行傳輸。它利用Microsoft Graph API，使用嵌入到模塊二進制文件中的OAuth刷新令牌進行身份驗證。RapidJSON庫用于解析Graph API返回的JSON對象。

一個專用的heartbeat線程會每隔五分鐘用受害者的本地時間戳更新一次遠程文件 

然后，在單獨的線程中，網絡通信模塊從目錄 

通過OneDrive位置與運營商交換的數據使用RC5Simple開源庫進行加密。默認情況下，此庫在加密序列的開頭使用七字節序列“RC5SIMP”，但后門的開發人員將其更改為“Hwo7X8p”。加密是在一個單獨的進程中實現的，通過名為\\.\pipe\PipeMd 和\\.\pipe\PipeCrDtMd管道進行通信。

插件

到目前為止，我們已經發現了兩個實現惡意業務邏輯的插件。它們位于目錄C:\ProgramData\CommonCommand\Other中。

Screenshot (S.exe)——使用GDI API每三秒進行一次屏幕截圖；

USB (U.exe) ——從連接的USB設備收集具有以下擴展名文件的內容：.doc、.docx..xls、.xlsx、.rtf、.odt、.ods、.zip、.rar、.txt、.pdf。

總結

到目前為止，卡巴斯基實驗室的研究人員還沒有發現這場活動中使用的樣本和數據與任何以前已知的攻擊者之間有什么聯系。我們也將持續跟蹤關于俄烏沖突中出現的惡意攻擊。