事件背景

   近日,安恒獵影實驗室發現了一起針對俄羅斯軍事部隊的攻擊活動,活動使用的惡意文檔以俄羅斯聯邦武裝部隊電子部隊的專業假期——“電子戰專家日”為主題引誘目標點擊并運行。

   對活動進行關聯分析及歸因研判后,我們發現來自同一威脅組織(獵影實驗室內部追蹤代號為“APT-LY-1007”)的攻擊樣本最早活躍于2022年8月。

   除俄羅斯國防部外,該組織還針對俄羅斯鐵路部門。相關惡意文檔以“推遲征召俄羅斯聯邦武裝部隊的命令”、 “俄羅斯鐵路股份公司免除義務征召通知”為話題下發,后續釋放遠控木馬以竊取目標機密信息。

注:圖片來源俄羅斯網絡社交論壇

對軍事電子戰部隊的專業節日的介紹

攻擊流程

   此次攻擊活動的攻擊流程大致如下所示:

初始階段文檔利用遠程模板加載含有惡意宏代碼的DOTM文件;

宏代碼將獲取遠程文件(JS腳本、EXE可執行文件)到本地;

JS腳本將通過cmd.exe運行遠控木馬Cyrillic RAT;

Cyrillic RAT根據C2回傳指令執行其他有效負載。

   整體執行流程如下圖所示:

攻擊分析

第一階段文檔

   誘餌文檔名為“電子戰專家日.docx”,打開后最上方顯示為俄羅斯國防部的徽章,下方文字內容為4月15日慶祝電子戰專家日的通知,最后署名為俄羅斯聯邦國防部武裝部隊活動信息支持公共委員會主席。

   該文檔被打開后將加載遠程模板執行宏代碼hxxps://http-updater.hs[.]vc/doc/iAt5YrWyTt.dotm

   宏代碼運行后首先通過http協議獲取遠程文件hxxps://od[.]lk/d/MzNfMjQwOTkxMzBf/iAt5YrWyTt,解碼后保存到本地%USERPROFILE%\AppData\Roaming\Microsoft\MsUpdate.cpl

   然后加載另一個遠程文件hxxps://http-updater.hs.vc/doc/iAt5YrWyTt.xsl

   iAt5YrWyTt.xsl包含惡意JS代碼,通過cmd.exe來運行釋放的MsUpdate.cpl

第二階段遠控木馬

   MsUpdate.cpl為C++編寫的遠控木馬,可以執行多種指令。

   木馬首先隱藏當前運行窗口,關閉日志打印功能,并將控制臺的代碼頁設置為0x4E3。代碼頁0x4E3通常用于表示西里爾字母的字符集,例如俄語、烏克蘭語、白俄羅斯語、保加利亞語等。因此攻擊者疑似來自東歐地區。

   然后通過枚舉進程來查找是否有tcpview,vmmap,debugview等等用來監控程序的進程,若存在則直接退出

   通過WMI查詢本機的制造商以及型號信息,看是否包含virtual,vmbox,vmware等字段來判斷是否處于虛擬環境

   然后創建“C:\Users\username\AppData\Roaming\Microsoft\Tsk.xml”。通過安恒云沙箱(https://sandbox.dbappsecurity.com.cn)運行結果,Tsk.xml的內容如下所示

   并且通過進程樹信息,捕獲到了木馬利用xml文件創建計劃任務的惡意行為

   完成上述操作后,木馬解密出C2“teexgjvvhuab.webhop.me”并通過socket建立連接

   建立連接后接收4字節數據作為指令類型并解析執行:

   主要支持指令如下:

指令

含義

0xC8

上傳客戶端ID

0xC9

上傳BOIS 信息

xCA

上傳用戶名

0xCC

上傳文件

0xCD

上傳用戶目錄名

0xCE

遍歷用戶目錄并上傳

0xD0

下載二進制指令運行

0xD1

下載文件

0xD2

下載字符指令運行

0xD3

上傳當前系統分盤信息

0xE6

刪除自身文件

0xDC

終止會話

關聯分析

   根據樣本特征,安恒獵影實驗室關聯到了該組織2022年10月的惡意樣本,相關樣本信息如下:

文件名

含義

ИНФОБЮЛЛЕТЕНЬ_ОАО_РЖД_ОТСРОЧКА_ОТ_ОБЯЗАТЕЛЬНОГО_ПРИЗЫВА.docx

推遲征召俄羅斯聯邦武裝部隊的命令

РАСПОРЯЖЕНИЕ__ОТСРОЧКА_ПРИЗЫВА_ВС_РФ.docx

俄羅斯鐵路股份公司免除義務征召通知

   兩個樣本誘餌文檔具體內容大致相同,均為俄羅斯鐵路股份公司關于技術專家可以申請延期服兵役的通知。

   這兩個歷史樣本與我們近日發現的新的針對俄羅斯國防部的惡意樣本攻擊流程大致相同,但技術水平存在著明顯的更新迭代,主要體現在以下幾方面。

對于文檔內置的宏代碼,歷史樣本沒有用于逃避檢測的大量注釋字段,且在最終木馬的執行直接通過Shell命令來執行,而非通過JS代碼進行加載。

歷史樣本最終加載的木馬所使用字符串未做加密處理,直接以明文存儲在文件中。而最新樣本則使用了自定義算法對敏感字符進行解密后再使用,具有更好的免殺效果。

在最終支持指令集方面,歷史樣本只支持10種指令,而最新樣本則擴展到了16種指令,這表明攻擊者一直在開發維護該木馬,不斷擴展其功能。

思考總結

   此次捕獲的攻擊活動及惡意樣本具有以下特征:

樣本誘餌以俄羅斯國防部門及鐵路公司為目標,意在針對俄羅斯武裝部隊

初始階段樣本通過遠程模板注入執行惡意宏代碼

宏代碼通過JS代碼加載后續遠控負載

遠控木馬Cyrillic RAT中將日志打印功能的代碼頁設置為東歐地區字符集

Cyrillic RAT使用自定義加密算法,具有反沙箱、反分析的特性

   通過以上活動及樣本特征,我們傾向認為該威脅組織誕生于俄烏網絡戰時期,主要攻擊目的為竊取俄羅斯軍事機密,且在半年時間內對攻擊武器進行了升級。安恒獵影實驗室提醒廣大用戶朋友,不運行未知來源的郵件附件。獵影實驗室將持續對全球APT組織進行持續跟蹤,專注發現并披露各類威脅事件。

   目前安全數據部已具備相關威脅檢測能力,對應產品已完成IoC情報的集成:

 ●安恒產品已集成能力:

   針對該事件中的最新IoC情報,以下產品的版本可自動完成更新,若無法自動更新則請聯系技術人員手動更新:

(1)AiLPHA分析平臺V5.0.0及以上版本

(2)AiNTA設備V1.2.2及以上版本

(3)AXDR平臺V2.0.3及以上版本

(4)APT設備V2.0.67及以上版本

(5)EDR產品V2.0.17及以上版本

網絡安全
撤稿糾錯
本作品采用《CC 協議》,轉載必須注明作者和本文鏈接