WIRTE 組織以 “藥品信息” 為餌,再對中東地區展開攻擊
1 概述
WIRTE 組織至少在2018年8月開始進行間諜活動,最早是由 S2 Grupo 安全人員在取證中所發現,活動一直持續針對中東地區目標,涉及約旦、巴勒斯坦等不同國家的國防、外交、司法等部門。此外,根據思科的調查,攻擊者通常在早晨(中歐時區)活躍,這意味著攻擊目標可能與該地區的地緣政治環境有關。
該組織攻擊者十分注重資產的隱蔽,攻擊者使用信譽良好的 CloudFlare 系統來隱藏其基礎架構的性質和位置。根據國外安全廠商的取證研究,攻擊者通常在攻擊階段部署多個偵查腳本,以檢查受害者計算機的有效性,從而阻止了不符合其條件的系統。
該組織通常在攻擊活動中投遞攜帶有惡意宏代碼的表格文檔誘餌,在目標受害者觸發宏代碼后廣泛使用腳本語言(VBScript、PowerShell、VBA)作為攻擊的一部分,最終通過 Empire 框架進行下一階段的攻擊。除此之外,該組織早期也曾投遞過 VBS 類型的誘餌,加載后會釋放出 DOC 文檔迷惑受害者。
微步情報局近期通過威脅狩獵系統捕獲到 WIRTE 組織再次針對中東地區的攻擊活動,分析有如下發現:
攻擊者以“國家社會保障基金-原始和非專利藥品相同的清單-藥品品牌(B)和普通藥品(G)-2020-12-17”為誘餌進行魚叉攻擊;
投誘餌文檔采用“Excel 4.0 Macros”方法將宏代碼隱藏在表格之中,此方法使得宏代碼難以被發現并且在部分 office 版本中“禁止啟用宏”依舊可以正常執行;
宏代碼執行后的下一階段,攻擊使用 VBScript、PowerShell、VBA 作為后門的編寫語言,并且最新的攻擊中加入了檢測殺軟的代碼邏輯;
微步在線通過對相關樣本、IP 和域名的溯源分析,共提取5條相關 IOC,可用于威脅情報檢測。微步在線威脅感知平臺TDP、本地威脅情報管理平臺TIP、威脅情報云API、互聯網安全接入服務OneDNS 等均已支持對此次攻擊事件和團伙的檢測。
2 詳情
微步在線最近捕獲到一起以“國家社會保障基金-原始和非專利藥品相同的清單-藥品品牌(B)和普通藥品(G)-2020-12-17”作為誘餌內容的攻擊。
誘餌截圖
手法流程圖
3 樣本分析
基本信息
| 樣本名稱 | ???????????????.xls(國籍規定.xls) |
|---|---|
| 樣本格式 | Microsoft Excel sheet |
| SHA256 | 8bd23bbab513e03ea1eb2adae09f56b08c53cacd2a3e8134ded5ef8a741a12a5 |
| SHA1 | d5aaa419e24acbc15df58f2eb978a8137396b750 |
| MD5 | ecaaab9e2fc089eefb6accae9750ac60 |
| C2 | stgeorgebankers.com |
樣本分析
- 樣本使用了“Excel 4.0 Macros”的方法將宏代碼存放在表格的單元中,通過編輯 XLS 文件的二進制數據將表格去除隱藏屬性后,宏代碼如下:
- 宏代碼檢測了包括:“AVG”、“Avast”和“360TotalSecurity”三種殺軟,如檢測到三種殺軟,則打開文件“winrm.txt”;如沒有檢測到,則打開文件“winrm.vbs”。兩個文件寫入的內容均為“VB”代碼。
- 文件寫入完成后,在執行方法中也有所不同。如果是“winrm.txt”,則調用“cscript.exe”進程執行。如果是“winrm.vbs”則調用“explorer.exe”進程執行。
- 宏代碼執行完上述動作后延時5S,最后將自啟動代碼寫入到“winrm.txt\ winrm.vbs”,并覆蓋之前寫入的腳本代碼,如下圖:
- “winrm.txt\winrm.vbs”文件為之前宏代碼所寫入的 VBS 代碼,基本信息如下:
| 樣本名稱 | winrm.txt\ winrm.vbs |
|---|---|
| 樣本格式 | VB Script |
| SHA256 | dc64d8ff8343df76d2a0b93d2392b5fafcc5bae905a1ae59ea0670284e25a89f |
| SHA1 | c5d0c437e1dfb4a5c952d8eae44f5f259d0431e3 |
| MD5 | 07b09929a7d4c8c50bfdf60b97349c0d |
- “winrm.txt\winrm.vbs”文件執行后會將一段 PowerShell 代碼寫入到“laquelleg.txt”文件中,然后將自身的文件路徑通過“add”的方法添加到注冊表中,實現后門持久化的能力。具體代碼如下:
- “laquelleg.txt” 文件基本信息:
| 樣本名稱 | laquelleg.txt |
|---|---|
| 樣本格式 | PowerShell |
| SHA256 | 9febe610949b5b9518c98103da1ccc3ef32b5ab1ded31e0d5403cd64a023c15b |
| SHA1 | b0899d2a78421f21737a78804c067d15a8aa226e |
| MD5 | 168f259dd8830facb5f979fc571bb020 |
- “laquelleg.txt”代碼實現的是加載器功能,訪問 URL “https://stgeorgebankers.com/”將其網頁攜帶的 Payload 解析并執行,網頁中通過“
Payload
”方式嵌入 Payload。
- 根據歷史披露文章,最終后門疑似為 Empire 框架生成的載荷。
4 關聯分析
通過對宏代碼相似度和文件釋放特點進行關聯,我們發現,該組織的曾在2019年11月至2020年2月期間較為活躍。
部分歷史活動
- 2020年1月,以“2019年1月和2020年1月主要部門和組的每月消費者物價指數數字和百分比變化”為誘餌標題,針對目標單位進行攻擊。
- 2020年1月,偽裝成伊拉克司法部的相關文件,針對某些單位進行攻擊。
- 2020年1月,以“執行委員會執行委員穆罕默德·納沙比希(Mohamed Al-Nashashibi)”追悼會為誘餌,針對特定人群攻擊。
歷史手法對比
我們對2020年1月期間的攻擊活動中,誘餌標題為 “2019年1月和2020年1月主要部門和組的每月消費者物價指數數字和百分比變化”的樣本進行對比。
該文件基本信息如下:
| 樣本名稱 | Book1.xls |
|---|---|
| 樣本格式 | Microsoft Excel sheet |
| SHA256 | 38a9fb95ce22e3595e6bcab16043630cc3dfed65d2d8588f80da8148827af475 |
| SHA1 | d920262b69870f9aaa8714dbd325ee66f78b6579 |
| MD5 | a06401aa5808e5c202630098d73b260b |
| C2 | omegaeyehospital.com |
- 該誘餌的宏代碼如下:
- 該歷史誘餌和最新投遞的誘餌對比,新投遞的誘餌宏代碼中增加了殺軟檢測代碼。
- 釋放的 PowerShell 腳本中,POST 請求頭中的 UserAgent 變為更新的版本號,并且 Payload 由直接存放變成嵌入到網頁中的標簽之中。
- 此外,國外安全廠商曾披露過 WIRTE 組織的手法,從投遞的誘餌、釋放的文件、資產特點(使用 CloudFlare IP、域名相似度)、攻擊地域和后門相似度等,判研此次捕獲到的誘餌文檔很可能為 WIRTE 組織所投遞。
原創:微步在線研究響應中心 微步吳亦凡
原文鏈接: https://mp.weixin.qq.com/s/tevxtAj3Ybe4xJu...
