對Donot組織實施的攻擊進行分析
近日,ESET 研究人員深入研究了 Donot組織在 2020 年和 2021 年期間針對多個南亞國家的政府和軍事對象實施的攻擊。
Donot組織(也稱為 APT-C-35 和 SectorE02)是一個至少從2016年開始運營的威脅組織,并以使用Windows和Android惡意軟件攻擊南亞的組織和個人而聞名。Amnesty International最近的一份報告將該組織與一家印度網絡安全公司聯系起來,后者可能正在向該地區的政府出售間諜軟件或提供黑客出租服務。
我們一直在密切關注Donot組織的活動,并追蹤了幾起利用源自該組織的簽名 yty 惡意軟件框架的 Windows 惡意軟件的活動。根據我們的發現,這個組織非常執著地攻擊者一個目標,至少在過去的兩年里一直以相同的組織為目標。
我們會在本文介紹最近活動中使用的惡意軟件的兩種變體——DarkMusical 和 Gedit。對于每一種變體,我們都會分析整個攻擊鏈,并深入了解該組織如何更新其工具、策略和技術。
攻擊目標分析
Donot組織的活動以間諜活動為主要載體,使用他們的簽名惡意軟件:“yty”惡意軟件框架,其主要目的是收集和泄露數據。根據我們的追蹤,Donot組織專注于南亞的幾個目標——孟加拉國、斯里蘭卡、巴基斯坦和尼泊爾——如下圖所示。
Donot組織專注的目標國家
- 這些攻擊集中在:
- 政府和軍事組織;
- 外交部;
- 大使館;
除了南亞的幾個國家之外,如中東、歐洲、北美和拉丁美洲的國家也在Donot組織的攻擊范圍之內。
對于APT運營商來說,在某些情況下,這是通過部署一個更隱蔽的后門來實現的,該后門在攻擊者需要它之前一直保持安靜。在其他情況下,他們只是用新的惡意軟件或以前使用過的惡意軟件的變體重新啟動操作。后者是Donot組織操作人員的情況,只是他們在嘗試中非常堅持。
根據ESET的分析,Donot組織每隔兩到四個月就會針對同一對象發送一波又一波帶有惡意附件的釣魚郵件。有趣的是,我們能夠檢索和分析的電子郵件并沒有顯示出被誘騙的跡象。一些電子郵件是從受到攻擊的同一組織發送的。攻擊者可能已經在早期的活動中攻擊了一些受害者的電子郵件帳戶,或者這些組織使用的電子郵件服務器。
通過魚叉式網絡釣魚電子郵件,攻擊者使用惡意 Microsoft Office 文檔來部署他們的惡意軟件。我們已經看到 Donot組織至少使用了三種技術。一種是 Word、Excel 和 PowerPoint 文檔中的宏,如下圖所示。
PowerPoint 文檔中的惡意宏,它刪除了一個下載器可執行文件并創建了一個計劃任務來運行它
第二種技術是具有.doc擴展名的RTF文件,該文件利用方程編輯器中的內存破壞漏洞CVE-2017-11882,如下圖所示。這些 RTF 文檔還包含兩個作為 OLE 對象的嵌入式 DLL,用于安裝并下載更多組件(這兩個 DLL 都在 Gedit 部分中進行了描述)。這允許攻擊者執行 shellcode 并且不需要用戶交互,shellcode 部署了惡意軟件的主要組件。CVE-2017-11882是微軟公布的一個遠程執行漏洞,通殺目前市面上的所有office版本及Windows操作系統。該漏洞的成因是EQNEDT32.EXE進程在讀入包含MathType的ole數據時,在復制公式名稱名稱時沒有對名稱長度進行校驗,從而造成棧緩沖區溢出,是一個非常經典的棧溢出漏洞。上次出現這么典型的office棧溢出漏洞是著名的CVE-2012-0158。
RTF 文檔用于加載公式編輯器的 COM 對象的 CLSID,隨后的 OLE 對象包含 CVE-2017-1182 漏洞利用
DLL 的 OLE 對象標頭也嵌入在 RTF 文檔中
第三種技術是遠程 RTF 模板注入,它允許攻擊者在打開 RTF 文檔時從遠程服務器下載有效負載。這是通過在 RTF 文件格式的可選 \*\template 控制字中插入 URL 而不是本地文件資源的位置來實現的。Donot組織使用的有效負載是另一個利用 CVE-2017-11882 的文檔,下載后會自動加載,如下圖所示。
當 Word 打開帶有遠程模板的 RTF 文件時,它會自動嘗試下載資源
yty惡意軟件框架
由 NetScout 在 2018 年發現的 yty 惡意軟件框架是舊框架 EHDevel 的一個不太復雜且開發不佳的變體。yty框架由一系列下載程序組成,這些下載程序最終會下載一個帶有最小功能的后門程序,用于下載和執行 Donot組織 工具集的其他組件。
其中包括基于文件擴展名和創建年份的文件收集器、屏幕捕獲器、鍵盤記錄器、反向 shell 等。如下圖所示,用于滲透的組件從暫存文件夾收集收集的情報,并將每個文件上傳到僅用于此目的的指定服務器。
解析暫存 JPEG 屏幕截圖的文件夾名稱的組件(左)和在暫存文件夾中查找所有文件的滲透組件(右)
幾乎每個新的攻擊活動都會更改暫存文件夾的名稱和位置,以及一些組件的文件名。但是,在某些情況下,組件的名稱保持不變,例如:gedit.exe、wuaupdt.exe、lmpss.exe、disc.exe 等。如下圖所示,似乎對于每個新的活動,為了設置新的路徑和文件名,必須在源代碼中更改這些值然后重新編譯,因為這些組件都沒有使用配置塊或文件。
包含經常更改的位置和文件名的加密字符串(頂部)和用于構建 C&C URL 的未加密值(底部)
該惡意軟件使用計劃任務進行持久化攻擊,并在活動之間交替使用 DLL 和 EXE 文件。對于 DLL,計劃任務執行 rundll32.exe 以加載它們并執行導出的函數之一。
yty框架的開發人員主要依賴c++編程語言,可能是為了逃避檢測,他們還將其組件移植到其他語言,例如 VBScript、Python(與 PyInstaller 一起打包)、Visual C# 和 AutoIt 等。然而,自 2019 年以來,我們只看到他們利用 C++和 Go編程的組件。
捕獲屏幕截圖的組件的反編譯代碼,最初是用c++編寫的
用于用Go編寫的版本的組件截圖的反編譯代碼
該惡意軟件在部署過程中有時會使用兩到三個服務器。它可能在其下載鏈中使用一個服務器,而后門可能會使用另一臺服務器來接收其命令并下載更多組件,或者將同一臺服務器用于這兩種目的。總是使用不同的服務器上傳收集的信息。在一些攻擊中,Donot組織重用了以前攻擊的C&C域——用于下載和滲透。如下圖所示,這些組件(后來被認為是 DarkMusical 的變體)在同一攻擊中使用,采用了三個不同的 C&C 域。
第一個下載器解密服務器的 URL,從該服務器下載鏈的下一個階段
在后期階段,后門使用不同的服務器進行 C&C 通信
滲透組件使用第三個服務器上傳收集的文件時間軸的攻擊
我們在本文中描述了從 2020 年 9 月到 2021 年 10 月的Donot組織在活動中使用的惡意軟件變體,重點關注他們的 Windows 惡意軟件。為清楚起見,我們將它們分為 yty 惡意軟件框架的兩個變體:Gedit 和 DarkMusical,其中一個使用Gedit的特定活動,我們將其命名為 Henos。
根據我們的追蹤分析,攻擊的時間線如下圖所示。統計時,還包括了來自另一個變體的攻擊,稱為“Jaca框架”。然而,我們不會在本文描述它,因為它已在 CN-SEC 中進行過介紹。
從2020年9月到2021年10月,Donot組織的攻擊時間線
DarkMusical
根據 ESET 的分析,使用此變體的第一波攻擊發生在 2021 年 6 月,針對孟加拉國的軍事組織。我們只能恢復其下載鏈及其主要后門。鑒于受害者人數很少,我們認為這可能是一次針對性很強的攻擊。
9 月,針對尼泊爾軍事組織的第二波攻擊使用了新的 C&C 服務器以及文件和暫存文件夾名稱。我們能夠恢復一些從后門下載的組件,進而分析這些攻擊。
魚叉式釣魚郵件發送的PowerPoint文檔中包含一個宏,該宏部署了下載鏈的第一個組件,并使用一個計劃任務進行持久化。當潛在的受害者打開這些文檔時,他們將看到一條虛假的錯誤消息,如下圖所示,這些文檔將仍然沒有任何可見的內容。
一個空白的惡意 PowerPoint 文檔的屏幕截圖
如下圖所示,下載程序鏈旨在下載最終組件,該組件用作具有最少功能的后門:它下載獨立組件,使用 ShellExecute Windows API 執行它們,獲取并保存新的 C&C URL。ShellExecute的功能是運行一個外部程序或者是打開一個已注冊的文件、打開一個目錄、打印一個文件等,并對外部程序有一定的控制。
后門將處理信息收集和泄露的組件下載到專用服務器。這些組件不與后門或 C&C 通信以報告其活動。相反,它們使用指定的文件夾來暫存數據,一個單獨的滲透組件將收集所有內容并上傳。
觀察到的 DarkMusical攻擊鏈
我們決定將此活動稱為 DarkMusical,因為攻擊者為其文件和文件夾選擇名稱時,許多是西方名人或電影中的角色。下表簡要描述了攻擊鏈中每個組件的用途。
DarkMusical 攻擊活動鏈中的組件:
我們在下表中描述了攻擊者工具集的每個組件的用途。
攻擊者 DarkMusical 工具集中的組件描述:
gedit
gedit是一個GNOME桌面環境下兼容UTF-8的文本編輯器,它使用GTK+編寫而成,它十分的簡單易用,有良好的語法高亮,支持包括gb2312、gbk在內的多種字符編碼,是一個自由軟件。
我們在 2020 年 9 月使用 Gedit 檢測到該活動的首次攻擊,攻擊對象是巴基斯坦的一些組織,這些組織已經成為安裝了Jaca框架的魚叉式釣魚和惡意RTF文件的目標。從那時起,Donot組織開始將目標定位在孟加拉國、尼泊爾和斯里蘭卡。雖然該惡意軟件顯然源自 yty 惡意軟件框架,但它們是截然不同的,與DarkMusical是兩個獨立的程序。
我們能夠檢索到與2021年2月發生的Gedit活動對應的魚叉式釣魚電子郵件,如下圖所示。第一個附件包含一份來自孟加拉國軍事對象的人員名單(沒有惡意內容)。在執行惡意代碼時,第二個附件只顯示了一個空白頁面。
攻擊者發送的魚叉式釣魚電子郵件的屏幕截圖
我們可以看到第二個文件的大小大于 2 MB,這是一個利用 CVE-2017-11882 刪除文檔中包含的兩個 DLL 文件并執行其中一個的 RTF 文件。其他組件在各個階段下載到受感染的計算機上。此攻擊鏈及其惡意軟件組件的概述如下圖所示。
Gedit 活動中的攻擊鏈
這些組件是用 Go 和 C++(使用 MinGW 和 Visual Studio 編譯器)編寫的。我們選擇描述 2021 年 2 月該活動中使用的組件,如下表所示。
對Gedit 變體的組件描述
Henos攻擊活動
最后,值得一提的是,在2021年2月至3月間發生了一系列針對孟加拉國和斯里蘭卡軍事組織的攻擊。這些攻擊使用了Gedit惡意軟件的變體,但進行了一些小的修改。因此,我們決定將這個活動以它的后門 DLL – henos.dll 命名命名為Henos。
去年2月,網上也公開了屬于這波攻擊的組件的樣本,這可能解釋了為什么該組織不再使用這些組件的原因。
雖然我們沒有找到相應的魚叉式釣魚郵件或惡意文檔,但攻擊鏈與我們上面描述的大致相同,只是在組件的執行方式上存在一些細微差別。下圖對此進行了概述。
Henos 活動的攻擊鏈
雖然該活動的某些組件被命名為 javatemp.exe 和 pytemp.exe,但選擇這些文件名可能只是為了模仿 Java 或 Python 等合法軟件。pytemp.exe 和 plaapas.exe 是用 Go 語言編碼的,而 javatemp.exe 是用 C++ 編碼的(用 MinGW 編譯的)。
最后一點是執行文件泄漏的組件 pytemp.exe 會執行檢查以查看 gedit.exe 是否正在運行。如果找到兩個或更多實例,則退出。我們認為這是開發時候的錯誤,因為它應該檢查 pytemp.exe。然而,這個簡單的錯誤幫助我們將 Henos 活動與惡意軟件的 Gedit 變體(添加到代碼相似性中)聯系起來。
參考及來源:
https://www.welivesecurity.com/2022/01/18/donot-go-do-not-respawn/
