新伊朗APT組織MalKamak針對全球航空航天和電信公司的攻擊活動
2021 年 7 月,Cybereason Nocturnus 和 Incident Response Team聯合發布了對 GhostShell 攻擊的研究,這是一項針對性很強的網絡間諜活動,主要針對中東的航空航天和電信行業,另外還有美國、俄羅斯和歐洲的受害者。
“GhostShell活動”活動旨在竊取目標關鍵資產、組織基礎設施和技術的敏感信息。在調查過程中,Nocturnus 團隊發現了一個以前沒有記錄的隱蔽 RAT(遠程訪問木馬),被稱為 ShellClient,它被用作主要的間諜工具。
Nocturnus 團隊發現的證據表明,ShellClient RAT 至少自 2018 年以來一直在迭代中,經過多次迭代引入了新功能,同時它成功避開了被檢測發現。
對 ShellClient 的運營商和開發者身份的查找,研究者確定了一個名為 MalKamak 的伊朗APT組織,該組織至少自 2018 年以來一直處于活躍狀態,至今才被公布。此外,我們的研究指出了與其他伊朗國家資助的 APT 攻擊組織的可能聯系,例如 Chafer APT (APT39) 和 Agrius APT。但是,MalKamak具有不同于其他伊朗組織的獨特特征。
主要發現
伊朗攻擊組織 MalKamak:此外,我們的研究指出了與其他伊朗國家資助的 APT 攻擊組織的可能聯系,例如 Chafer APT(APT39)和 Agrius APT。但是,MalKamak具有不同于其他伊朗組織的獨特特征。
新 ShellClient RAT 的發現:Cybereason Nocturnus團隊發現了一種復雜且以前未記錄在案的 RAT(遠程訪問木馬),稱為 ShellClient,用于高度針對性的網絡間諜活動。
針對航空航天和電信公司:根據分析數據,這種威脅主要在中東地區被觀察到,但美國、俄羅斯和歐洲也有被發現,重點是航空航天和電信行業。
自 2018 年以來的持續開發:我們的調查顯示,此威脅于 2018 年首次實施,此后一直在積極開發中,每個新版本都增加了更多功能和隱蔽性。截至 2021 年 9 月,該威脅仍然活躍。
濫用 C2 云服務:最近的 ShellClient 版本被觀察到濫用基于云的存儲服務進行命令和控制(C2),在這種情況下是流行的 Dropbox 服務,以便通過與合法網絡流量混合來保持隱身。
專為隱身設計:ShellClient 的開發者投入了大量精力,通過利用多種混淆技術和最近實施的用于命令和控制(C2)的 Dropbox 客戶端,躲避安全檢測和其他安全工具的檢測,這使得它很難被探測到。
SHELLCLIENT:靜默的RAT
以下部分回顧了最近觀察到的“GhostShell攻擊”活動以及這種隱蔽的 ShellClient RAT 的演變,它從 2018 年 11 月以來就已投入使用并積極開發。
最近的活動
2021 年 7 月,Cybereason遇到了一名身份不明的攻擊組織,該攻擊者使用以前未被發現的隱蔽 RAT 進行網絡間諜活動,該 RAT 被稱為 ShellClient。
使用這種 RAT,攻擊者首先被觀察到在中東地區進行偵察和竊取領先的航空航天和電信公司的敏感數據,后來觀察到在美國、俄羅斯和歐洲也存在同樣情況。
首次檢查 ShellClient RAT 時,發現惡意二進制文件在受害設備上以“svchost.exe”的形式運行,而其內部名稱則偽裝成“RuntimeBroker.exe”:
ShellClient RAT 內部名稱偽裝成合法的 Microsoft RuntimeBroker.exe 二進制文件
該可執行文件被確定已在2021年5月22日編譯,并被觀察到與其他 TTP 相似執行。
ShellClient 結構和配置
ShellClient RAT 是一個模塊化 PE,利用 Costura 使用 zlib 壓縮每個模塊:
使用 Costura 的 ShellClient RAT
其中兩個引用是包含支持功能的 DLL:
ExtensionLib.dll 包含實用程序和功能,例如:
- AES 加密,包括 AES 密鑰和初始化向量 (IV);
- 哈希;
- 文件操作;
- 注冊表操作;
- 流程創建;
- 序列化;
ExtensionLib.dll
ClientCore.dll 包含客戶端的其他核心功能,例如:
- 指紋識別;
- 文件操作;
- 用戶模擬;
- 令牌處理;
- FTP客戶端;
- 遠程登錄客戶端;
- 設置和字符串;
ClientCore.dll
可執行文件將其大部分字符串(包括配置字符串)存儲為字節,然后將它們實時轉換為 Unicode/ASCII 以逃避防病毒字符串檢測:
ShellClient 使用 Unicode/ASCII 來逃避防病毒字符串檢測
執行流程
ShellClient RAT 根據以下參數執行:
- 如果未提供任何參數,二進制文件將使用 InstallUtil.exe 自行執行以安裝和運行惡意 nhdService 服務;
- 如果有一個參數并且它等于 -c,則將使用服務控制管理器 (SCM) 執行二進制文件以創建反向shell,并與配置好的Dropbox存儲作為C2進行通信。
- 如果有一個參數并且它等于 -d,則二進制文件將作為常規進程執行。
ShellClient RAT 參數
當提供 -c 或 -d 參數時,惡意軟件會使用 WMI 執行基本指紋識別以收集以下信息:
- BIOS信息、Mac地址等硬件信息。
- 網絡信息,包括對 ipinfo[.]io/ip 的請求,以檢索受感染設備的公共 IP 地址
- 安裝了哪些防病毒產品
- 上述收集的信息還用于為每臺受感染設備創建唯一的代理標識符:
創建唯一標識符
命令和控制 (C2) 通信
該惡意軟件實現的 C2 通信非常獨特,因為它們依賴于保存到遠程 Dropbox 的“冷文件”,而不是常見的交互式會話。這種通信方法是一種有趣的操作安全(OPSEC)解決方案,它使得利用 Dropbox 等公共服務難以追蹤攻擊者的基礎設施。
為了與 Dropbox 通信,ShellClient 使用具有唯一嵌入式 API 密鑰的 Dropbox API。在通信之前,它使用硬編碼的 AES 加密密鑰對數據進行加密。
Dropbox 存儲包含 3 個文件夾:
- AS文件夾(代理文件夾):存儲受感染設備上上傳的信息;
- CS文件夾(命令文件夾):存儲要被 ShellClient 獲取、執行和刪除的命令;
- RS文件夾(Results文件夾):存儲ShellClient執行的命令的輸出;
每隔2秒,受害設備檢查命令文件夾,檢索代表命令的文件,解析其內容,然后從遠程文件夾中刪除它們并啟用它們以執行:
ShellClient C2 通信
執行命令后,可執行文件將結果上傳到相應的文件夾中,該文件夾的文件名是根據攻擊者調用的唯一受害者ID (HardwareID)隨機生成的:
ShellClient C2 通信
這些通信的目的地將是 api.dropboxdapi[.]com 和 content.dropboxapi[.]com。
持久性和權限升級
ShellClient RAT 通過創建偽裝成網絡主機檢測服務的 nhdService 來實現持久性和權限提升,以在受害設備上以 SYSTEM 權限運行:
服務名稱:nhdService
顯示名稱:網絡主機檢測服務
描述:在“網絡和撥號連接”文件夾中搜索和管理主機,本地網絡和遠程連接都可以查看
啟動類型:自動
帳戶:LocalSystem
支持命令
可執行文件包含多個啟用其功能的命令函數,包括任意命令執行、FTP/Telnet 客戶端、橫向移動、文件操作等。
此外,該惡意軟件還包含幾個命令函數,它們似乎什么都不做,代碼中也沒有任何引用;這可能表明惡意軟件仍在開發中。
下表描述了每個命令的用途:
ShellClient C2 命令
使用 SHELLCLIENT 觀察到的其他 TTPS
使用 ShellClient RAT,攻擊者部署了額外的工具來執行各種活動來支持他們的操作,例如偵察、橫向移動、數據收集等。
橫向感染
攻擊者被觀察到使用 PAExec 和“net use”進行橫向移動。PAExec 是著名的 Sysinternals PsExec 的可再發行版本,帶有一些附加選項。
攻擊者利用 PAExec進行以下操作:
- 在遠程設備上以 SYSTEM 身份執行 CMD shell;
- 執行與遠程服務相關的操作,如啟動、停止、重啟、狀態等;
- 使用遠程執行的csvde.exe -f < output file >命令提取組織 Active Directory 結構;
- 使用 ping 檢查互聯網連接以訪問 Google.com;
- 通過執行 ipconfig、tasklist 和 net use 收集主機信息;
正如在Cybereason防御平臺中觀察到的那樣,ShellClient利用PAExec
Credential Dumping工具
在觀察到的攻擊過程中,ShellClient RAT 活動組部署并執行了一個名為 lsa.exe 的未知可執行文件來執行憑證轉儲。Lsa.exe 將 lsass.exe 的內存轉儲到名為 debug.bin 的文件中,并被觀察到使用以下命令行參數執行:
lsa.exe -dlsa.exe -m
雖然Cybereason Nocturnus團隊無法檢索lsa.exe可執行文件,但我們根據該工具創建的 debug.bin 轉儲文件推測該工具可能是 SafetyKatz 工具的變體,該文件也是由該工具創建的轉儲文件的名稱之前與伊朗攻擊組織有關的 SafetyKatz:
