研究人员说,我们发现了一个正在秘密进行的监视行动,其目标是使用一个以前从未见过的恶意软件来攻击一个东南亚国家的政府。
据Check Point研究公司称,该攻击通过发送附加了恶意的Word文档的鱼叉式钓鱼邮件,来获得系统的初始访问权限,同时也会利用已知的微软Office安全漏洞。研究人员说,最值得注意的是,我们发现了一个新的后门文件,这个APT组织三年来一直在开发这个后门。
根据Check Point的分析,这些文件发给了一个东南亚政府的不同雇员的邮箱中。在某些情况下,这些电子邮件含有欺诈信息,看起来像是来自其他政府的相关文件。这些电子邮件的附件看起来像是合法的官方文件,但是实际上是一个后门文件,并会使用远程模板技术从攻击者的服务器上获得要执行的代码。
据分析,这些恶意文件会从不同的URL下载同一个模板,这些模板是嵌入了RoyalRoad weaponizer的.RTF文件,也被称为8.t Dropper/RTF exploit builder。研究人员说,RoyalRoad是几个APT的武器库的一部分,如Tick、Tonto Team和TA428;它生成的武器化RTF文件实际上是利用了微软方程编辑器的漏洞(CVE-2017-11882、CVE-2018-0798和CVE-2018-0802)。
根据分析,RoyalRoad生成的RTF文件包含一个加密的有效载荷和shellcode。
研究人员说:”为了从软件包中解密有效载荷,攻击者使用密钥为123456的RC4算法,生成的DLL文件被保存为%Temp%文件夹中的5.t文件,shellcode还负责会话的持久性机制,它创建了一个名为Windows Update的计划任务,每天用rundll32.exe运行从5.t文件导出的函数StartW”
.DLL文件会收集受害者计算机上的数据,包括操作系统名称和版本、用户名、网络适配器的MAC地址和防病毒软件信息。所有的数据都会被加密,然后通过GET HTTP请求方式发送到攻击者的命令和控制服务器上(C2)。之后,后门模块会通过一个多级的攻击链成功安装,它被称为 “Victory”。Check Point称,它似乎是一个定制的而且非常独特的恶意软件。
Victory 后门
该恶意软件的目的是为了窃取信息并为受害者提供持续的访问。Check Point研究人员说,它可以进行屏幕截图,操纵文件(包括创建、删除、重命名和读取文件),收集打开的顶级窗口的信息,并且可以关闭计算机。
有趣的是,该恶意软件似乎与以前开发的工具有关。
根据分析:”我们在搜索在野的类似的后门文件时,我们发现了一组在2018年提交给VirusTotal的文件,这些文件被作者命名为MClient,根据其PDB路径,这似乎是一个内部被称为SharpM的项目的一部分。编译时间戳也显示是在2017年7月和2018年6月之间,在检查这些文件时,发现它们是我们VictoryDll后门及其加载器的旧版的测试版本。”
该公司表示,主要后门功能的实现方式是相同的;而且,连接方法也具有相同的特点。另外,MClient的连接XOR密钥和VictoryDll的初始XOR密钥也是一样的。
然而,据Check Point称,两者在架构、功能和命名规则方面存在明显的差异。例如,MClient有一个键盘记录器,而Victory则没有这个功能。而且,Victory的导出函数被命名为MainThread,而在MClient变体的所有版本中,导出函数被命名为GetCPUID。
研究人员说:”总的来说,我们可以看到,在这三年中,MClient和AutoStartup_DLL的大部分功能都被保留了下来,并将其分割成了多个组件,这样可能是为了使逆向分析更加复杂,降低恶意文件在每个阶段中被检测到的概率”
归属问题
Check Point将该攻击活动归结为国内的一个APT。其中的一个线索是,第一攻击阶段的C2服务器是由位于香港和马来西亚的两个不同的云服务托管的。这些服务器只会在每天特定的时间内活跃,只在周一至周五的01:00 – 08:00 UTC返回带有有效载荷的流量,这与中国的工作日是相吻合的。此外,Check Point还表示,这些服务器在5月1日至5日期间处于休眠状态,这正是中国的劳动节假期期间。
此外,RoyalRoad RTF漏洞构建工具包是国内APT组织的首选工具;一些测试版本的后门中包含与www.baidu.com(一个受欢迎的中国网站)的网络连接检查。
Check Point总结说:”我们公布的似乎是一个长期运行在国内的攻击活动,该行动在三年多的时间里一直没有被发现。在这次活动中,攻击者利用了一套具有反分析和反调试技术的微软Office漏洞加载器来安装一个以前从未见过的后门。”
本文翻译自:https://threatpost.com/victory-backdoor-apt-campaign/166700/如若转载,请注明原文地址。
文章来源网络,作者:运维,如若转载,请注明出处:https://shuyeidc.com/wp/123637.html<
