记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

深度剖析攻击目标遍及全世界的组织——Sofacy

2018-06-13 12:20

概览

Sofacy仍然是一个持久性的全球威胁。Unit42和其他研究机构发现2018年上半年该威胁组织攻击的目标遍及全世界,主要攻击目标为南美和欧洲的政府、外交和战略组织。

根据2018年2-3月的最新研究,研究人员发现sofacy组织开始使用一个不太著名的攻击的工具——Zebrocy。Zebrocy是通过含有宏的office文档和其他简单的可执行文件附件进行钓鱼攻击的。另一个活动是与前两个活动一致的,目标是与外交事务相关的政府组织。而且目标位于不同的地缘政治区域。

研究人员发现使用Zebrocy的攻击者会发送钓鱼邮件给指数级的用户。目标用户并没有明显的特点,而且邮箱地址很容易可以通过网页搜索引擎找到。这与Sofacy组织的其他攻击活动形成明显对比,因为sofacy组织的攻击活动一般都是有针对性的。

除了这些以外,研究人员还发现sofacy组织利用McAfee之前公布的Dynamic Data Exchange (DDE)漏洞利用技术。研究人员发现sofacy组织的DDE漏洞利用与之前公布的payload有所不同。其中一个DDE攻击实例是传播和安装Zebrocy,另一个实例是传播一个开源的渗透测试工具Koadic。 

与之前攻击的关系

2月份的报告中,研究人员发现Sofacy组织使用含有恶意宏大office文档来传播SofacyCarberp payload给多个政府实体。报告中还描述了Sofacy使用混淆技术来隐藏基础设施,比如使用随机的注册商和服务提供商。而且Sofacy组织在每个域名里都有一个web页面,这是很奇怪的,因为攻击者几乎不会在C2上建议真实的页面。更奇怪的是,每个web页面都有相同的内容。基于该报告的内容,研究人员发现另一个含有相同内容的域名supservermgr[.]com。该域名是2017年12月20日注册的,解析的地址是92.222.136.105,该IP地址是一个Sofacy组织常用的著名的VPS提供商。基于对与域名supservermgr[.]com相关的恶意软件样本的静态和动态分析,研究人员发现:

样本d697160ae尝试与位于hxxp://supservermgr[.]com/sys/upd/pageupd.php的C2通信来提取Zebrocy AutoIT下载器。因为该域名已经不再使用了,所以该活动无法完成。但可以判断出这是用于C2通信的硬编码的用户代理: 

Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322; .NET CLR 2.0.50727; .NET CLR 3.0.04506.30; .NET CLR 3.0.04506.648; InfoPath.1)

研究人员使用AutoFocus将用户代理数据集扩展到3个Zebrocy样本,同时发现了位于185.25.51[.]198 和185.25.50[.]93的基础设施。截止目前,研究人员一共发现和收集了将近30个和原始样本相关的Zebrocy样本和相关的C2域名。许多收集的样本数Zobrocy下载器工具的C++变种。另外,研究人员还发现了一个完全不同的payload,以及ESET报告中提到的最后一阶段payload的C2的IP地址(185.25.50[.]93)。

下图是研究人员分析的相关关系分析图:

figure2-copy.png

图1 关系视图

这并不是所有收集到的Zobrocy和Koadic样本的综合图,只包含了相关分析的一部分。

从C2 IP地址185.25.50[.]93,研究人员发现Zobrocy使用的另一个硬编码的用户代理:

Mozilla/5.0 (Windows NT 6.1; WOW64) WinHttp/1.6.3.8 (WinHTTP/5.1) like Gecko

研究人员发现了许多使用该用户代理工具中亚国家外交事务部的Zobrocy样本。其中一个样本将该用户代理与之前的用户代理相结合:

Mozilla v5.1 (Windows NT 6.1; rv:6.0.1) Gecko/20100101 Firefox/6.0.1

使用两个不同的用户代理字符串的恶意软件样本是不常见的。通过对该工具进行分析,研究人员发现第二个用户代理字符串是从样本cba5ab65a提取的。Mozilla v5.1的用户代理有超过40个额外的Zebrocy样本,主要攻击中亚国家。

通过对独特的用户代理字符串的使用发现,之前攻击者只是使用Mozilla/5.0用户代理,自2017年中开始这三个用户代理字符串都被Zebrocy用做C2通信的工具。

figure1-copy.png

图2用户代理时间线

DDE文档

在分析样本25f0d1cbc…时,研究人员利用IP为220.158.216[.]127的C2来收集其他的Zebrocy样本和武器化的文档。该文档(85da72c7d…)攻击的是南美处理外交事务的政府组织。该攻击使用DDE来提取payload,并安装在受害者的主机上。本攻击中还使用了诱饵文档,文档内容是公开联合国关于乌兹别克斯坦共和国的官方文档。

figure3-copy-768x760.png

图3 传播的文档示例

figure4-768x997.png

图4 使用的诱饵文件图

该武器化的文档的创建者将DDE指令添加到诱饵文件的文章末尾。但文档在word中打开后,指令并不会马上可见,因为word默认情况下是不显示这些区域的内容的。下图可以看到,高亮这些含有DDE指令的行,DDE指令的内容也不会显示。

figure5.gif

图5 隐藏的DDE命令

启用切换区域代码(Toggle Field Codes)就可以看到作者将指令的大小设置为1 font,而且颜色是白色的。字体颜色是白色就是为了隐藏武器化的文档的内容,这也是Sofacy组织在恶意宏攻击中常用的技术。

DDE指令会在受害者主机上运行下面的指令,并从远程的服务器上下载和执行payload:

image.png

在分析中,研究人员观察了DDE下载和Zebrocy AutoIt下载器执行的情况,下载器会从220.158.216[.]127处下载payload。DDE指令包含一个从未运行的命令,也就是说这是一个用于传播的文档的初期版本。下面是一些未使用的命令,从中研究人员发现了Sofacy下载和执行powershell脚本的基础设施:

image.png

这些未使用的命令看起来和之前的攻击也是相关的,尤其是2017年11月的攻击。该攻击中使用的payload就是叫做SofacyCarberp的DDE文档,这与2018年2月攻击中的Zebrocy下载器传播的文档是不同的。

115fd8c61…是研究人员通过C2 86.106.131[.]177发现的另一个Zebrocy样本。样本的目标同样的中亚国家组织,有趣的是其中一个武器化的文档也使用了DDE,并且含有一个非Zebrocy的payload。该payload最终会变成一个开源的渗透测试工具集——Koadic,该工具与Metasploit和PowerShell Empire类似,而求索免费的。

figure6-768x762.png

图6 传播的文档示例

RTF文件是非常小的,只有264字节,但可以明确的是:

image.png

上面的内容使用word中的DDE功能来预计女性powershell脚本来从远程服务器下载Koadic payload,并在系统中保存为可执行文件,之后再执行。

结论

2018年,Sofacy组织的攻击活动仍在继续,而且该组织对同样的攻击目标使用不同的工具集执行并行攻击。与当前攻击相关的Zebrocy工具是基于开发者选择的编程语言来构造不同的攻击形式。

研究人员发现Zebrocy有Delphi, AutoIt, C++等不同编程语言的变种,这些不止是与其功能相关,还与一次攻击中链接变种的次数相关。这些攻击主要是通过鱼叉式钓鱼攻击,当用户加载了钓鱼攻击中的可执行文件附件,就可以利用前面描述的DDE攻击技术了。

本文翻译自:https://researchcenter.paloaltonetworks.com/2018/06/unit42-sofacy-groups-parallel-attacks/如若转载,请注明原文地址: http://www.hackdig.com/06/hack-52218.htm

知识来源: www.4hou.com/web/12021.html

阅读:25095 | 评论:0 | 标签:Web安全 sofacy组织

想收藏或者和大家分享这篇好文章→复制链接地址

“深度剖析攻击目标遍及全世界的组织——Sofacy”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云