研究人员最近使用新工具集发现了APT34的网络活动。根据此次发现的钓鱼文件,伊朗黑客组织的目标是在美国的Westat员工或Westat提供服务的组织。Westat是一家美国公司,为美国政府机构以及公司、基金会、州和地方政府提供研究服务。APT34背景APT34(也称为OilRig或HelixKitten)是伊朗政府支持的网络间谍组织,自2014年以来一直活跃。该组织的目标多为国际组织,主要集中在中东地区。他们的目标行业包括政府机构、金融服务、能源和公共服务、电信以及石油和天然气。2019年4月,该组织的信息被曝光,包括受害者数据、黑客工具源代码、APT34运营的数据(webshell和域信息)。近日,FireEye披露了一次由APT34发起的鱼叉式网络钓鱼攻击。两次攻击活动所使用的技术和工具相似,足以证实此次对Westat的攻击也是同一个组织所为。最初的攻击在2020年1月下旬发现了一个名为survey.xls的文件,该文件似乎是为Westat员工或Westat客户量身定制的员工满意度调查。最初电子表格是空白的,只有当受害者启用宏时才会向用户显示问卷,恶意VBA代码开始执行。VBA将zip文件解压到临时文件夹中,解压“Clientupdate.exe”可执行文件并将其安装到“C:\UsersvalsClientupdate.exe”。“Clientupdate.exe”是TONEDEAF恶意软件的修改版本,名为TONEDEAF2.0。最后,crtt函数创建计划任务“CheckUpdate”。提取的VBA代码和功能与FireEye报告中分析的代码相似:还发现了一个类似的文件,名为“Employeesatisfactionsurvey.xls”。该文档的“代码页”字段为阿拉伯语,这表明阿拉伯语是文档作者在MicrosoftExcel版本上安装的首选语言:TONEDEAF2.0“Clientupdate.exe”似乎是一种全新的后门恶意软件,进一步检查发现它是一个修改版本。TONEDEAF后门通过HTTP与命令和控制服务器通信以接收和执行命令。该工具作为APT34组织的定制工具之一在FireEye最近的报告中被提及。TONEDEAF2.0与原始版本具有相同的目的,但它具有改进的C2通信协议和代码库。与原来的TONEDEAF不同,TONEDEAF2.0只包括shell执行功能,不支持任何预定义的命令。它还包括用于动态导入、字符串解码和目标欺骗的新方法。执行时,程序会检查是否以“...”为参数执行,如果没有正确的参数,例如双击启动。它会向用户显示一个空白窗口,使恶意软件看起来像一个合法的应用程序。TONEDEAF2.0还隐藏了API,api名称和dll存储为字符串,在运行时按需解码和解析。C2通信后门使用HTTP进行C2通信,具有自定义编码和通信机制。后门发送的消息包含HTTP查询参数“?ser=<6digits>”作为标识符。前三个是,后三个是。消息格式:GET/dow?ser=请求消息,用于从服务器获取要执行的命令。POST/upl?ser==回复命令消息,将执行的命令结果发送给服务器。C2在分析期间处于活动状态,但一直使用403ForbiddenHTTP错误代码回复请求。C2可能正在过滤目标,分析中发送的client_id参数与目标victim参数不匹配。如果C2接受了ID,它将回复一条编码消息,其中包含后门需要执行的命令。恶意软件将通过在前面加上“cmdUc”来执行命令,并使用POST回复消息将命令结果发送回C2。通过浏览器访问C2时,该站点试图模仿https://docs.microsoft.com/en-us/,由于CSS配置错误而无法正确显示:还发现最近生成了匹配的SSL证书C2域:指示攻击作者正在过渡到HTTPS通信,以提高他们的OPSEC能力并避免检测。原始TONEDEAF痕迹通过对更改和添加的分析,有足够的证据将TONEDEAF2.0与TONEDEAF聚类。虽然大部分代码已被修改,但总体流程和功能是相似的。C2通信有所不同,但仍与TONEDEAF相似,例如对受害者和服务器使用三位数标识符。此外,这两种恶意软件都在Windows状态栏中创建了一个通知图标。VALUEVAULT2.0目前无法下载其他模块,但可以确认事件中使用了VALUEVAULT。它是Golang内置的浏览器凭据窃取工具,由FireEye在分析APT34操作时发现。用户上传的VALUEVAULT和TONEDEAF2.0与同一用户上传到VirusTotal的Survey.xls文件仅相隔几分钟,这表明恶意软件是攻击的一部分。这个VALUEVAULT比以前的版本采用了更精简的方法,删除了许多函数和字符串,现在只支持Chrome密码转储。此外,VALUEVAULT2.0是64位二进制文??件,而VALUEVAULT1.0是32位二进制文??件。总结上个月,APT34的最后一次行动被FireEye揭露。从目前的调查结果来看,此次针对一家美国公司的网络攻击也是该组织所为。对恶意软件变体的技术分析表明,该组织已投入大量精力来升级其工具集以逃避检测。IOCsmanygoodnews[.]comc10cd1c78c180ba657e3921ee9421b9abd5b965c4cdfaa94a58e383b45bb72ca4c323bc11982b95266732c01645c39618550e68f25c34f6d3d79288eae7d4378a897164e3547f0ce3aaa476b0364a200769e8c07ce825bcfdc43939dd1314bb120b3d046ed617b7336156a64a0550d416afdd80a2c32ce332be6bbfd4829832cd61eecd7492dfa461344076a93fc2668dc28943724190faf3d9390f8403b6411
