研究人员说,我们发现了一项针对东南亚国家政府的秘密持续监视行动,该行动使用了一种前所未见的恶意软件。根据CheckPointResearch的说法,该攻击通过发送带有恶意Word文档的鱼叉式网络钓鱼电子邮件获得对系统的初始访问权限,同时还利用已知的MicrosoftOffice安全漏洞。研究人员表示,最值得注意的是,我们发现了一个新的后门文件,这个APT组织已经开发了三年。根据CheckPoint的分析,这些文件被发送到东南亚某政府的多个员工的邮箱中。在某些情况下,电子邮件包含欺诈信息,这些信息似乎是来自其他政府的相关文件。这些电子邮件的附件看起来像是合法的官方文件,但实际上是一个后门文件,它使用远程模板技术从攻击者的服务器获取代码以执行。据分析,这些恶意文件会从不同的网址下载同一个模板。这些模板是嵌入了RoyalRoad武器化器(也称为8.tDropper/RTFexploitbuilder)的.RTF文件。RoyalRoad是多个APT库的一部分,例如Tick、TontoTeam和TA428;它生成的武器化RTF文件实际上利用了Microsoft方程式编辑器中的漏洞(CVE-2017-11882、CVE-2018-0798和CVE-2018-0802)。根据分析,RoyalRoad生成的RTF文件包含加密的payload和shellcode。“为了从包中解密有效负载,攻击者使用密钥为123456的RC4算法,生成的DLL文件保存为%Temp%文件夹中的5.t文件,shellcode还负责会话持久性,”研究人员说.它创建一个名为WindowsUpdate的计划任务,每天使用rundll32.exe运行从5.t文件导出的函数StartW。DLL文件会收集受害者计算机上的数据,包括操作系统名称和版本、用户名、网卡MAC地址、杀毒软件信息,所有数据加密后通过GETHTTP请求发送到攻击者的指挥控制服务器(C2),之后通过多段攻击链成功安装后门模块,简称“胜利”。根据CheckPoint的说法,它似乎是一种定制且非常独特的恶意软件。VictoryBackdoor该恶意软件的目的是窃取信息并为受害者提供持续访问权限。CheckPoint研究人员表示,它可以截取屏幕截图、操作文件(包括创建、删除、重命名和读取文件)、收集有关打开的顶级窗口的信息以及关闭计算机。有趣的是,该恶意软件似乎与之前开发的工具有关。据分析:“我们在野外搜索类似的后门文件时,发现了一组2018年提交给VirusTotal的文件,这些文件被作者命名为MClient,根据其PDB路径,这似乎是一个内部文件名为SharpM项目的一部分。编译时间戳也显示在2017年7月至2018年6月之间。经检查这些文件,发现它们是我们VictoryDll后门及其加载程序的旧测试版本。”该公司表示,主要后门功能的实现是相同的;此外,连接方法也具有相同的特点。此外,MClient的连接异或密钥与VictoryDll的初始异或密钥相同。然而,根据CheckPoint的说法,两者在架构、功能和命名约定方面存在明显差异。例如,MClient有一个键盘记录器,而Victory没有。此外,Victory的导出函数名为MainThread,而在所有版本的MClient变体中,导出函数均名为GetCPUID。“总的来说,我们可以看到,在这三年中,MClient和AutoStartup_DLL的大部分功能都被保留下来并拆分成多个组件,可能是为了实现逆向工程,”研究人员说。分析更加复杂,以降低每个阶段恶意文件的检测概率。”归因问题CheckPoint将攻击活动归因于国内APT。线索之一是第一个攻击阶段的C2服务器由两个不同的主机托管位于香港和马来西亚的云服务。这些服务器仅在一天中的特定时段处于活动状态,仅在周一至周五01:00-08:00UTC期间返回带有负载的流量,与中国工作日重合。此外,检查Point表示,服务器在5月1日至5日期间处于休眠状态,恰逢中国的劳动节假期。此外,RoyalRoadRTF漏洞构建工具包是国内APT团伙的首选工具;一些测试版本的后门包含与www.baidu.com(一个流行的中文网站)的网络连接检查。CheckPoint总结道:“我们发布的似乎是一个长期运行的国内活动,三年多来一直未被发现。在这次活动中,攻击者利用了一套反分析和反调试技术的MicrosoftOffice漏洞加载器安装一个前所未见的后门。”本文翻译自:https://threatpost.com/victory-backdoor-apt-campaign/166700/地址。
