【卡巴斯基】EastWindcampaign-newCloudSorcererattacksongovernmentorganizationsinRussia(英)

近日，知名网络安全研究机构卡巴斯基发布了一份名为《EastWind campaign – new CloudSorcerer attacks on government organizations in Russia》的报告。该报告深入分析了一系列针对俄罗斯政府组织的新型网络攻击活动，这些攻击由一个名为“CloudSorcerer”的高级持续性威胁（APT）组织发起。报告详细揭露了攻击者的战术、技术和程序（TTPs），包括使用的恶意软件、攻击基础设施以及如何利用漏洞进行初始入侵和权限提升。此外，报告还探讨了攻击者如何进行横向移动、数据窃取以及如何维持对受害网络的控制。这份报告为理解当前网络威胁形势提供了宝贵的信息，对于网络安全专业人士来说，其中包含了大量有助于防御此类攻击的深刻见解和实用指导。

在2019年夏天，一家名为Talent-Jump Technologies, Inc.的公司在对菲律宾一家公司进行事故响应操作时，发现了一个后门程序。这个后门程序是由一个先进的持续性威胁(APT)行为者使用的，该行为者被命名为“DRBControl”。通过深入分析，研究者们发现这个后门只是冰山一角，APT行为者还使用了许多其他后门和后期利用工具。特别值得注意的是，其中一个后门利用了文件托管服务Dropbox作为命令和控制(C&C)通道。

更令人关注的是，DRBControl的目标非常特定，它只针对东南亚的赌博和博彩公司。虽然也有迹象表明欧洲和中东地区也受到了攻击，但这些信息尚未得到确认。被盗取的数据主要包括数据库和源代码，这表明此次行动可能用于网络间谍活动或获取竞争情报。一些后门程序对我们来说是未知的，这可能意味着它是一个以前未被报道的团体。然而，我们也设法将其与一些已知的威胁行为者联系起来。

这份报告详细描述了这次行动的不同阶段，包括最初的鱼叉式钓鱼邮件、对后门的详细分析，以及多种后期利用工具的清单。此外，报告还涵盖了对威胁行为者活动和基础设施的观察，包括与已知APT团体的联系。

在针对性攻击中，鱼叉式钓鱼是一种常见的感染媒介，威胁行为者利用它来获得目标基础设施的初步立足点。获取目标的电子邮件地址相对容易，可以使用通用电子邮件地址或特定个人的电子邮件地址。我们所揭露的这次行动也不例外：威胁行为者使用鱼叉式钓鱼诱使接收者打开一个.DOCX文档。

我们观察到的鱼叉式钓鱼活动在2019年5月活跃。我们发现了两种不同语言但非常相似的钓鱼内容。这次行动中使用的社交工程看似简单直接，但在实现威胁行为者目标方面却相当有效。

威胁行为者的鱼叉式钓鱼攻击针对的是组织的技术支持团队。根据目标技术支持团队使用的语言，主题会有所变化。例如，中文技术支持团队收到了一封主题为“注册不了的截图”的电子邮件，而日本技术支持团队收到了一封主题为“error screenshot”的类似电子邮件。此外，文档的显示方式也有所不同。

我们发现至少有三个不同版本的感染文档。第一个版本在用户双击后，嵌入一个可执行文件，该文件被启动并作为恶意软件的投毒者（被Trend Micro检测为Trojan.Win32.CLAMBLING.A）。第二个版本的文档嵌入了一个.BAT文件，同样作为同一恶意软件的下载器。

第三个版本的文档使用PowerShell下载恶意软件。我们的分析显示，前两个版本执行了相同的文件（被检测为Trojan.Win32.CLAMBLING.A）。我们未能从第三个版本中检索到test.cab文件，但我们怀疑最终的有效载荷是相似的。

我们还发现了一个2017年7月的武器化文档，它使用了类似的PowerShell代码来投掷一个后门（在本研究中稍后分析为类型2），但我们未能在我们的遥测中搜索到它。与此类似，它也诱使用户双击一张图片，触发代码执行。

这次行动使用的两种主要后门以前我们都不熟悉。我们还发现了一些已知的恶意软件家族，如PlugX和HyperBro，以及许多定制的后期利用工具。

我们描述了这两种后门的加载、持久性和特性。类型1后门使用C++语言编写，具有从虚拟类继承的类。该后门也是模块化的，允许使用插件进行扩展。

当前方法：DLL侧加载，威胁行为者启动合法文件MsMpEng.exe，该文件由Microsoft签名，并被描述为“反恶意软件服务可执行文件”。这个可执行文件容易受到DLL侧加载的攻击，即在程序中加载了一个意外的DLL。在这种情况下，恶意行为者通过在同一个目录中存储一个名为mpsvc.dll的文件来利用它。然后，该DLL打开一个名为mpsvc.mui的第三个文件，其中包含混淆的后门，将其解码并加载到svchost.exe进程中。

我们发现了两个在野外的RAR归档文件（被检测为Trojan.Win64.CLAMBLING.A），其中包含上述文件。嵌入式文件的修改时间是2019-07-25。

旧方法：修补合法文件，有趣的是，我们观察到一个旧版本的后门使用了一种不同的技术。威胁行为者手动修补了一些中国归档软件“HaoZip”的合法安装程序的字节（在中国作为WinRAR和WinZip的替代品通常使用），以重定向代码流到二进制文件末尾附加的函数。

后门功能，投放的有效载荷是用C++编写的后门。它在清晰文本中嵌入了一个配置文件，其中包含C&C、文件将被复制的路径以及将创建的服务名称。

如果没有提供参数，文件将被复制到配置中指定的路径，其属性将设置为系统和隐藏，并在“运行”注册表键中添加一个值，以便在下次启动时启动它。

它处理以下参数：
• P：创建一个挂起的svchost.exe进程，注入代码并继续
• O：初始化插件和后门特性
• U：使用passuac.dll文件绕过用户帐户控制(UAC)

运行时类型信息(RTTI)在可执行文件中存在，允许我们获得真实类的名称：
• CHPPlugin：每个“插件”类实现的虚拟类
• CHPCmd：通过终端处理命令执行的类
• CHPExplorer：提供浏览目录、枚举网络共享、读取、写入和执行文件的函数的类
• CHPAvi：提供以AVI格式录制屏幕内容和枚举AVI文件的类
• CHPKeyLog：提供键盘记录功能的类（稍后讨论）
• CHPPipe：提供处理命名管道的函数的类
• CHPProcess：提供枚举和终止进程的函数的类
• CHPProxy：添加代理支持的类
• CHPRegedit：提供处理注册表键的函数的类（枚举、复制、设置、删除）
• CHPScreen：处理屏幕截图功能的类
• CHPService：提供处理服务的函数的类（创建、删除、修改、查询、启动）
• CHPNet：每个“通信协议”类实现的虚拟类
• CHPHttp：与HTTP协议处理相关的网络类
• CHPTcp：与TCP协议处理相关的网络类
• CHPUdp：与UDP协议处理相关的网络类
• CHPTelnet：与Telnet协议处理相关的网络类

该恶意软件还向C&C服务器发送受感染系统的信息（如下所列）：
• 主机名（如果找不到主机名，则为IP地址）
• 计算机名称
• 当前权限（系统/管理员/用户）
• Windows版本
• 当前时间
• 固定字符串（可能是活动标识符）

在发送信息之前，数据通过使用固定替换表中的每个字符与其位置交换来进行混淆。

使用Dropbox在其感染链中，这个后门的最近版本中出现了一个重要特性：一个新线程，通过使用Dropbox API添加了一个新的C&C通道。该线程等待30分钟后才开始执行任何操作，然后收集以下有关主机的信息：
• 本地IP地址
• 计算机名称
• 用户名
• 操作系统(操作系统)版本
• 恶意软件版本（固定字符串；我们看到的值从1.0到9.0不等）
• 以下注册表键的内容：HKEY_CURRENT_USERSoftwareBitcoinBitcoin-QtstrDataDir + “wallet.dat”
• 存在：“是”如果钱包文件存在，“否”则否则
此信息以纯文本形式使用API写入Dropbox，文件名以当前日期和时间命名。然后，恶意软件在特定的Dropbox目录中搜索名为bin.asc的文件。如果该文件存在，恶意软件检查它是否以“GIF”开头，然后解密其余部分，启动一个挂起的svchost.exe进程，将解密的shellcode写入其中，并继续其执行。

我们发现了通过Dropbox传递的不同有效载荷，将在下面单独的部分中介绍。值得注意的是，威胁行为者使用了多个Dropbox存储库，每个存储库存储不同的信息。它们被分割如下：
• 后门和存储目标用户工作站信息
• 存储命令、结果、心跳和后期利用工具
• 从目标用户计算机窃取的文件

版本显示了恶意软件的快速发展——2019年5月底使用了1.0版本，7月底使用了8.0版本，10月初使用了9.0版本。

键盘记录器功能，按键记录到文件%USERPROFILE%AppDataRoaming(IID).log，而剪贴板存储在文件%USERPROFILE%AppDataRoaming(IID).pas中。它们通过一个非常简单的算法进行混淆：

值得一提的是，我们发现的第一个样本没有活动名称或版本号，也没有Dropbox功能。它还只嵌入了两个插件（CHPCmd和CHPExplorer）和两个网络插件（CHPTcp和CHPHttp），并且没有实现UAC绕过功能。这是我们发现的通过鱼叉式钓鱼文档投放的样本。还应注意，在9.0版本中删除了检查比特币钱包的功能。

正如前面提到的，第一个后门是从Dropbox下载的，它本身使用Dropbox作为其C&C通道。后门处理不同的命令，如下所示：
• 0x02：枚举驱动器

以上为节选样张，关注公众号【蝉鸣报告】回复领取PDF完整电子版（无广告）。

【蝉鸣报告】每日更新最新硬核报告，覆盖产业报告、全球化、经济报告、趋势等全领域。