CloudWizard APT ： 糟糕的魔法故事还在继续

行动诱饵 ： 监视工具包的分析安顿 · 切雷帕诺夫 ， ESET版本 2016 - 05 - 17 行动诱饵 ： 监视分析工具包1Contents附录 A. Prikormka 竞选活动的详细信息 29附录 B. 妥协指标 (IoC) 31 行动诱饵 ： 监视分析工具包2执行摘要地饵行动 (俄语:由 Prikormka） 是针对乌克兰个人的正在进行的网络监视行动。该行动背后的组织一直在发起有针对性的 ， 可能是出于政治动机的攻击 ， 以监视个人。本文基于我们对 Prikormka 恶意软件家族的研究 ， 介绍了 ESET 关于 Operation Groundbait 的发现。这包括对 Prikormka 恶意软件家族及其传播机制的详细技术分析 ， 以及对最值得注意的攻击活动的描述。主要发现 ：•看到恶意软件最多的国家是乌克兰。至少自 2008 年以来 ， 它一直很活跃。•“地饵行动 ” 的主要目标是乌克兰东部自称为顿涅茨克和卢甘斯克人民共和国的反政府分裂主义者。•还有大量其他目标 ， 包括乌克兰政府官员 ， 乌克兰政客 ， 乌克兰记者等。•攻击者很可能在乌克兰境内行动。 行动诱饵 ： 监视分析工具包3The discovery在 2015 年第三季度 ， ESET 确定了一个以前未知的模块化恶意软件家族 ，Prikormka。进一步的研究表明 ， 这种恶意软件至少从 2008 年开始就一直活跃 ， 而这种恶意软件被发现最多的国家是乌克兰。它之所以长期被忽视 ， 是因为 2015 年之前的感染率相对较低。感染人数在 2015 年大幅激增。我们在实验室分析的这种恶意软件的第一个例子中 ， 有一个名为prikormka. exe。俄语和乌克兰语单词 prikormka (Прикормка） 是指 groundbait ， 一种鱼饵 ， 被扔进水中吸引鱼。我们在研究过程中使用了这个代号 ， 之后我们决定保留它 ， 所以恶意软件有名字Win32 / PrikormkaandWin64 / Prikormka分别。低检测率和多年未被发现的能力是目标攻击 （ APT ） 的常见特征。对活动和 Priko - rmka 活动的调查增加了我们对该恶意软件用于目标攻击的信心。有针对性的攻击通常是出于各种目的，包括侦察，知识产权盗窃，破坏和间谍活动。在分析了这个特定恶意软件组采用的策略，技术和程序之后，我们得出结论，个人是目标，而不是公司。即使在企业环境中检测到 Priorma 恶意软件，我们也从未见过任何横向移动 - 这是高级对手在网络攻击中使用的技术。我们怀疑该组织在大多数受害者所在的乌克兰开展活动。出于这个原因 ， 由于这些攻击的性质 ， 我们将其归类为网络监视行动。200820092010201120122013201420152016图 1. ESET 根据时间戳按年份检索的唯一样本数量。Figure 1 shows the number of unique Prikormka samples complied in each year surpose, according to the PE header timestamp. While timestamp by them - self are usually not a reliable indicator, in this case, their accuracy was confirmed by ESET ’ s Li443911213027178 行动诱饵 ： 监视分析工具包4竞选活动在本节中 ， 我们将展示最值得注意和最突出的广告系列以及与之相关的诱饵文档。让我们根据 ESET LiveGrid ® 统计数据按国家 / 地区检查检测统计数据 ：图 2. 根据 ESET LiveGrid ® 对 Prikormka 恶意软件的检测统计信息。根据我们的遥测 ， 乌克兰是检测到该恶意软件的大多数国家。此外 ， 我们的研究表明 ， 该恶意软件背后的攻击者表现出乌克兰语和俄语的母语流利程度 ， 并全面了解乌克兰当前的政治局势。为了回答在上述列出的国家中袭击了什么样的受害者的问题 ， 我们分析了用于针对他们的诱饵文件。我们在研究过程中确定的主要感染媒介包括附带恶意可执行文件或下载链接到托管在远程服务器上的恶意文件。当用户点击伪装成文档的恶意附件时，Priorma 滴管会显示一个诱饵文档，以欺骗受害者并分散他们的注意力，因为受害者通常希望在点击附件时看到文档打开。这种技术对不太精通技术的计算机用户有效 ； 然而，感染的成功取决于鱼叉式钓鱼电子邮件的质量。当鱼叉式钓鱼信件和诱饵文件与受害者相关时，攻击者有更大的机会感染计算机，换句话说，当受害者不会被惊吓到从某人那里收到这样的消息时。因此, 分析这样的诱饵文件可以揭示关于这些网络攻击的预期目标的信息。其次 ， Prikormka 恶意软件的每个样本中都嵌入了另一个人工制品 ， 我们称之为 Campaign ID 。这些 Campaign ID 是唯一的文本字符串 ， 用于识别 Prikormka 恶意软件操作员的特定感染或感染尝试。使用的字母和数字的组合有时会显示有关预期目标的信息。到目前为止 ， 我们已经确定了 80 多个不同的 Campaign ID ， 甚至还有更多链接到这些 ID 的诱骗文档。据观察 ， 通常一个 Campaign ID 用于一个目标 ， 可以是个人 ， 某些实体或组这意味着可能在多台计算机上发现一个特定的 ID 。更全面的代表性广告系列列表 ， 以及它们的编译时间戳和唯一的广告系列 ID附录 A.值得一提的是，在某些情况下，很难识别目标受害者，特别是在恶意软件已经安装并处于活动状态的阶段发现 Priorma 恶意软件感染时。然而，我们已经意识到一些活跃的 Priorma 感染属于高价值目标的计算机网络，包括乌克兰政府。在以下对 Grodbait 活动的描述中提到了其他值得注意的 tar - gets 。20152016比利时 2%俄罗斯 13%乌克兰 86%塔吉克斯坦 1%俄罗斯 12%乌克兰 87% 行动诱饵 ： 监视分析工具包5反对分离主义者的运动Prikormka 的主要目标是乌克兰东部的分离主义者。自 2014 年以来 ， 该地区一直参与武装军事冲突。2014 年 4 月 ， 一群人在乌克兰东部的顿涅茨克和卢甘斯克两个地区单方面宣布独立。作为回应 ， 乌克兰政府将这两个实体归类为恐怖组织 ， 因此 ， 这些地区的领土被宣布为反恐行动 (ATO) 区.5 月 11 日th2014 年 ， 这些自称为共和国的当局举行了全民投票寻求使共和国的建立合法化。在 Priorma 袭击中使用的大量诱饵文件激发了与顿涅茨克人民共和国 （ DPR ） 和卢甘斯克人民共和国 （ LPR ） 自封状态有关的各种主题。此外，许多诱饵文档包含私人数据，包括内部统计数据和显然在这些自称为状态的内部工作流程中使用的文档。这个.事实使我们相信运营商有意针对位于这两个地区的人。这些假设由我们的 ESET LiveGrid ® 遥测证实 ： 顿涅茨克和卢甘斯克地区是乌克兰受 Prikormka 恶意软件感染最严重的两个地区。攻击者使用社会工程技巧来说服受害者打开恶意附件。这些技巧包括给电子邮件附件提供挑衅性或有吸引力的名称。以下是此类文件名的一些示例 ：•Нацгвардейцы со шприцами сделали из донецкого（ 来自俄罗斯 ： 乌克兰国民警卫队瞄准顿涅茨克男孩的火箭 ） 。编译时间戳 ： 2014 年 11 月 5 日•Последнее обращение командира бригады 'Призрак'（ 来自俄罗斯 ： Prizrak 旅的领导人Aleksey Borisovich Mozgovoy 的对顿涅茨克士兵和军官的最后呼吁人民共和国和卢甘斯克人民共和国 ） 。编制时间戳 ： 5 月 24 日th2015•如何使用（ 来自俄罗斯 ： 乌克兰武装部队在 ATO 地区的错位 ） 。编译时间戳 ： 12 月 15 日th2015以下是在卢甘斯克和顿涅茨克地区袭击分离主义者时使用的诱饵文件的例子。•第一个示例是文件名为的可执行文件这些人（ 来自俄语 ： Ministries 目录 - 已更新 ） ， 其中包含自封共和国的 Ministries 列表的诱饵文档。此可执行文件的 Campaign ID 为D _ xxx. （ 图 3 ）•这里是一个诱饵文档的另一个例子 ， 它被一个名为материалы к зачету по（ 来自俄语 ： 法律考试材料 ） 。此可执行文件会删除一些文件 ， 包括 LPR 临时宪法以及其他法律和政治文件。活动 ID 为L _ ment; The word "ment" is Russian lang for a policy. Thus, the attachers demonstrate intimely knowledge of the Russian language. (Figure 4)•一些诱饵文件使用明斯克协议主题。下面是一个这样的文档的示例 ， 该文档来自文件名为Схема（ 来自俄罗斯 ： 非军事区计划Shyrokyne（ Shyrokyne 用俄语写的错字 ） 。竞选 ID 是Lminfin. （ 图 5 ） 行动诱饵 ： 监视分析工具包6Figure 3. Decoy document, with a list of Ministries of DPR. (Here and in further images, potentially sensitive data have been redreacted by ESET.) 行动诱饵 ： 监视分析工具包7图 4. 包含法律的欺骗文件 ， 其中描述了特殊犯罪调查活动的规则。图 5. 利用明斯克协议主题的欺骗文档。 行动诱饵 ： 监视分析工具包8•另一个诱饵文件甚至包含明斯克议定书建立的缓冲区的地图。这里有一个例子 ， 它来自一个文件名为这类文件包括 14.08. exe（ 来自俄罗斯 ： 14.08 的 [重型武器] 撤出 ） 。战役 ID 是BUR. （ 图 6 ）重要说明： 似乎旨在针对分离主义者使用的大多数 Prikormka 二进制文件都具有以 D 或 L 字符开头的 Campaign ID 。这可能意味着顿涅茨克人民共和国和卢甘斯克人民共和国分别。此外 ， 我们观察到了一个名为的可执行文件这将是 2015 年的 2015 年的（ 来自俄语 ： Edu - ard Basargin 于 13 日发表的声明th2015 年 10 月下午 3 点) ， 使用活动 IDRF _ lgm由于我们已经确定了在俄罗斯的检测 ， RF 前缀可能意味着俄罗斯联邦。图 6. 带有缓冲区地图的诱饵文档。 行动诱饵 ： 监视分析工具包9反对乌克兰民族主义政党的运动以前提到的所有诱饵文件都是从具有俄语文件名的可执行文件中提取的。乌克兰语是官方语言然而 ， 乌克兰东部的人们倾向于使用俄语 ， 而不是使用乌克兰语的西部地区。某些 Prikormka 二进制文件的名称为乌克兰语。例如 ， 我们已经看到文件名这将是（ 来自乌克兰人 ： DPR 计划于 21 日撤军st7 月 ） 。乌克兰语中的附件名称可能表明此类恶意信件的接收者更喜欢说乌克兰语而不是俄语。在乌克兰西部地区检测到 Prikormka 恶意软件的事实加强了这一假设。此特定可执行文件的 Campaign ID 为Psek， 这让我们高度自信地相信乌克兰民族主义者党的成员右扇区（ 乌克兰语 ： Pravyi Sektor ） 是 Prikormka 恶意软件的目标。图 7. 可能针对乌克兰民族主义政党成员使用的诱饵文件。 行动诱饵 ： 监视分析工具包10其他活动顿涅茨克和卢甘斯克的分离主义者以及其他针对性的知名受害者并不是 “地球诱饵