CloudWizard APT ： 糟糕的魔法故事还在继续

行动诱饵：监视工具包的分析 安顿·切雷帕诺夫，ESET 版本2016-05-17 Contents 附录A.Prikormka竞选活动的详细信息29 附录B.妥协指标(IoC)31 执行摘要 地饵行动(俄语:由Prikormka）是针对乌克兰个人的正在进行的网络监视行动。该行动背后的组织一直在发起有针对性的，可能是出于政治动机的攻击，以监视个人。 本文基于我们对Prikormka恶意软件家族的研究，介绍了ESET关于OperationGroundbait的发现。这包括对Prikormka恶意软件家族及其传播机制的详细技术分析，以及对最值得注意的攻击活动的描述。 主要发现： •看到恶意软件最多的国家是乌克兰。至少自2008年以来，它一直很活跃。 •“地饵行动”的主要目标是乌克兰东部自称为顿涅茨克和卢甘斯克人民共和国的反政府分裂主义者。 •还有大量其他目标，包括乌克兰政府官员，乌克兰政客，乌克兰记者等。 •攻击者很可能在乌克兰境内行动。 1 0 2 7 2008 2009 2010 2011 2012 2013 2014 2015 2016 图1.ESET根据时间戳按年份检索的唯一样本数量。 Figure1showsthenumberofuniquePrikormkasamplescompliedineachyearsurpose,accordingtothePEheadertimestamp.Whiletimestampbythem-selfareusuallynotareliableindicator,inthiscase,theiraccuracywasconfirmedbyESET’sLi 我们在实验室分析的这种恶意软件的第一个例子中，有一个名为prikormka.exe。俄语和乌克兰语单词prikormka(Прикормка）是指groundbait，一种鱼饵，被扔进水中吸引鱼。我们在研究过程中使用了这个代号，之后我们决定保留它，所以恶意软件有名字Win32/PrikormkaandWin64/Prikormka分别 Thediscovery 在2015年第三季度，ESET确定了一个以前未知的模块化恶意软件家族，Prikormka。进一步的研究表明，这种恶意软件至少从2008年开始就一直活跃，而这种恶意软件被发现最多的国家是乌克兰。它之所以长期被忽视，是因为2015年之前的感染率相对较低。感染人数在2015年大幅激增。 44 39 12 13 178 。 低检测率和多年未被发现的能力是目标攻击（APT）的常见特征。对活动和Priko-rmka活动的调查增加了我们对该恶意软件用于目标攻击的信心。 有针对性的攻击通常是出于各种目的，包括侦察，知识产权盗窃，破坏和间谍活动。在分析了这个特定恶意软件组采用的策略，技术和程序之后，我们得出结论，个人是目标，而不是公司。即使在企业环境中检测到Priorma恶意软件，我们也从未见过任何横向移动-这是高级对手在网络攻击中使用的技术。 我们怀疑该组织在大多数受害者所在的乌克兰开展活动。出于这个原因，由于这些攻击的性质，我们将其归类为网络监视行动。 竞选活动 在本节中，我们将展示最值得注意和最突出的广告系列以及与之相关的诱饵文档。让我们根据ESETLiveGrid®统计数据按国家/地区检查检测统计数据： 我们在研究过程中确定的主要感染媒介包括附带恶意可执行文件或下载链接到 托管在远程服务器上的恶意文件。当用户点击伪装成文档的恶意附件时，Priorma滴管会显示一个诱饵文档，以欺骗受害者并分散他们的注意力，因为受害者通常希望在点击附件时看到文档打开。这种技术对不太精通技术的计算机用户有效；然而，感染的成功取决于鱼叉式钓鱼电子邮件的质量。当鱼叉式钓鱼信件和诱饵文件与受害者相关时，攻击者有更大的机会感染计算机，换句话说，当受害者不会被惊吓到从某人那里收到这样的消息时。因此,分析这样的诱饵文件可以揭示关于这些网络攻击的预期目标的信息。 其次，Prikormka恶意软件的每个样本中都嵌入了另一个人工制品，我们称之为CampaignID。这些CampaignID是唯一的文本字符串，用于识别Prikormka恶意软件操作员的特定感染或感染尝试。使用的字母和数字的组合有时会显示有关预期目标的信息。 到目前为止，我们已经确定了80多个不同的CampaignID，甚至还有更多链接到这些ID的诱骗文档。据观察，通常一个CampaignID用于一个目标，可以是个人，某些实体或组 这意味着可能在多台计算机上发现一个特定的ID。 更全面的代表性广告系列列表，以及它们的编译时间戳和唯一的广告系列ID附录A. 2015 2016 比利时2% 塔吉克斯坦1% 俄罗斯13%俄罗斯12% 乌克兰86%乌克兰87% 值得一提的是，在某些情况下，很难识别目标受害者，特别是在恶意软件已经安装并处于活动状态的阶段发现Priorma恶意软件感染时。然而，我们已经意识到一些活跃的Priorma感染属于高价值目标的计算机网络，包括乌克兰政府。在以下对Grodbait活动的描述中提到了其他值得注意的tar-gets。 图2.根据ESETLiveGrid®对Prikormka恶意软件的检测统计信息。 根据我们的遥测，乌克兰是检测到该恶意软件的大多数国家。此外，我们的研究表明，该恶意软件背后的攻击者表现出乌克兰语和俄语的母语流利程度，并全面了解乌克兰当前的政治局势。 为了回答在上述列出的国家中袭击了什么样的受害者的问题，我们分析了用于针对他们的诱饵文件。 反对分离主义者的运动 Prikormka的主要目标是乌克兰东部的分离主义者。自2014年以来，该地区一直参与武装军事冲突。 2014年4月，一群人在乌克兰东部的顿涅茨克和卢甘斯克两个地区单方面宣布独立。作为回应，乌克兰政府将这两个实体归类为恐怖组织，因此，这些地区的领土被宣布为反恐行动(ATO)区. 5月11日th2014年，这些自称为共和国的当局举行了全民投票寻求使共和国的建立合法化。 在Priorma袭击中使用的大量诱饵文件激发了与顿涅茨克人民共和国（DPR）和卢甘斯克人民共和国（LPR ）自封状态有关的各种主题。此外，许多诱饵文档包含私人数据，包括内部统计数据和显然在这些自称为状态的内部工作流程中使用的文档。这个. 事实使我们相信运营商有意针对位于这两个地区的人。这些假设由我们的ESETLiveGrid®遥测证实：顿涅茨克和卢甘斯克地区是乌克兰受Prikormka恶意软件感染最严重的两个地区。 攻击者使用社会工程技巧来说服受害者打开恶意附件。这些技巧包括给电子邮件附件提供挑衅性或有吸引力的名称。以下是此类文件名的一些示例： •Нацгвардейцысошприцамисделалииздонецкого（来自俄罗斯：乌克兰国民警卫队瞄准顿涅茨克男孩的火箭）。编译时间戳：2014年11月5日 •Последнееобращениекомандирабригады'Призрак'（来自俄罗斯：Prizrak旅的领导人AlekseyBorisovichMozgovoy的对顿涅茨克士兵和军官的最后呼吁 人民共和国和卢甘斯克人民共和国）。编制时间戳：5月24日th2015 •如何使用（来自俄罗斯：乌克兰武装部队在ATO地区的错位）。编译时间戳 ：12月15日th2015 以下是在卢甘斯克和顿涅茨克地区袭击分离主义者时使用的诱饵文件的例子。 •第一个示例是文件名为的可执行文件这些人（来自俄语：Ministries目录-已更新），其中包含自封共和国的Ministries列表的诱饵文档。此可执行文件的CampaignID为D_ xxx.（图3） •这里是一个诱饵文档的另一个例子，它被一个名为материалыкзачетупо （来自俄语：法律考试材料）。此可执行文件会删除一些文件，包括LPR临时宪法 以及其他法律和政治文件。 活动ID为L_ment;Theword"ment"isRussianlangforapolicy.Thus,theattachersdemonstrateintimelyknowledgeoftheRussianlanguage.(Figure4) •一些诱饵文件使用明斯克协议主题。下面是一个这样的文档的示例，该文档来自文件名为 Схема（来自俄罗斯：非军事区计划Shyrokyne（Shyrokyne用俄语写的错字）。竞 选ID是Lminfin.（图5） Figure3.Decoydocument,withalistofMinistriesofDPR.(Hereandinfurtherimages,potentiallysensitivedatahavebeenredreactedbyESET.) 图4.包含法律的欺骗文件，其中描述了特殊犯罪调查活动的规则。图5.利用明斯克协议主题的欺骗文档。 •另一个诱饵文件甚至包含明斯克议定书建立的缓冲区的地图。这里有一个例子，它来自一个文件名为这类文件包括14.08.exe（来自俄罗斯：14.08的[重型武器]撤出） 。战役ID是BUR.（图6） 重要说明：似乎旨在针对分离主义者使用的大多数Prikormka二进制文件都具有以D或L字符开头的CampaignID。这可能意味着顿涅茨克人民共和国和卢甘斯克人民共和国分别。此外，我们观察到了一个名为的可执行文件这将是2015年的2015年的（来自俄语：Edu-ardBasargin于13日发表的声明th2015年10月下午3点)，使用活动IDRF_lgm由于我们已经确定了在俄罗斯的检测，RF前缀可能意味着俄罗斯联邦。 图6.带有缓冲区地图的诱饵文档。 反对乌克兰民族主义政党的运动 以前提到的所有诱饵文件都是从具有俄语文件名的可执行文件中提取的。乌克兰语是官方语言然而，乌克兰东部的人们倾向于使用俄语，而不是使用乌克兰语的西部地区。 某些Prikormka二进制文件的名称为乌克兰语。例如，我们已经看到文件名这将是（来自乌克兰人：DPR计划于21日撤军st7月）。乌克兰语中的附件名称可能表明此类恶意信件的接收者更喜欢说乌克兰语而不是俄语。在乌克兰西部地区检测到Prikormka恶意软件的事实加强了这一假设。此特定可执行文件的CampaignID为Psek，这让我们高度自信地相信乌克兰民族主义者党的成员右扇区（乌克兰语：PravyiSektor）是Prikormka恶意软件的目标。 图7.可能针对乌克兰民族主义政党成员使用的诱饵文件。 其他活动 顿涅茨克和卢甘斯克的分离主义者以及其他针对性的知名受害者并不是“地球诱饵行动”的唯一目标。我们已经观察到了其他一些带有有趣的诱饵文件的运动，但是我们无法仅根据这些文件来确定目标受害者。 Hereisanexampleofadecoydocumentwhichwaspossiblyusedagainstareliamentinstitute.ThedecoydocumentcomesfromdropperwithfilenameUR（来自俄语：生活的新词）。CampaignID为medium。此CampaignID的选择可能是指媒介和唯心主义. 图8.可能针对宗教组织使用的诱饵文件。 2016年3月发现了另一个活动。这次，恶意文件的名称是匈牙利语：Ønéletrajzfizikaimunka 2.pdf.scr,翻译成英文为“CV体力劳动”。这个文件丢弃的诱饵文档是一个人的CV(简历或简历),用匈牙利语写的。这个恶意的.SCR文件与另外两个文件一起以单个存档的形式发送：乌克兰语同一个人的简历，以及匈牙利语证明这个人能够执行体力劳动的证书。基于此信息，很难说谁可能是预期的目标，但是事实是它的沉淀可能知道匈牙利语和乌克兰语，这使这项运动变得有趣。 活动ID为F_ego. 图9.在带有Prikormka恶