一、发生了什么?
2018年3月,我们发现了一起正在进行的针对中亚国家数据中心的攻击行动,该行动自2017年秋季以来一直活跃。目标的选择使得这一行动特别重要,这意味着攻击者可以访问广泛的政府资源。我们相信这种访问被滥用,例如,通过在国家官方网站插入恶意脚本来进行水坑攻击。
运营者使用HyperBro特洛伊木马作为其最后一个阶段驻留在内存的远程管理工具(RAT)。这些模块的时间戳从2017年12月到2018年1月。反检测启动程序和解压程序使用了Metasploit的shikata_ga_nai编码器以及LZNT1压缩。
卡巴斯基实验室检测到了此行动中使用的不同部件,并作出以下判决:Trojan.Win32.Generic,Trojan-Downloader.Win32.Upatre和Backdoor.Win32.HyperBro。我们的情报报告服务提供了完整的技术报告,IoC和YARA规则(联系intelligence@kaspersky.com)。
二、谁是幕后推手?
跟据使用的工具和策略,我们将该行动归因于LuckyMouse,一个讲中文的攻击组织(也被称为Emissary Panda和APT27)。此外,C2域名update.iaacstudio [.] com在之前的攻击行动中使用过。本次行动中发现的工具,例如HyperBro Trojan,经常被各种讲中文的攻击者使用。关于Metasploit的shikata_ga_nai编码器,尽管适用于所有人,并且不能作为归因的依据,但我们知道这种编码器以前曾被LuckyMouse使用过。
包括中亚在内的政府实体也成为攻击者的目标。由于LuckyMouse持续对政府网站及相应日期进行维护,我们怀疑此行动的目的之一是通过数据中心访问网页并向其中注入JavaScript。
三、恶意软件如何传播?
针对数据中心的攻击中使用的初始感染向量尚不清楚。即使我们观察到LuckyMouse使用带有CVE-2017-118822(Microsoft Office公式编辑器,自2017年12月以来被讲中文的攻击者广泛使用)的武器化文档,我们也无法证明它们与此特定攻击有关。攻击者可能使用水坑来感染数据中心员工。
此攻击中使用的主要C2是bbs.sonypsps [.] com,它解析的IP地址属于乌克兰ISP网络,为使用固件版本6.34.4(2016年3月起)的Mikrotik路由器,SMBv1处于开启状态。我们怀疑此路由器是作为攻击的一部分被黑客入侵的,就是为了处理恶意软件的HTTP请求。Sonypsps [.] com域名在GoDaddy上于2017-05-05更新,有效期至2019-03-13。
2017年3月,Wikileaks发布了一个名为ChimayRed的影响Mikrotik的漏洞的详细信息。但是,根据文档,它不适用于高于6.30的固件版本。该路由器使用的版本为6.34。
从2017年11月中旬开始,受感染的数据中心中就有一些HyperBro的痕迹。此后不久,该国不同的用户开始被重定向到恶意域名update.iaacstudio [.]com。这些事件表明,感染HyperBro的数据中心和水坑攻击已连成一线。
四、恶意软件做了什么?
反检测阶段。不同的颜色显示三个释放的模块:合法应用程序(蓝色),启动程序(绿色)和解压缩程序与木马(红色)
初始模块会释放三种典型的讲中文攻击者的文件:用于DLL侧载的合法Symantec pcAnywhere(IntgStat.exe),.dll启动程序(pcalocalresloader.dll)和最后一个阶段的解压缩程序(thumb.db)。作为所有这些步骤的结果,最后阶段的木马被注入到svchost.exe进程的内存中。
使用臭名昭著的Metasploit的shikata_ga_nai编码器混淆的启动模块对于所有释放器都是一样的。生成的去混淆代码执行典型的侧加载:它将内存中的pcAnywhere镜像修改为入口点。修改后的代码跳回到解密器的第二个shikata_ga_nai迭代,但这次是作为白名单应用程序的一部分。
这个Metasploit的编码器混淆了启动程序代码的最后部分,启动代码解析必要的API并将thumb.db映射到同一进程的(pcAnywhere)内存中。映射的thumb.db中的第一条指令用于新的shikata_ga_nai迭代。解密的代码解析必要的API函数,使用LZNT1通过RtlCompressBuffer()解压嵌入的PE文件并将其映射到内存中。
五、水坑攻击
这些网站遭到入侵,将访问者重定向到ScanBox和BEeF。这些重定向是通过添加两个使用类似于Dean Edwards的工具混淆的恶意脚本来实现的。
遭到入侵的政府网页上的脚本
用户被重定向到BEeF实例https://google-updata [.] tk:443/hook.js以及一个空的ScanBox实例https://windows-updata [.] tk:443 /scanv1.8 /i/?1,响应了一小段JavaScript代码。
六、总结
LuckyMouse最近非常活跃。这个行动的TTP对于说中文的攻击者来说非常普遍,他们通常会为RAT(HyperBro)提供新的壳(本例中使用了shikata_ga_nai保护的启动程序和解压缩程序)。
最不寻常和有趣的一点是目标,因为国家数据中心是一种宝贵的数据来源,所以也可能被滥用来危害官方网站。另一个有趣的地方是Mikrotik路由器,我们认为它是专门因这次活动而被黑客入侵的。其原因并不清楚:通常讲中文的攻击者不会打扰自己的行动。也许这是一个新的隐身方法的第一步。
IoC指标
Droppers
22CBE2B0F1EF3F2B18B4C5AED6D7BB79
0D0320878946A73749111E6C94BF1525
Launcher
ac337bd5f6f18b8fe009e45d65a2b09b
HyperBro in-memory Trojan
04dece2662f648f619d9c0377a7ba7c0
Domains and IPs
bbs.sonypsps[.]com
update.iaacstudio[.]com
wh0am1.itbaydns[.]com
google-updata[.]tk
windows-updata[.]tk