APT29？針對美國智庫、非盈利和公共組織的網路攻擊分析

路透社最近報道有黑客組織對全球的多個目標發起了網路攻擊活動。微軟研究人員也追蹤到了同樣的攻擊活動，本文介紹該攻擊活動的相關細節。

研究人員發現攻擊活動主要攻擊公共機構和非政府組織，比如智庫、研究中心和教育機構，以及石油、天然氣、化工以及醫療行業的私營企業。

第三方安全研究人員分析稱該攻擊是APT 29（CozyBear）組織發起的攻擊活動，微軟稱APT 29為YTTRIUM。截止目前，微軟研究人員稱還沒有足夠的證據表明該攻擊活動來源於APT 29。

攻擊概覽

攻擊活動是2018年11月14日早晨開始的。攻擊目標主要是參與政策制定或在該區域有政治影響的機構。

釣魚攻擊在不同行業的分布

雖然目標分布在全球的不同行業，但主要分布在美國、尤其是華盛頓周邊，其次是歐洲、香港、印度和加拿大。

釣魚攻擊活動地理分布

魚叉式釣魚郵件模仿通過OneDrive分享的通知，偽裝成美國國務院的工作人員。如果接收者點擊了魚叉式釣魚攻擊郵件中的鏈接，就開始了攻擊的漏洞利用鏈，最終會導致植入DLL後門，使攻擊者可以遠程訪問接收者的機器。

攻擊鏈

攻擊活動分析

傳播

攻擊中使用的魚叉式釣魚攻擊郵件模仿通過OneDrive分享的嗯我那件共享通知。

郵件中含有一個合法但是被黑的第三方鏈接：

·hxxps://www.jmj.com/personal/nauerthn_state_gov/TUJE7QJl[random string]

攻擊者使用了隨機字元串來識別點擊了鏈接的不同目標。但所有該鏈接的變種都會將用戶重定向到相同的鏈接：

·hxxps://www.jmj.com/personal/nauerthn_state_gov/VFVKRTdRSm

安裝

LNK文件表示攻擊的第一階段。它會執行一個混淆的powershell命令，該命令會從LNK文件的offset 0x5e2be擴展16632位元組的位置提取出base64編碼的payload。

LNK文件中編碼的內容

編碼的payload是一個嚴重混淆的PowerShell腳本，會被解碼和執行：

解碼的第二個腳本

第二個腳本會從.LNK文件中提取出兩個額外的文件：

?ds7002.PDF (誘餌PDF文件)

?cyzfc.dat (1階段植入)

C2

PowerShell腳本會在路徑%AppData%Localcyzfc.dat下創建一個第一階段DLL文件cyzfc.dat。這是導出函數PointFunctionCall的64位DLL。

然後PowerShell腳本會通過調用rundll32.exe來執行cyzfc.dat。在連接第一階段C2伺服器pandorasong[.]com (95.216.59.92)後，cyzfc.dat開始通過以下步驟來安裝final payload：

1.為第二階段payload分配ReadWrite頁；

2.提取第二階段payload作為資源

3.將header融入到第一階段payload的0xEF位元組

4.將header加到資源從位元組0x12A開始的位置中；

5.用滾動XOR(ROR1)方法從key 0xC5開始解密第二階段payload。

第二階段payload是Cobalt Strike的一個實例，Cobalt Strike是一個商業滲透測試工具，會執行以下步驟：

1.以\.pipeMSSE--server格式定義一個本地命名的pipe，其中是0到9897之間的隨機數字；

2.連接到pipe，寫入全局數據size 0x3FE00；

3.通過命名的pipe實現後門：

·從pipe（最大0x3FE00位元組）到分配的緩存中讀取內容；

·XOR解碼payload到新的RW內存區域，這次使用的XOR key為：用0x7CC2885F每4個位元組進行簡單XOR

·將該區域變成RX；

·創建一個線程運行payload。

將全局數據寫入pipe實際上是寫的是一個第三方payload。Payload也是用相同的XOR演算法加密的，解密後，與Meterpreter header組成了一個PE文件，可以翻譯PE header中的指令，並將控制轉移到反射載入器上：

第三個payload最後會載入並連接到C2伺服器地址，其中C2伺服器地址是融入到PE文件的配置信息中的。配置信息在第3個payload運行時會XOR解密：

配置信息本身含有C2信息：

CobaltStrike是一個功能豐富的滲透測試工具，提供給遠程攻擊者廣泛的功能，包括提權、獲取用戶輸入、通過PowerShell或WMI執行任意命令、執行偵察、通過不同協議與C2伺服器通信、下載和安裝惡意軟體等。

Indicators of attack

Files (SHA-1)

?ds7002.ZIP: cd92f19d3ad4ec50f6d19652af010fe07dca55e1

?ds7002.LNK: e431261c63f94a174a1308defccc674dabbe3609

?ds7002.PDF (decoy PDF): 8e928c550e5d44fb31ef8b6f3df2e914acd66873

?cyzfc.dat (first-stage): 9858d5cb2a6614be3c48e33911bf9f7978b441bf

URLs

?hxxps://www.jmj[.]com/personal/nauerthn_state_gov/VFVKRTdRSm

C&C servers

?pandorasong[.]com (95.216.59.92) (first-stage C&C server)

安全團隊可以查找網路中相關的活動來確定是否被攻擊和入侵：

//Query 1: Events involving the DLL container

let fileHash = "9858d5cb2a6614be3c48e33911bf9f7978b441bf";

find in (FileCreationEvents, ProcessCreationEvents, MiscEvents,

RegistryEvents, NetworkCommunicationEvents, ImageLoadEvents)

where SHA1 == fileHash or InitiatingProcessSHA1 == fileHash

| where EventTime > ago(10d)

//Query 2: C&C connection

NetworkCommunicationEvents

| where EventTime > ago(10d)

| where RemoteUrl == "pandorasong.com"

//Query 3: Malicious PowerShell

ProcessCreationEvents

| where EventTime > ago(10d)

| where ProcessCommandLine contains

"-noni -ep bypass $zk=" JHB0Z3Q9MHgwMDA1ZTJiZTskdmNxPTB4MDAwNjIzYjY7JHRiPSJkczcwMDIubG5rIjtpZiAoLW5vdChUZXN0LVBhdGggJHRiKSl7JG9lPUdldC1DaGlsZEl0"

//Query 4: Malicious domain in default browser commandline

ProcessCreationEvents

| where EventTime > ago(10d)

| where ProcessCommandLine contains

"https://www.jmj.com/personal/nauerthn_state_gov"

//Query 5: Events involving the ZIP

let fileHash = "cd92f19d3ad4ec50f6d19652af010fe07dca55e1";

find in (FileCreationEvents, ProcessCreationEvents, MiscEvents,

RegistryEvents, NetworkCommunicationEvents, ImageLoadEvents)

where SHA1 == fileHash or InitiatingProcessSHA1 == fileHash

| where EventTime > ago(10d)

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！