深度剖析攻擊目標遍及全世界的組織——Sofacy

來自專欄嘶吼RoarTalk

概覽

Sofacy仍然是一個持久性的全球威脅。Unit42和其他研究機構發現2018年上半年該威脅組織攻擊的目標遍及全世界，主要攻擊目標為南美和歐洲的政府、外交和戰略組織。

根據2018年2-3月的最新研究，研究人員發現sofacy組織開始使用一個不太著名的攻擊的工具——Zebrocy。Zebrocy是通過含有宏的office文檔和其他簡單的可執行文件附件進行釣魚攻擊的。另一個活動是與前兩個活動一致的，目標是與外交事務相關的政府組織。而且目標位於不同的地緣政治區域。

研究人員發現使用Zebrocy的攻擊者會發送釣魚郵件給指數級的用戶。目標用戶並沒有明顯的特點，而且郵箱地址很容易可以通過網頁搜索引擎找到。這與Sofacy組織的其他攻擊活動形成明顯對比，因為sofacy組織的攻擊活動一般都是有針對性的。

除了這些以外，研究人員還發現sofacy組織利用McAfee之前公布的Dynamic Data Exchange (DDE)漏洞利用技術。研究人員發現sofacy組織的DDE漏洞利用與之前公布的payload有所不同。其中一個DDE攻擊實例是傳播和安裝Zebrocy，另一個實例是傳播一個開源的滲透測試工具Koadic。

與之前攻擊的關係

2月份的報告中，研究人員發現Sofacy組織使用含有惡意宏大office文檔來傳播SofacyCarberp payload給多個政府實體。報告中還描述了Sofacy使用混淆技術來隱藏基礎設施，比如使用隨機的註冊商和服務提供商。而且Sofacy組織在每個域名里都有一個web頁面，這是很奇怪的，因為攻擊者幾乎不會在C2上建議真實的頁面。更奇怪的是，每個web頁面都有相同的內容。基於該報告的內容，研究人員發現另一個含有相同內容的域名supservermgr[.]com。該域名是2017年12月20日註冊的，解析的地址是92.222.136.105，該IP地址是一個Sofacy組織常用的著名的VPS提供商。基於對與域名supservermgr[.]com相關的惡意軟體樣本的靜態和動態分析，研究人員發現：

樣本d697160ae嘗試與位於hxxp://supservermgr[.]com/sys/upd/pageupd.php的C2通信來提取Zebrocy AutoIT下載器。因為該域名已經不再使用了，所以該活動無法完成。但可以判斷出這是用於C2通信的硬編碼的用戶代理：

Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322; .NET CLR 2.0.50727; .NET CLR 3.0.04506.30; .NET CLR 3.0.04506.648; InfoPath.1)

研究人員使用AutoFocus將用戶代理數據集擴展到3個Zebrocy樣本，同時發現了位於185.25.51[.]198 和185.25.50[.]93的基礎設施。截止目前，研究人員一共發現和收集了將近30個和原始樣本相關的Zebrocy樣本和相關的C2域名。許多收集的樣本數Zobrocy下載器工具的C++變種。另外，研究人員還發現了一個完全不同的payload，以及ESET報告中提到的最後一階段payload的C2的IP地址（185.25.50[.]93）。

下圖是研究人員分析的相關關係分析圖：

這並不是所有收集到的Zobrocy和Koadic樣本的綜合圖，只包含了相關分析的一部分。

從C2 IP地址185.25.50[.]93，研究人員發現Zobrocy使用的另一個硬編碼的用戶代理：

Mozilla/5.0 (Windows NT 6.1; WOW64) WinHttp/1.6.3.8 (WinHTTP/5.1) like Gecko

研究人員發現了許多使用該用戶代理工具中亞國家外交事務部的Zobrocy樣本。其中一個樣本將該用戶代理與之前的用戶代理相結合：

Mozilla v5.1 (Windows NT 6.1; rv:6.0.1) Gecko/20100101 Firefox/6.0.1

使用兩個不同的用戶代理字元串的惡意軟體樣本是不常見的。通過對該工具進行分析，研究人員發現第二個用戶代理字元串是從樣本cba5ab65a提取的。Mozilla v5.1的用戶代理有超過40個額外的Zebrocy樣本，主要攻擊中亞國家。

通過對獨特的用戶代理字元串的使用發現，之前攻擊者只是使用Mozilla/5.0用戶代理，自2017年中開始這三個用戶代理字元串都被Zebrocy用做C2通信的工具。

DDE文檔

在分析樣本25f0d1cbc…時，研究人員利用IP為220.158.216[.]127的C2來收集其他的Zebrocy樣本和武器化的文檔。該文檔（85da72c7d…）攻擊的是南美處理外交事務的政府組織。該攻擊使用DDE來提取payload，並安裝在受害者的主機上。本攻擊中還使用了誘餌文檔，文檔內容是公開聯合國關於烏茲別克共和國的官方文檔。

該武器化的文檔的創建者將DDE指令添加到誘餌文件的文章末尾。但文檔在word中打開後，指令並不會馬上可見，因為word默認情況下是不顯示這些區域的內容的。下圖可以看到，高亮這些含有DDE指令的行，DDE指令的內容也不會顯示。

啟用切換區域代碼（Toggle Field Codes）就可以看到作者將指令的大小設置為1 font，而且顏色是白色的。字體顏色是白色就是為了隱藏武器化的文檔的內容，這也是Sofacy組織在惡意宏攻擊中常用的技術。

DDE指令會在受害者主機上運行下面的指令，並從遠程的伺服器上下載和執行payload：

在分析中，研究人員觀察了DDE下載和Zebrocy AutoIt下載器執行的情況，下載器會從220.158.216[.]127處下載payload。DDE指令包含一個從未運行的命令，也就是說這是一個用於傳播的文檔的初期版本。下面是一些未使用的命令，從中研究人員發現了Sofacy下載和執行powershell腳本的基礎設施：

這些未使用的命令看起來和之前的攻擊也是相關的，尤其是2017年11月的攻擊。該攻擊中使用的payload就是叫做SofacyCarberp的DDE文檔，這與2018年2月攻擊中的Zebrocy下載器傳播的文檔是不同的。

115fd8c61…是研究人員通過C2 86.106.131[.]177發現的另一個Zebrocy樣本。樣本的目標同樣的中亞國家組織，有趣的是其中一個武器化的文檔也使用了DDE，並且含有一個非Zebrocy的payload。該payload最終會變成一個開源的滲透測試工具集——Koadic，該工具與Metasploit和PowerShell Empire類似，而求索免費的。

RTF文件是非常小的，只有264位元組，但可以明確的是：

上面的內容使用word中的DDE功能來預計女性powershell腳本來從遠程伺服器下載Koadic payload，並在系統中保存為可執行文件，之後再執行。

結論

2018年，Sofacy組織的攻擊活動仍在繼續，而且該組織對同樣的攻擊目標使用不同的工具集執行並行攻擊。與當前攻擊相關的Zebrocy工具是基於開發者選擇的編程語言來構造不同的攻擊形式。

研究人員發現Zebrocy有Delphi, AutoIt, C++等不同編程語言的變種，這些不止是與其功能相關，還與一次攻擊中鏈接變種的次數相關。這些攻擊主要是通過魚叉式釣魚攻擊，當用戶載入了釣魚攻擊中的可執行文件附件，就可以利用前面描述的DDE攻擊技術了。

本文翻譯自：https://researchcenter.paloaltonetworks.com/2018/06/unit42-sofacy-groups-parallel-attacks/如若轉載，請註明原文地址： http://www.4hou.com/web/12021.html 更多內容請關注「嘶吼專業版」——Pro4hou

推薦閱讀：