来自美国网络安全企业PrrofPoint公司的研究人员报告称,中国TA459 APT已经利用CVE-2017-0199安全漏洞对多家金融企业实施攻击。
ProofPoint公司的安全研究人员发布了一份针对TA459 APT间谍活动的详尽分析报告,确认其已经利用CVE-2017-0199首个Microsoft Office RTF漏洞对多家主要金融企业的分析师进行攻击。报告还提到TA459 APT组织利用此项漏洞对俄罗斯及白俄罗斯的多个军事及航空航天机构实施入侵。
ProofPoint公司在发布的分析报告中表示正在追踪相关攻击方,且认定相关恶意活动源自中国TA459间谍活动组织,该组织至少自2013年以来就一直处于活跃状态,经常使用NetTraveler、PlugX、Saker、Netbot、DarkStRat以及ZeroT等多种恶意软件,主要面向包括俄罗斯、白俄罗斯以及蒙古等中亚国家各组织机构实施间谍入侵。
TA459 APT组织的此轮攻击活动则明显针对电讯行业分析师,而且根据ProofPoint公司研究人员们的推测,此番入侵很可能属于2015年夏季曾经出现的恶意活动的后续计划。当时这起攻击活动被研究人员认为是一起针对俄罗斯电信及军事机构的间谍活动。
TA459 APT组织采用鱼叉式钓鱼攻击
TA459 APT组织通过鱼叉式钓鱼邮件利用武器化Word文档以触发CVE-2017-0199漏洞。事实上,黑客们在微软发布相关修复补丁的数天之后即开始利用这一Office安全漏洞。
当受害者打开诱饵文件时,其将自动下载一个被伪装为RTF文档的HTML应用(简称HTA)文件。此种攻击手段利用PowerShell下载并执行一套脚本,从而获取并运行ZeroT下载器。攻击者利用CVE-2017-0199通过名为0721.doc的Microsoft Word文档对目标展开攻击。
图:Word文档0721.doc
该文档使用这个逻辑漏洞首次从hxxp://122.9.52[.]215/news/power.rtf下载文件power.rtf。有效载荷实际上是一个HTML应用文件(HTA文件),并非RTF文件。
图:漏洞文档下载的首个脚本为HTA文件
从上图可以看出,HTA的VBScript更改窗口大小和位置,之后利用PowerShell下载另一个脚本:power.ps1。这是一个下载并运行ZeroT 有效载荷cgi.exe的PowerShell脚本。
图:漏洞文档下载的第二个脚本为PowerShell脚本
图:网络流量显示文档下载有效载荷
Proofpoint公司同时注意到此次使用的ZeroT最新版本已有所改进,包括使用合法的McAfee程序以进行旁侧加载,而非继续使用原本的Norman Safeground程序。
Proofpoint公司认为自上一次分析以来,该攻击集团已经对ZeroT进行了渐进式改进。
尽管其仍继续使用RAR SFX格式作为初始有效载荷,但ZeroT现在开始使用一个名为mcut.exe的合法McAfee实用程序,而非继续沿用原本的Norman Safeground AS作为旁侧加载途径。名为Mctl.mui的加密ZeroT载荷将在内存中进行解码,其显示出与此前类似的经篡改PE标题头,且与此前分析的ZeroT有效载荷相比仅在代码层面作出小幅改动。
当ZeroT运行时,Proofpoint公司称观察到请求中使用的伪造用户代理从以下的:
Mozilla/6.0 (compatible; MSIE 10.0; Windows NT 6.2; Tzcdrnt/6.0)
更改为:
Mozilla/6.0 (compatible; MSIE 11.0; Windows NT 6.2)
因此删除了先前版本中出现的Tzcdrnt的字样。index.php的初始信标(Beacon)更改为index.txt,但是ZeroT仍使用静态密钥“(*^GF(9042&*”进行RC4加密响应。
图:ZeroT HTTP初始信标请求URL配置
接下来,ZeroT使用HTTP信标将被感染系统的相关信息传输到C&C服务器,所有文件都经过加密处理。之后,第二阶段的有效载荷仍被检索为Bitmap(BMP)图片,而BMP图片使用最低有效位(LSB)隐写术(Steganography)隐藏真实的有效载荷。这些图片在图像查看器中看似正常。
图:BMP图片,包含使用LSB隐写术隐藏的第二阶段有效载荷
第二阶段有效载荷是发送信标到C&C服务器www[.]icefirebest[.]com和www[.]icekkk[.]net的PlugX。
图:ZeroT和PlugX HTTP网络活动
另一个有趣的ZeroT样本(SHA256 bc2246813d7267608e1a80a04dac32da9115a15b1550b0c4842b9d6e2e7de374)包含在RAR SFX存档中的可执行文件0228.exe和诱饵文件0228.doc中。
Proofpoint认为,捆绑诱饵文件是该组织的常用策略。执行恶意有效载荷时,RAR SFX 指令用于显示诱饵。
图:诱饵文件
图:诱饵文件内容的可能来源
攻击指示器(Indicators of Compromise)攻击指示器(Indicators of Compromise)-- 相关Proofpoint公司报告称,TA459 APT组织曾在上一波攻击活动当中同时使用PlugX外加一种被命名为PCrat/Ghost的木马。
安全专家们向相关多国组织机构发出警告,提醒其保持警惕并强调攻击者在此类网络间谍活动当中开始采用更为复杂的恶意软件。
Proofpoint公司总结表示像TA459这样的黑客组织一直在进行持续攻击,且利用较为传统的恶意软件威胁、网络钓鱼活动以及社交工程等手段瞄准从事特定研究工作并拥有专业知识的相关专家,这一切都令目标组织机构的安全状况呈现出更为复杂的态势。
04
E安全要闻简讯
2017年5月
01
FBI局长答参议员提问:俄罗斯仍是对美威胁最大的国家
02
如何在学校进行黑客技术教学和开放教育
03
中国301个僵尸网络C&C服务器被Shodan搜出 新型爬虫功不可没
04
当前信息安全意识教育体系之我见
05
微信群大量被收购 神秘不卡群庄家可日入十万
06
教育部办公厅印发《2017年教育信息化工作要点》
07
大数据新机遇,教育系统将建设完整安全体系
08
美国高校的网络安全教育难跟时代步伐
09
车联网安全:如果防御车辆犯罪
10
【漏洞预警】WordPress 4.6远程代码执行漏洞,附Poc
11
黑客针对谷歌在线文档Docs发起大规模钓鱼攻击
12
还有什么是不能破解的?UHD蓝光碟疑似已遭盗版者破解
13
美安全企业称中国TA459 APT组织利用微软漏洞攻击中亚国家
14
印度1.35亿公民身份信息和1亿条银行账户信息被泄露