疑似俄罗斯黑客组织对全球贸易行业展开攻击
近期,安恒威胁情报中心Zionlab团队通过明御APT预警平台再次捕获多起针对贸易运输行业的攻击行为,投递的载荷主要为最新版的商业窃密木马Hawkeye。
Hawkeye是一款针对Windows平台的商业窃密木马,经过多年发展该木马已经发布第10代版本,具备稳定快速的数据传输能力。木马作者通过公开访问的互联网地址对外提供了Maas(恶意软件即服务)购买渠道,简单易用且危害十分巨大。
通过技术手段发现全球多个国家和地区的港口和贸易机构被攻陷。经过追溯,推测实施攻击的组织位于俄罗斯西部,成员分布在三个时区。
垃圾邮件投递分析
主题分析
攻击使用的钓鱼邮件主题除了贸易相关术语外还涉及到疫情热点:
投递载荷分析
对该系列样本进行统计,发现投递的诱饵主要是利用CVE-2017-11882的RTF类文档。通过内存特征提取,判断为最新版第十代Hawkeye:
投递时间分析(以星期为单位)
针对APT平台近几个月内聚类的相关诱饵文档做时间分布分析,发现攻击基本都集中在周一到周五,休息日的攻击跟工作日频率存在明显差异:
投递时间分析(以小时为单位)
进一步将APT平台捕获的攻击事件发生时间映射到0时区:
根据上图和攻击事件在单周内呈现工作日攻击频率远高于休息日的现象,我们做如下假设:
1.攻击者以公司为单位,不止一人;
2.攻击者工作时间为早9晚6。
根据上述假设进行推导,我们认为0时区15点为攻击者18点,那么攻击者所在位置是UTC+3区域,该推导使得0时区4点的攻击高峰不成立。我们再次进行推导,如果0时区4点为攻击者9点,那么攻击者所在位置是UTC+5时区,同样0时区15点攻击停止无法成立。
总结上面的结果,再次假设:
1.攻击者以公司为单位,不止一人;
2.攻击者工作时间为早9晚6;
3.攻击者分布在多个时区,且至少跨越了UTC+3到UTC+5时区。
根据第二次假设,意味着工作时间9点到18点映射到0时区是4点到15点,符合上面假设的是俄罗斯西部。
投递时间分析(以年为单位)
继续以年为单位对APT平台的数据进行分析,发现部分节假日时间段攻击次数明显减少,将上述统计信息和欧洲国家的法定节假日、法定公司放假规定以及各地风俗进行匹配,发现和俄罗斯的时间基本吻合,下图为中国驻俄罗斯大使馆经纪商务处的劳动管理法条例:
在2020年1月1日到1月21日使用和此组织相同手法的攻击事件次数为0。俄罗斯新年假期为1日到7日,同时根据俄罗斯法律,员工带薪年假总数为28天,休假形式由所在公司提前一年统一安排,但每次休假时间不得少于14天。新年假期和公司统一安排的年假相加,刚好覆盖了1月1日到1月21日的时间段,再次证明该组织很可能是一家实体公司。
投递相关域名分析
伪造邮件使用的域名遍布全球,甚至还使用未出售的域名进行投递。
对伪造邮件使用的域名进行分析,发现这些域名基本上是没设置过spf记录的,使用此类域名进行邮件伪造无疑增加了投递的成功率。
投递相关IP分析
针对该组织邮件伪造使用的IP进行追踪,发现大部分都是购买的共享服务器或免费服务器,目的是节约成本,也体现了日常攻击范围广,攻击目标多的特点:
使用免费的共享服务器进行投放:
上述手段提高了匿名性,推测该组织是利益驱动的商业团伙,内部分工明确。
木马分析
第一阶段:
使用批量生成的RTF文档,结合诱导性质的邮件标题进行投递,可以看到内置了公式编辑器对象,推测利用的漏洞为CVE-2017-11882 :
通过威胁情报中心进行行为分析,被标记为CVE-2017-11882:
在关键位置下断,成功获取到溢出后的行为,从网络指定位置下载第二阶段载荷并执行:
第二阶段
执行的最终载荷为Hawkeye,版本是10.0,确认为最新版:
该商业木马购买后会得到一个可以任意配置并一键生成诱饵文档和传播的生成器:
后台分析
回传邮箱分析
通常投递Hawkeye的组织都会先用免费匿名邮箱如“cock.li”作为一级跳板,并设置N级自动转发,提高追溯门槛。但是该组织却选择使用付费商业匿名邮箱“privateemail”,该匿名邮箱提供自定义MX记录实现邮件转发的服务。回传邮箱:
wetground@p*****.com |
gavin@j*****.com |
回传邮箱相关域名分析
相关域名及DNS记录:
通过对DNS记录分析,发现该组织购买域名后其实并没有关联服务器或网站,而是直接实现邮件的转发至privateemail.com,且购买的域名服务提供商基本都是namecheap.com。
在登录邮箱后台后确认了存在常见的二次转发:
回传邮件及受害人分析
基于当前数据分析,受害者分布在至少33个国家,高频受害统计如下:
根据邮件内容分析,攻击目标主要涉及贸易运输等行业:
组织情报分析
攻击团伙画像
综合以上分析,总结攻击团伙可能具有如下特征:
1.以利益为驱动;
2.主要目标是贸易运输等行业,对港口等机构专业术语有深入了解;
3.主要使用MaaS(恶意软件即服务)的商业窃密木马进行攻击;
4.样本投放阶段主要使用低成本或0成本的手段进行广撒网;
5.注重信息回传的稳定性和匿名性,使用了付费邮箱服务;
6.组织成员分布在东3区至东5区之间。
根据画像此类组织很可能存在的最终目的是获取利益,变现手段是向更高级的利益集团,如同行业巨头,提供商业数据,如货物流通情况,组织成员一般由多个攻击实施人员和一个跟高级利益集团存在关联的变现人组成。这样的组织存在的意义是有效减少了高级利益集团被追踪的风险。
根据目前掌握的线索推测,该组织是一个位于俄罗斯西部以利益为驱动的商业犯罪组织,同时也很有可能和更高级别的利益集团存在一定联系。
结束语
针对该组织背后的真实身份及进一步的动向,安恒威胁情报中心会进行持续关注。
安恒明御APT攻击(网络战)预警平台能够发现已知或未知威胁,平台的实时监控能力能够捕获并分析邮件附件投递的文档或程序的威胁性,并能够对邮件投递、漏洞利用、安装植入、回连控制等各个阶段关联的木马等恶意样本进行强有力的监测。检测能力完整覆盖整个APT攻击链,有效发现APT攻击、未知威胁及用户关心的网络安全事件。
IOC
诱饵文档 | 58e1438c8f83fd8e85271f8f276e9929 |
Hawkeye | 65d7bed6ab07dc53d48e5dd5d13898ff |
声明
本文仅限技术研究与讨论,严禁用于非法用途。由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,安恒信息以及文章作者不为此承担任何责任。安恒信息拥有对此文章的修改和解释权,未经允许不得修改、增减内容,不得以任何方式将其用于商业目的。
团队招聘
长期招聘WEB/二进制安全研究员
职位描述:
1、负责公司检测类产品的策略维护(如漏洞扫描器、APT、入侵检测、工控物联网等,任意一种或多种)
2、负责跟进热门安全事件、最新漏洞的分析,并编写分析报告或poc代码等
职位要求:
1、熟悉安全漏洞原理,具备快速的漏洞定位分析能力;
2、至少熟悉一门脚本编程语言,能快速完成POC代码编写;
3、有漏洞挖掘、病毒木马分析、威胁情报挖掘、物联网工控设备漏洞分析挖掘等工作经验的优先。
联系方式:
Zionlab@dbappsecurity.com.cn
往期精选
围观
报告|1-3月全国远程教育在线系统访问量暴增,累计遭受9600多万次网络攻击
热文
黑暗标题(DarkCaption)--地缘政治媒体情报刺探者
热文
新版《中国网络安全行业全景图》发布,安恒信息安全能力覆盖超7成一级安全领域