记乌克兰一起“使用物联网设备为跳板”的攻击活动
近期,安恒威胁情报中心监测到一起通过rtf文档漏洞投递恶意文档的攻击活动,猎影实验室对之进行了分析,该活动攻击目标地区似为乌克兰。在攻击活动中发现攻击者使用物联网设备(华硕路由设备)作为C2回连及数据存储,攻击者似乎对Discord(一款专为电子游戏社区设计的免费网络即时通讯软件)和Telegram(即时通讯软件)的数据感兴趣,通过关联分析,基本确信该活动的始作俑者为乌克兰一名大学生。
分析
恶意文档名为“Питання для КІТ-416В.rtf”(关于KIT-416B的问题),并且利用了CVE-2017-11882漏洞。
打开文档后会从ghostspirit.ddns[.]net(77.122.11[.]153)的6666端口下载恶意程序,并释放伪装为文件名msword.exe和msexcel.exe的程序,并且图标也进行了相应的伪装。
这两个exe程序为python通过PyInstaller转成exe的文件,msexcel.exe实际的名称为dealer,
并且都使用了PyArmor进行混淆加密,可以保护Python脚本的二进制代码不被泄露。
从python打包信息可以看出,打包的机器名为“deus”。
接着我们再观察一下样本行为,发现样本会进行ftp操作,收集数据并上传,账号密码为covid / coronavirus
通过登录访问,发现covid目录下已经存在一些数据,
有一个discord目录,和其它压缩包,discord目录中的文件并没有什么实质性内容,
这里的discord似为一款专为电子游戏社区设计的免费网络即时通讯软件。
Covid目录下的其它压缩包,包含Telegram(即时通讯软件)相关的数据,tdata目录存储了Telegram的一些缓存内容。
其中一个压缩包比较特殊,看着是linux上的discord数据,并且需要关注的是这台机器的用户名为“deus”,在前面恶意python打包程序里出现过,是打包程序机器名称。可能是攻击者拿自己的电脑做测试留下的数据。
接着看这个压缩包内leveldb内的ldb文件内容,ldb存储了discord用户相关的数据,然后惊奇的发现了一个邮箱地址“bogdan993000@gmail[.]com”,
通过查找,发现了一位名为Bogdan Shchogolev(Derivability)的github,
这个github上还fork了一个python编写的名为Telegram_Stealer的项目,
该项目和FTP的数据内容相符合,另外该用户还在github上创建了名为“dealer”的项目,即为Discord session stealer,和前文msexcel.exe功能相符。
那么这个github用户基本可以确定就是攻击者。并且是乌克兰一所高校的大学生。
另外回连IP(归属地为乌克兰)上页面为AiCloud,似为华硕路由设备。此处并未验证设备是否原本就为这位攻击者所有。
防御建议与总结
企业应当注重培养人员安全意识,不轻易打开未知来源的邮件及附件,不随意点击未知链接,不随意打开未验证可靠来源的文档。及时为信息系统打好补丁。
部署安恒APT预警平台,安恒APT预警平台能够发现已知或未知的威胁,APT预警平台的实时监控能力能够捕获并分析邮件附件投递文档或程序的威胁性,并能够对邮件投递,漏洞利用、安装植入、回连控制等各个阶段做强有力的监测。结合安恒威胁情报系统,可将国内外的威胁数据进行汇总,并分析整个攻击演进和联合预警。
猎影实验室将持续关注网络安全动态。
IOC
38148e96e9ae5d6b9a4a6cdf2caccfe8
d88be613dc2f7cd14521aeebecfae2a8
89377fbb483f85f0f1a96e87a21245e6
ghostspirit.ddns[.]net
77.122.11[.]153
声明
本文仅限技术研究与讨论,严禁用于非法用途。由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,安恒信息以及文章作者不为此承担任何责任。安恒信息拥有对此文章的修改和解释权,未经允许不得修改、增减内容,不得以任何方式将其用于商业目的。
团队招聘
招聘二进制安全研究员
职位描述:
1、在日常可疑文件分析的基础,进行数据挖掘,寻找APT攻击事件;
2、分析客户反馈的可疑文件,编写分析报告,提供解决方案等;
3、负责热门安全事件、最新漏洞的分析,编写分析报告或poc代码等
4、研究新的检测方法,维护和完善APT检测等产品策略
5、协助内部威胁分析平台建设等
职位要求:
1、熟悉windows、Linux上调试手段,能够熟练使用常用逆向分析工具(IDA、WinDbg、OD等);
2、熟悉C/C++、汇编语言,至少熟悉一门脚本编程语言,能快速完成POC代码编写;
3、熟悉病毒、木马通信原理和常用技术以及常见加密算法等;
4、熟悉安全漏洞原理,有独立文档漏洞分析能力;
5、至少1年以上逆向分析、安全研究相关工作经验,能力优先不受工作年限限制;
6、具备大数据挖掘能力,对数据极度敏感,能够快速对数据进行关联分析;
7、思路清晰,善于主动思考,有创新、能独立分析和解决问题,具有良好的沟通能力和团队合作精神;
8、有漏洞分析、病毒木马分析、Web攻防、威胁情报挖掘、反APT攻击、机器学习相关、IOT、ICS等工作经验的优先。
联系方式:
xiaoyi.tu@dbappsecurity.com.cn