疑似某芬兰背景黑客组织借疫情对欧亚地区展开攻击

背景

近日安恒信息威胁情报中心在日常网络安全巡检过程中捕获了一个恶意LNK文件，通过关联分析，锁定了一个具有芬兰背景的黑客组织，该组织主要攻击带有域控机制的机构（如大型公司）。根据已知信息，已有俄罗斯，乌克兰等地多家企业被攻陷。

该黑客组织自研的特马通过主机信息判断和字符的拼接、解密等操作，具有较强的免杀特性。

一

样本分析

样本在攻击过程中主要采用7z加密窃密的数据（T1560.002），并将其回传到各种支持远程挂载的网盘，同时后续载荷的下发也是通过定期检测下载网盘指定文件夹实现。

第一阶段

一个lnk文件作为初始诱饵，以疫情为内容，采用俄语内容，因此判断本次捕捉到的攻击针对俄罗斯：

执行lnk文件后会上传本地基本信息（systeminfo获取），然后从webdav.mydrive.ch网盘下载后续载荷，下载的载荷是一个dll，使用rundll32加载后调用rFUKXvMGdgzx函数：

第二阶段

主要负责载荷的释放和权限维持。

内部字符串加密并采用base64存放：

第三阶段

此阶段分为三个子组件，分别使用三方crul程序、SMB协议、HTTP协议实现了利用网盘的信息回传，载荷下发等基本功能。

- 三方程序Curl组件

01

一个启动器，由第二阶段的定时任务启动，主要用来解密执行下一阶段载荷：

对计算机域名和用户名长度进行了判断，不在域中则不进行操作：

该阶段还采用了多级文本拼接解密处理技术，并且由于沙箱一般是非域环境，使得查杀率非常之低：

解密出一段powershell，使用SecureString解密同路径下xml的文件内容，很明显可以看到揭秘出来的东西应该是一段powershell：

 02

第三段powershell，使用第三方程序curl实现了基本信息获取、指令执行等功能。

时区判断，不对西8区（美国）和东1区（欧洲）的电脑进行操作，目的是避开美国和黑客所在欧洲国家：

检查是否在虚拟机中：

重命名本地名称是”7za.exe”和”curl.exe”的文件：

释放SMB协议组件和HTTP协议组件：

获取基本信息并上传：

指令拉取和执行：

- SMB协议组件

该组件被释放到路径：“${env:appdata}\Microsoft\WinUpdate”。

同样的套路，dll解密powershell，然后powershell解密同路径下的某个文件，最终执行执行powershell，因此只讨论最终解密后的powershell：

这个最终的powershell脚本和上面的基本相似，但是使用了不同的协议，因此判断为为了兼容性而做的冗余系统：

- HTTP协议组件

该组件被释放到路径：“${env:appdata}\WCMSVC”。

套路相同，该组件同样最终执行powershell，实现数据回传和载荷拉取：

第四阶段

我们在其中的一个下发载荷用途的网盘上发现了一个针对俄罗斯某公司的攻击载荷，该载荷主要功能是进一步收集用信息，尤其是共享资源和域相关信息：

在搜集信息过程中，密码窃取部分使用了python脚本实现，该脚本使用“https://github.com/dashingsoft/pyarmor”进行混淆处理，确认是LaZagne Project最新版本密码恢复工具：

二

关联分析

我们统计了部分网盘信息，发现网盘提供商使用的语言包括法语、英语、德语等。

对网盘的登录IP做分析，确认早期的一些IP都归属于芬兰：

芬兰语属于乌拉尔语系芬兰-乌戈尔语族，是一种黏着语。由于和其他欧洲语言的语系都不同，词根和绝大部分其他欧洲语言差别很大，所以经常被欧美人认为是比较难学的语言。也因为如此，以芬兰语为母语的人民往往会学习两三种其它语言，以利交流。综上我们判断该黑客组织归属于芬兰。

进一步追踪，网盘中所有关联到的邮箱域名全部都解析到了45.55.104.203这个IP，观察该IP的活动记录，攻击实施可能是从2020年3月25日左右开始：

本轮攻击时间应该是2020年6月15日左右：

相关人员使用的StackExchande账号如下，名叫Charles：

三

结束语

针对该组织背后的真实身份及进一步的动向，安恒威胁情报中心会进行持续关注。

安恒明御APT攻击（网络战）预警平台能够发现已知或未知威胁，平台的实时监控能力能够捕获并分析邮件附件投递的文档或程序的威胁性，并能够对邮件投递、漏洞利用、安装植入、回连控制等各个阶段关联的木马等恶意样本进行强有力的监测。检测能力完整覆盖整个APT攻击链，有效发现APT攻击、未知威胁及用户关心的网络安全事件。

IOC

长期招聘WEB/二进制安全研究员

职位描述：

1、负责公司检测类/防护类产品的策略维护（如漏洞扫描器、APT、入侵检测、工控物联网、WAF等）

2、负责跟进热门安全事件、最新漏洞的分析，并编写分析报告或poc代码等

职位要求：

1、熟悉安全漏洞原理，具备快速的漏洞定位分析能力；

2、至少熟悉一门脚本编程语言，能快速完成POC代码编写；

3、有漏洞挖掘、病毒木马分析、威胁情报挖掘、物联网工控设备漏洞分析挖掘等工作经验的优先。

联系方式：

Zionlab@dbappsecurity.com.cn

推荐入职除有丰厚的伯乐奖之外，赠送团队精美定制Polo衫一件

注 //定制Polo衫设计图