疑似Hades组织以军事题材针对乌克兰发起攻击
点击蓝字
关注我们
安恒威胁情报中心
疑似Hades组织以军事题材针对乌克兰发起攻击
- by 猎影实验室 -
No.1背景
Hades一个充满神秘色彩的APT组织,该组织因为2017年12月22日针对韩国平昌冬奥会的攻击活动被首次发现,后来卡巴斯基将该次事件的攻击组织命名为Hades。但是该攻击组织的归属问题却一直未有明确定论。一方面由于该组织在攻击事件中使用的破坏性恶意代码(Olympic Destroyer)与朝鲜Lazarus组织使用的恶意代码存在相似性。而另一方面则有部分美国媒体认为该事件的幕后黑手是俄罗斯情报机构,他们故意模仿了其他组织的攻击手法以制造虚假flag迷惑安全人员。
No.2事件分析
近日,安恒威胁情报中心猎影实验室捕获到一个恶意攻击样本,通过对样本进行溯源分析我们发现该样本疑似Hades组织针对乌克兰的又一次攻击行动。
样本详细信息如下所示:
样本名称 | Про внесення змін.doc |
样本类型 | Microsoft Word 文档 (.doc) |
MD5 | 0c6f6079cf6959fb55141c49b62f7308 |
打开诱饵文档页面显示空白,需要启动宏代码才会显示文档内容:
诱饵内容与乌克兰军事内容相关:
该诱饵文档内容实际来源于一个国外的网站(uteka.ua),该网站专门面向经理和会计师等领域人员提供有关未解决和有争议问题的实用信息。原文内容如下所示:
宏代码经过混淆处理,解混淆后会首先修改文档属性显示诱饵内容,然后创建desktop.ini与C:\ProgramData\pagefile.dll文件:
pagefile.dll文件是.NET平台后门程序,由宏代码通过RegSvcs.exe加载执行,然后与C2服务器(mopub[.]space)进行通讯。
并且可以通过Referer进行数据传递。
该DLL程序被做了混淆处理,做去混淆处理后可以看出一些内容。
No.3关联分析
通过安恒威胁情报中心平台对本次样本进行关联分析,我们发现该样本与Hades组织存在较强关联。本次样本的攻击目标、宏代码相似度等方面均与猎影实验室此前发布的“魔鼠行动(OPERATION TRICKYMOUSE)-以新冠病毒为主题攻击乌克兰”相吻合。
两次事件都是针对乌克兰作为攻击目标:
宏代码在数据初始化、解密算法、执行功能等方面也基本相同:
两个样本都在代码起始位置使用相同方式通过函数初始化要保存到本地的文件数据:
然后使用相同方式初始化变量,同时解密函数也完全相同:
最后,在主函数中代码的功能逻辑也完全相同:
之前样本:
No.4防御建议
安恒APT攻击预警平台能够发现已知或未知威胁,平台能实时监控、捕获和分析恶意文件或程序的威胁性,并能够对邮件投递、漏洞利用、安装植入、回连控制等各个阶段关联的木马等恶意样本进行强有力的监测。
同时,平台根据双向流量分析、智能的机器学习、高效的沙箱动态分析、丰富的特征库、全面的检测策略、海量的威胁情报等,对网络流量进行深度分析。检测能力完整覆盖整个APT攻击链,有效发现APT攻击、未知威胁及用户关心的网络安全事件。
安恒主机卫士EDR通过“平台+端”分布式部署,“进程阻断+诱饵引擎”双引擎防御已知及未知类型威胁。
No.5IOC
mopub[.]space
0c6f6079cf6959fb55141c49b62f7308
bc9f3ca5f2ff492e8c82c1c6cb244844
No.6参考链接
《魔鼠行动(OPERATION TRICKYMOUSE)-以新冠病毒为主题攻击乌克兰》
https://ti.dbappsecurity.com.cn/blog/articles/2020/02/25/operation-trickymouse/
诱饵文档内容原文
https://uteka.ua/ua/publication/commerce-12-zarplaty-i-kadry-3-izmeneniya-v-voinskix-obyazannostyax-i-vedenii-voinskogo-ucheta
招聘 信息
岗位:二进制安全研究员
岗位职责:
* 针对海量威胁数据的挖掘,寻找APT攻击事件;
* 负责热门的安全事件、最新漏洞的分析,编写响应的分析报告;
* 研究新的检测方法,完善产品的检测能力;
* 协助内部威胁分析平台建设等。
任职要求:
* 熟悉windows、Linux等平台调试手段,熟练使用逆向分析工具(如:IDA、WinDbg、OllyDbg等);
* 熟悉C/C++、汇编语言,至少熟悉一门脚本编程语言,能快速完成POC代码编写;
* 熟悉病毒、木马通信原理和常用技术以及常见加密算法等;
* 了解二进制安全漏洞原理,具备独立漏洞分析能力;
* 了解yara、snort等类似策略编写;
* 具备大数据挖掘能力,能够快速对数据进行关联分析;
* 思路清晰,善于主动思考,有创新、能独立分析和解决问题,具有良好的沟通能力和团队合作精神。
加分项:
* 具有信息安全公司实习、从业经验;
* 熟悉APT攻击攻防、威胁狩猎,具备Sandbox开发、杀软类绕过研究、加壳工具开发经验;
* 具备多平台恶意代码分析经验(Linux、Android、macOS等);
* 有二进制相关漏洞CVE编号;
* 熟悉Web攻防,了解红蓝对抗相关工具使用以及内部原理,有渗透相关经验;
* 具备机器学习的相关实战经验。
投递邮箱:
xiaoyi.tu@dbappsecurity.com.cn
安恒信息威胁情报中心
情报云脑.智能安全
平台地址:https://ti.dbappsecurity.com.cn/