在APT活動中發現了新的“Victory”后門
研究人員說,我們發現了一個正在秘密進行的監視行動,其目標是使用一個以前從未見過的惡意軟件來攻擊一個東南亞國家的政府。
據Check Point研究公司稱,該攻擊通過發送附加了惡意的Word文檔的魚叉式釣魚郵件,來獲得系統的初始訪問權限,同時也會利用已知的微軟Office安全漏洞。研究人員說,最值得注意的是,我們發現了一個新的后門文件,這個APT組織三年來一直在開發這個后門。
根據Check Point的分析,這些文件發給了一個東南亞政府的不同雇員的郵箱中。在某些情況下,這些電子郵件含有欺詐信息,看起來像是來自其他政府的相關文件。這些電子郵件的附件看起來像是合法的官方文件,但是實際上是一個后門文件,并會使用遠程模板技術從攻擊者的服務器上獲得要執行的代碼。
據分析,這些惡意文件會從不同的URL下載同一個模板,這些模板是嵌入了RoyalRoad weaponizer的.RTF文件,也被稱為8.t Dropper/RTF exploit builder。研究人員說,RoyalRoad是幾個APT的武器庫的一部分,如Tick、Tonto Team和TA428;它生成的武器化RTF文件實際上是利用了微軟方程編輯器的漏洞(CVE-2017-11882、CVE-2018-0798和CVE-2018-0802)。
根據分析,RoyalRoad生成的RTF文件包含一個加密的有效載荷和shellcode。
研究人員說:"為了從軟件包中解密有效載荷,攻擊者使用密鑰為123456的RC4算法,生成的DLL文件被保存為%Temp%文件夾中的5.t文件,shellcode還負責會話的持久性機制,它創建了一個名為Windows Update的計劃任務,每天用rundll32.exe運行從5.t文件導出的函數StartW"
.DLL文件會收集受害者計算機上的數據,包括操作系統名稱和版本、用戶名、網絡適配器的MAC地址和防病毒軟件信息。所有的數據都會被加密,然后通過GET HTTP請求方式發送到攻擊者的命令和控制服務器上(C2)。之后,后門模塊會通過一個多級的攻擊鏈成功安裝,它被稱為 "Victory"。Check Point稱,它似乎是一個定制的而且非常獨特的惡意軟件。
Victory 后門
該惡意軟件的目的是為了竊取信息并為受害者提供持續的訪問。Check Point研究人員說,它可以進行屏幕截圖,操縱文件(包括創建、刪除、重命名和讀取文件),收集打開的頂級窗口的信息,并且可以關閉計算機。
有趣的是,該惡意軟件似乎與以前開發的工具有關。
根據分析:"我們在搜索在野的類似的后門文件時,我們發現了一組在2018年提交給VirusTotal的文件,這些文件被作者命名為MClient,根據其PDB路徑,這似乎是一個內部被稱為SharpM的項目的一部分。編譯時間戳也顯示是在2017年7月和2018年6月之間,在檢查這些文件時,發現它們是我們VictoryDll后門及其加載器的舊版的測試版本。"
該公司表示,主要后門功能的實現方式是相同的;而且,連接方法也具有相同的特點。另外,MClient的連接XOR密鑰和VictoryDll的初始XOR密鑰也是一樣的。
然而,據Check Point稱,兩者在架構、功能和命名規則方面存在明顯的差異。例如,MClient有一個鍵盤記錄器,而Victory則沒有這個功能。而且,Victory的導出函數被命名為MainThread,而在MClient變體的所有版本中,導出函數被命名為GetCPUID。
研究人員說:"總的來說,我們可以看到,在這三年中,MClient和AutoStartup_DLL的大部分功能都被保留了下來,并將其分割成了多個組件,這樣可能是為了使逆向分析更加復雜,降低惡意文件在每個階段中被檢測到的概率”
歸屬問題
Check Point將該攻擊活動歸結為國內的一個APT。其中的一個線索是,第一攻擊階段的C2服務器是由位于中國香港和馬來西亞的兩個不同的云服務托管的。這些服務器只會在每天特定的時間內活躍,只在周一至周五的01:00 - 08:00 UTC返回帶有有效載荷的流量,這與中國的工作日是相吻合的。此外,Check Point還表示,這些服務器在5月1日至5日期間處于休眠狀態,這正是中國的勞動節假期期間。
此外,RoyalRoad RTF漏洞構建工具包是國內APT組織的首選工具;一些測試版本的后門中包含與www.baidu.com(一個受歡迎的中國網站)的網絡連接檢查。
Check Point總結說:"我們公布的似乎是一個長期運行在國內的攻擊活動,該行動在三年多的時間里一直沒有被發現。在這次活動中,攻擊者利用了一套具有反分析和反調試技術的微軟Office漏洞加載器來安裝一個以前從未見過的后門。"
本文翻譯自:https://threatpost.com/victory-backdoor-apt-campaign/166700/如若轉載,請注明原文地址。
