《電子技術應用》
您所在的位置:首頁 > 通信與網(wǎng)絡 > 業(yè)界動態(tài) > 在APT活動中發(fā)現(xiàn)了新的 "Victory "后門

在APT活動中發(fā)現(xiàn)了新的 "Victory "后門

2021-06-17
來源:嘶吼專業(yè)版

  研究人員說,我們發(fā)現(xiàn)了一個正在秘密進行的監(jiān)視行動,其目標是使用一個以前從未見過的惡意軟件來攻擊一個東南亞國家的政府。

  據(jù)Check Point研究公司稱,該攻擊通過發(fā)送附加了惡意的Word文檔的魚叉式釣魚郵件,來獲得系統(tǒng)的初始訪問權(quán)限,同時也會利用已知的微軟Office安全漏洞。研究人員說,最值得注意的是,我們發(fā)現(xiàn)了一個新的后門文件,這個APT組織三年來一直在開發(fā)這個后門。

  根據(jù)Check Point的分析,這些文件發(fā)給了一個東南亞政府的不同雇員的郵箱中。在某些情況下,這些電子郵件含有欺詐信息,看起來像是來自其他政府的相關文件。這些電子郵件的附件看起來像是合法的官方文件,但是實際上是一個后門文件,并會使用遠程模板技術從攻擊者的服務器上獲得要執(zhí)行的代碼。

  據(jù)分析,這些惡意文件會從不同的URL下載同一個模板,這些模板是嵌入了RoyalRoad weaponizer的。RTF文件,也被稱為8.t Dropper/RTF exploit builder。研究人員說,RoyalRoad是幾個APT的武器庫的一部分,如Tick、Tonto Team和TA428;它生成的武器化RTF文件實際上是利用了微軟方程編輯器的漏洞(CVE-2017-11882、CVE-2018-0798和CVE-2018-0802)。

  根據(jù)分析,RoyalRoad生成的RTF文件包含一個加密的有效載荷和shellcode。

  研究人員說:“為了從軟件包中解密有效載荷,攻擊者使用密鑰為123456的RC4算法,生成的DLL文件被保存為%Temp%文件夾中的5.t文件,shellcode還負責會話的持久性機制,它創(chuàng)建了一個名為Windows Update的計劃任務,每天用rundll32.exe運行從5.t文件導出的函數(shù)StartW”

  .DLL文件會收集受害者計算機上的數(shù)據(jù),包括操作系統(tǒng)名稱和版本、用戶名、網(wǎng)絡適配器的MAC地址和防病毒軟件信息。所有的數(shù)據(jù)都會被加密,然后通過GET HTTP請求方式發(fā)送到攻擊者的命令和控制服務器上(C2)。之后,后門模塊會通過一個多級的攻擊鏈成功安裝,它被稱為 “Victory”。Check Point稱,它似乎是一個定制的而且非常獨特的惡意軟件。

  Victory 后門

  該惡意軟件的目的是為了竊取信息并為受害者提供持續(xù)的訪問。Check Point研究人員說,它可以進行屏幕截圖,操縱文件(包括創(chuàng)建、刪除、重命名和讀取文件),收集打開的頂級窗口的信息,并且可以關閉計算機。

  有趣的是,該惡意軟件似乎與以前開發(fā)的工具有關。

  根據(jù)分析:“我們在搜索在野的類似的后門文件時,我們發(fā)現(xiàn)了一組在2018年提交給VirusTotal的文件,這些文件被作者命名為MClient,根據(jù)其PDB路徑,這似乎是一個內(nèi)部被稱為SharpM的項目的一部分。編譯時間戳也顯示是在2017年7月和2018年6月之間,在檢查這些文件時,發(fā)現(xiàn)它們是我們VictoryDll后門及其加載器的舊版的測試版本?!?/p>

  該公司表示,主要后門功能的實現(xiàn)方式是相同的;而且,連接方法也具有相同的特點。另外,MClient的連接XOR密鑰和VictoryDll的初始XOR密鑰也是一樣的。

  然而,據(jù)Check Point稱,兩者在架構(gòu)、功能和命名規(guī)則方面存在明顯的差異。例如,MClient有一個鍵盤記錄器,而Victory則沒有這個功能。而且,Victory的導出函數(shù)被命名為MainThread,而在MClient變體的所有版本中,導出函數(shù)被命名為GetCPUID。

  研究人員說:“總的來說,我們可以看到,在這三年中,MClient和AutoStartup_DLL的大部分功能都被保留了下來,并將其分割成了多個組件,這樣可能是為了使逆向分析更加復雜,降低惡意文件在每個階段中被檢測到的概率”

  歸屬問題

  Check Point將該攻擊活動歸結(jié)為國內(nèi)的一個APT。其中的一個線索是,第一攻擊階段的C2服務器是由位于香港和馬來西亞的兩個不同的云服務托管的。這些服務器只會在每天特定的時間內(nèi)活躍,只在周一至周五的01:00 - 08:00 UTC返回帶有有效載荷的流量,這與中國的工作日是相吻合的。此外,Check Point還表示,這些服務器在5月1日至5日期間處于休眠狀態(tài),這正是中國的勞動節(jié)假期期間。

  此外,RoyalRoad RTF漏洞構(gòu)建工具包是國內(nèi)APT組織的首選工具;一些測試版本的后門中包含與www.baidu.com(一個受歡迎的中國網(wǎng)站)的網(wǎng)絡連接檢查。

  Check Point總結(jié)說:“我們公布的似乎是一個長期運行在國內(nèi)的攻擊活動,該行動在三年多的時間里一直沒有被發(fā)現(xiàn)。在這次活動中,攻擊者利用了一套具有反分析和反調(diào)試技術的微軟Office漏洞加載器來安裝一個以前從未見過的后門。”




電子技術圖片.png

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點。轉(zhuǎn)載的所有的文章、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認版權(quán)者。如涉及作品內(nèi)容、版權(quán)和其它問題,請及時通過電子郵件或電話通知我們,以便迅速采取適當措施,避免給雙方造成不必要的經(jīng)濟損失。聯(lián)系電話:010-82306118;郵箱:aet@chinaaet.com。