本文講的是<b>外媒:中國TA459 APT組織利用CVE-2017-0199攻擊頂級金融公司</b>,
Proofpoint在4月20日發表了一項針對性的入侵報告,專注攻擊俄羅斯和鄰國的頂級金融公司工作的金融分析師。這些分析師與電信行業有所關聯。這次的攻擊非常類似于我們的“https://www.proofpoint.com/us/threat-insight/post/PlugX-in-Russia”部落格中所描述的攻擊,并且可能延續。然而,這次攻擊者使用Microsoft word進行攻擊,利用最近修補的CVE-2017-0199來執行ZeroT Trojan,後者又下載下傳了PlugX(RAT)。
Proofpoint正在跟蹤這些攻擊者,如TA459,他們的攻擊通常針對中亞國家,俄羅斯,白俄羅斯,蒙古等。TA549擁有多種惡意軟體,包括PlugX,NetTraveler和ZeroT。在這個部落格中,我們還記錄了2017年其他的活動,包括他們使用的惡意軟體PCrat / Gh0st。
分析
在這個活動中,攻擊者使用了一個名為0721.doc的Microsoft Word文檔,該文檔利用了CVE-2017-0199漏洞。在攻擊前這漏洞已經被纰漏了。
Microsoft Word文檔0721.doc
該文檔使用邏輯缺陷首先從http//122.9.52.215/news/power.rtf下載下傳檔案power.rtf。power.rtf這個檔案實際上是HTML應用程式(HTA)檔案,而不是RTF文檔。
利用檔案下載下傳的第一個腳本是一個HTA檔案
如上圖所示,HTA中的VBScript會更改視窗大小和位置,然後使用PowerShell下載下傳另一個腳本:power.ps1。power.ps1是一個下載下傳并運作ZeroT遠控的payload"cgi.exe"。
漏洞利用文檔下載下傳的第二個腳本是一個PowerShell腳本
ZeroT等有效載荷
自上次分析以來,攻擊者對ZeroT進行了改進。雖然它們仍然使用RAR SFX格式作為初始有效載荷,但是ZeroT現在使用名為mcut.exe的合法McAfee實用程式(SHA256 3124fcb79da0bdf9d0d1995e37b06f7929d83c1c4b60e38c104743be71170efe),而不是像過去一樣進行側向加載的Norman Safeground AS。
加密的ZeroT有效載荷(稱為Mctl.mui)在存儲器中被解碼,顯示出類似篡改的PE标題,并且與之前分析的ZeroT有效載荷相比,隻有稍微修改的代碼。
一旦ZeroT運作,我們觀察到,請求中使用的user-anget從“Mozilla/6.0 (compatible; MSIE 10.0; Windows NT 6.2; Tzcdrnt/6.0)” 變成“Mozilla/6.0 (compatible; MSIE 11.0; Windows NT 6.2)”,删除了以前版本中的”Tzcdrnt“錯字。将index.php的初始資訊更改為index.txt,但是ZeroT仍然使用靜态密鑰進行RC4加密的響應:“(* ^ GF(9042&*”)。
上圖是通過HTTP請求URL配置的ZeroT初始資訊
接下來,ZeroT使用HTTP将感染系統的資訊傳輸到指令和控制(C&C)。所有的都是加密的,跟上次分析的一樣,第一個POST還是未加密的。之後,仍使用LSB隐寫術來隐藏真實payload的位圖(BMP)圖像來檢索第2階段的payload。這些圖像在圖像檢視器中顯示正常。
第2階段的payload是插入PlugX的C&C伺服器。
ZeroT和PlugX HTTP網絡活動
TA459額外的活動
在2017年,我們觀察到這個組織還在積極的用各種惡意軟體來攻擊。ZeroT仍然是第一階段的有效載荷,但是第二階段的載荷有所變化。一個這樣有趣的例子是“ПЛАНРЕАЛИЗАЦИИПРОЕКТА.rar”(SHA256 b5c208e4fb8ba255883f771d384ca85566c7be8adcf5c87114a62efb53b73fda)。該檔案由俄文翻譯成“PROJECT REALIZATION PLAN”,包含一個壓縮的.scr可執行檔案。 該ZeroT可執行檔案與PlugX的C&C域www.kz-inf.net以及另一個與PCRat/ Gh0stC&C域www.ruvim.net進行通信。
另一個有趣的ZeroT樣本(SHA256 bc2246813d7267608e1a80a04dac32da9115a15b1550b0c4842b9d6e2e7de374)包含在RAR SFX存檔中的可執行檔案0228.exe和誘餌檔案0228.doc中。Proofpoint認為,捆綁誘餌檔案是該組織的常用方法。執行惡意payload時,RAR SFX 指令用于顯示誘餌。
誘餌檔案
誘導檔案中的文字資訊來源
結論
TA459這樣的黑客組織一直在進行持續攻擊,且利用較為傳統的攻擊方式,使用網絡釣魚活動以及社交工程等手段瞄準從事特定研究工作并擁有專業知識的相關專家。
TA459以攻擊俄羅斯及鄰國國家聞名。從他們的攻擊中, 我們應該了解到強大的防禦方案中,必須包含郵件網關,并且及時修複系統及軟體漏洞。
原文釋出時間為:2017年5月8日
本文作者:愣娃
本文來自雲栖社群合作夥伴嘶吼,了解相關資訊可以關注嘶吼網站。
<a href="http://www.4hou.com/info/news/4592.html" target="_blank">原文連結</a>