随着英国首相 特蕾莎·梅宣布与欧盟达成的BREXIT草案协议,由iDefense分析师确定了APT28使用BREXIT主题诱饵文件的APT28最新活动 。
一、APT28的历史活动
APT28是一个APT网络威胁组织,也被称为SNAKEMACKEREL,Sofacy,Pawn Storm,Sednit,Fancy Bear,Group 74,Tsar Team和Strontium。英国和荷兰政府都公开将APT28活动归功于俄罗斯军事情报局(RIS),并将特定的网络攻击与该组织联系起来,包括针对禁止化学武器组织(OPCW)、英国国防、科学技术实验室(DSTL)、英国外交和联邦事务部(FCO)等安全事件。
俄罗斯情报局(RIS)参与者进行了破坏性的网络攻击,包括对关键基础设施网络的攻击。在某些情况下,俄罗斯情报局(RIS)扮演了伪装成第三方,隐藏在虚假的互联网人物角色背后,旨在使受害者错误地分配攻击源。据美国FBI称,APT28威胁组是正在进行的网络战役的一部分 - 这些网络行动包括针对政府组织,关键基础设施,高校,政治组织和企业进行的网络钓鱼活动,通过网络攻击窃取相关数据,这些活动针对的目标是美国政府及其公民。
在英国政府宣布BREXIT协议的初步商定草案的同一天,APT28是一个密切关注政治事务并能利用最新新闻头条作为引诱文件,将恶意软件发送到其预定攻击目标。 该攻击反映了该组织的目标,该组织主要目标是北约成员国,中亚国家和邻国俄罗斯国家。
英国鉴于与俄罗斯军队的假定关系,并且APT28组织拥有大量资源来瞄准和危害。 因此,受害者需要在防御措施方面进行额外投资。 为了保护业务运营的机密性,完整性和可用性,埃森哲安全部门建议组织确保其员工接受网络安全培训,并部署基于情报的网络和基于主机的防御措施。
尽管有公开报道和政府指控,但APT28目前仍然非常活跃。 它是针对全球航空航天和国防承包商,军事单位,政党,国际奥委会(IOC),反兴奋剂机构,政府部门和其他各种垂直行业的大量网络攻击的幕后推手。 北约和欧盟成员国以及美国对该集团特别感兴趣。
APT28业务仍然是迄今为止最具影响力和最复杂的网络间谍和情报活动。
二、样本分析的意义
此情报警报与安全运营中心(SOC)分析师和工程师,情报分析员和管理层以及执行领导相关。
埃森哲的分析师和工程师可以使用此警报的详细信息与恶意软件的通联信息(例如IoC等信息)通过监控或阻止来控制相应的安全威胁。安全分析师可以使用此警报的分析和缓解部分中提供的信息来查找可能已经受到危害的系统的搜索活动。分析师和安全工程师可以使用IoC,将它们添加到端点检测和响应(EDR)解决方案列表,以及基于网络的ids或者防火墙主机的黑名单,以检测和拒绝恶意软件植入和命令与控制(C2)通信。
了解APT28的网络攻击方式,技术和程序(TTP)有助于更好地通知检测和响应此威胁组的攻击。
该报告提供了以BREXIT为主题的诱饵Microsoft Office文档的技术概述,该文档用于删除之前由iDefense分析师报告的Delphi版Zekapab第一阶段恶意软件。 但是,对C2服务器109.248.148.42的进一步研究揭示了一个新的.NET版Zekapab。
三、APT28活动的恶意代码分析
iDefense分析师最近发现了以下恶意文件,该文件据称与最近英国政府和欧盟之间的BREXIT谈判有关。 该文件具有以下元数据:
- 文件名:Brexit 15.11.2018.docx
- MD5:405655be03df45881aa88b55603bef1d
- 文件大小:18.9 KB(19354字节)
- 作者:USER
- 最后修改者:Joohn
- 公司:Grizli777
- 创作日期:2018:11:14 14:17:00
- 修改日期:2018:11:15 04:50:00
以上元数据值得注意的是,公司名称Grizli777表示Microsoft Word的破解版本。
为了欺骗目标主机他们使用了office的的宏,攻击者故意使用混乱的文本作为内容:
在诱饵文档中混淆了文本,诱骗用户启用宏。
该文档通过嵌入在DOCX文档中的settings.xml.rels组件从如下链接加载恶意内容
hxxp//109.248.148.42/office/thememl/2012/main/attachedTemplate.dotm
通过settings.xml.rels加载的恶意启用宏的内容
下载的宏组件包括一个名为AutoClose()的函数以及通过Base64编码的字符串嵌入的两个有效负载:
AutoClose()宏功能
下面的代码显示的核心宏代码与俄罗斯ESET公司报告的在2018年4月中的宏代码相同:
对恶意IP地址109.248.148.42的研究揭示了两个不同的office 的.dotm组件:
- Filename: attachedTemplate.dotm
•- MD5: 018611b879b2bbd886e86b62484494da- File size: 1.5 MB (1612982 bytes)
- Filename:templates.dotm
- MD5: 2a794b55b839b3237482098957877326
- File size: 1.2 MB (1228358 bytes)
这两个组件分别从以下URL中进行下载
hxxp://109.248.148.42/office/thememl/2012/main/attachedTemplate.dotm
hxxp://109.248.148.42/officeDocument/2006/relationships/templates.dotm
两个组件都包含相同的VBA宏代码,如上所示,每个代码包含两个不同的嵌入式有效负载:一个是可执行二进制文件,另一个是.docm文件。
attachedTemplate.dotm释放了以下内容:
Filename: ntslwin.exe
• MD5: 7e67122d3a052e4755b02965e2e56a2e
• File size: 384.0 KB (393216 bytes)
• File type: UPX compressed Win32 Executable
• Filename: ~de03fc12a.docm
• MD5: 9d703d31795bac83c4dd90527d149796
• File size: 384.0 KB (24659 bytes)
释放的第二个文件~de03fc12a.docm包含一个简单的宏来执行释放的可执行文件。 下面的代码片段显示了嵌入的宏代码:
对两个二进制文件的分析表明它们实际上是一个Delphi(最初是UPX打包)和Zekapab第一阶段恶意软件的.NET版本。
以下网络流量由Delphi示例执行,该示例表示在UPX解压缩后具有以下元数据:
Filename: ntslwin.exe
• MD5: f4cab3a393462a57639faa978a75d10a
• File size: 984.5 KB (1008128 bytes)
• File type: Win32 Executable Borland Delphi 7
如下图显示了样本生成的网络流量,HTTP POST请求包含收集的系统信息。 如图所示,发送的数据是通过URL编码的:
一方面来自Delphi版Zekapab的url编码的网络流量
另一方面,.NET版本生成的网络流量是未编码的。
来自.NET版Zekapab的网络流量
这两个版本都旨在收集系统信息和运行进程,并使用HTTP POST将它们发送到指定的C2服务器,在两种情况下使用的URI都是
/agr-enum/progress-inform/cube.php?res=。如果系统被认为是有效的,则下一阶段的恶意软件将被传递到相应的目录中。
第二阶段恶意软件分别通过自动运行注册表项传递到不同的目标.
对于Delphi版本,以下注册表项和值用于持久性:
Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Run\AudioMgr
Value: %AppData%\Video\videodrv.exe
对于.NET版本,以下注册表项和值用于持久性:
Key: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\GoogleIndexer
Value: %AppData%\Platform\sslwin.exe
.NET版本中显示的收集数据的功能如下:
Zekapab的.NET版本的数据收集
收集的信息清单包括:
- 命令systeminfo和tasklist的结果
- 当前执行路径
- 捕获屏幕截图
- 驱动器枚举
- 驱动器序列号
下载和执行下一阶段恶意软件的代码,设置了持久性机制如下:
由Zekapab的.NET版本设置的下一阶段恶意软件下载和持久性。
如图所示,下一阶段恶意软件的传递取决于收集的信息。
四、建议
为了缓解此报告中描述的威胁,iDefense建议阻止访问IP地址和URI模式:
109.248.148.42/agr-enum/progress-inform/cube.php?res=
对于threat hunting,iDefense建议以下内容:
- 网络:存在上面共享的网络IOC的HTTP和DNS流量。
- 系统:
注册表项:
Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Run\AudioMgr
Key: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\GoogleIndexer
系统其他安装路径
File with the full path: %AppData%\Video\videodrv.exe
File with the full path: %AppData%\Platform\sslwin.exe
Files with following file hashes.
