标题 | 简介 | 类型 | 公开时间 | ||||||||||
|
|||||||||||||
|
|||||||||||||
详情 | |||||||||||||
[SAFE-ID: JIWO-2024-1934] 作者: 对不起 发表于: [2018-09-17]
本文共 [387] 位读者顶过
网络安全公司FireEye于上周发表的一篇博文中指出,其安全团队在今年7月份发现并阻止了一场由中国黑客组织APT10(又称“Menupass”)发起的网络钓鱼活动,目标瞄准了日本的媒体行业。 [出自:jiwo.org] FireEye表示,其安全团队针对APT10的追踪开始于2009年,该组织在之前就曾有针对日本政府机构以及企业实施攻击的历史。在此次攻击活动中,由该组织发送的鱼叉式网络钓鱼电子邮件最终会导致UPPERCUT后门(又称“ANEL”)的安装。 攻击链如上所述,攻击开始于鱼叉式网络钓鱼电子邮件,其附件中的Microsoft Word文档内嵌了恶意VBA宏。从诱饵文档的命名来看,它们几乎都与海事、外交或者朝鲜问题有关。这些诱饵文档包括:
诱饵文档设置有密码(在电子邮件的正文中提供),可能是为了绕过安全检测。在输入密码之后,诱饵文档将发出启用宏的请求,但我们无从得知文档的具体内容,因为它显示为乱码,如下图所示。
接下来,恶意宏将执行以下操作: 1、将三个PEM文件padre1.txt、padre2.txt和padre3.txt释放到受害者的%TEMP%文件夹,然后将它们从%TEMP%复制到%AllUserProfile%文件夹。 2、滥用certutil.exe,使用以下命令对已释放的文件进行解码(certutil.exe是一个合法的Windows内置命令行程序,用于管理Windows中的证书)。所使用的命令包括:
3、滥用esentutil.exe,使用以下命令释放其他的一些文件(esentutil.exe也是Windows中预安装的一个合法程序)。所使用的命令包括:
从这两条命令可以看出,被释放的文件包括GUP.exe和libcurl.dll。实际上,这里还有另一个文件——3F2E3AB9。
4、运行合法的可执行文件GUP.exe,这涉及到:
5、使用Windows esentutl.exe删除最初释放的.txt文件,并将文档文本更改为嵌入消息。 完整的攻击链如下图所示:
UPPERCUT后门的演变下图是UPPERCUT的更新时间表,展示了加载器的PE编译时间和dropper的创建时间(Word文档)。由于时间戳被覆盖并用“0”填充,因此这张图不包括5.2.x版本的创建时间。
相比早期版本的第一个不同之处在于,较新版本导出函数的命名具有随机性,如5.3.2版本的导出函数为“l7MF25T96n45qOGWX”,而在5.4.1版本的导出函数为“hJvTJcdAU3mNkuvGGq7L”和“WcuH”。 最新的UPPERCUT变种还包含另一个新特性——如果恶意软件无法从命令和控制(C2)服务器接收HTTP响应,则会在Cookie标头中发送错误代码。错误代码是GetLastError函数返回的值,并在下一个beacon中发送。这可能是为了帮助攻击者在后门无法接收响应时了解问题的所在。 此外,早期版本的UPPERCUT在与C2通信时使用了硬编码字符串“this is the encrypt key”,用于Blowfish加密。但是在最新版本中,密钥对于每一个C2地址都有一个唯一的硬编码,并使用C2计算的MD5散列来确定使用哪一个密钥。
总结从APT10的攻击历史记录来看,虽然该组织在攻击目标的地位位置(如日本)和行业选择方面保持固定不变,但这并不体现在他们所使用的恶意软件方面。相反,该组织一直在持续不断地更新其恶意软件,并添加新的特性和功能。就拿新的UPPERCUT变种来说,其初始化Blowfish加密密钥的方式就发生了重大改变,使得安全研究人员对它的网络通信更加难以检测和解密。 |