这篇博客帖子由Hossein Jazi创作

威胁演员通常会改变他们的技术来阻止安全防御,并提高他们的攻击效率。他们使用的一个诡计称为隐写术,包括隐藏图像内的内容。

我们最近观察了一个恶意单词文件,它使用这种技术来删除我们新的远程管理特洛伊木马(RAT)。根据诱饵文件,我们评估这一攻击是针对阿塞拜疆的政府和军​​队。

自4月20日以来,攻击者一直在利用阿塞拜疆和亚美尼亚之间的紧张局势来定位阿塞拜疆。研究人员发现了几个参与者,通过网络钓鱼诱饵将这种冲突脱落,以降低AgentTesla和Poetrat.。虽然AgentTesla通过不同的垃圾邮件广告系列在全球范围内分发,但Poetrat专门用于目标Azerbaijanis。

似乎我们在本博客中分析的文档没有任何原因与Poetrat无连接:Poetrat Actor在其恶意文档中没有使用过Segography并使用Python和Lua Variants,而我们分析的演员丢弃了一个名为Fairfax的.NET RAT似乎不是粪便的.NET变体。

Maldoc分析

该文件诱饵是在阿塞拜疆书写的,谈论将在2021年在阿塞拜疆举行的“国家安全和科学”会议。

图1:Maldoc Lure含量

恶意文档包含一个宏观的宏。攻击者已在有意义的名称中插入随机字符以使函数和变量名称进行混淆。以下是其中一些示例:

  • addarg._oaczt_20210214_115603_xokkn_ument29 - > addarguments29
  • Zi.XOKKN.ppath - > zippath
  • oaczt.Tcustomdir.abcdefghijklmnopqrstuvwxyz.ect._oaczt_20210214_115603_xokkn_ORY - > TestCustomDirectory

在Deobfuscation之后,名称变得清晰,可以轻松弄清楚宏的意图。

图2:deobfuscation后宏观

攻击者还使用另一层混淆来编码字符串。函数“MyFunc23”已为此目的定义。此函数接收数字数组并将它们解码为字符串。

此函数具有循环,可在每次迭代中读取四个输入数组,并将它们传递给另一个函数以将它们转换为字符。最后,它将其连接到构建最终字符串的字符。

图3:解码器功能

转换器函数定义了一个大型交换机语句,返回每个4个数字的字符等效。

图4:转换器功能

打开文档并启用内容后,将执行宏。起初它定义了以下文件和目录:

  • Zippath:从PNG图像存储提取的ZIP文件的目录
  • AppFolder:存储RAT的目录
  • runner:执行鼠标的批处理文件的路径
  • docxpath:保留当前文档副本的文件的路径
  • docxcoppopath:复制文档的zip格式的路径
  • docxunzipfolder:在解压缩后包含文档的目录
图5:定义名称

然后,它试图创建AppFolder目录,如果无法创建它退出的目录。创建目录后,它以新格式复制到之前定义的文件路径。它以新格式复制自己的原因是因为当前文档受到保护,即使在解压缩其内容之后,宏将无法找到图像以提取ZIP文件。

图6:创建自己的副本

要创建本身的副本,它使用“SaveAs2”功能,该函数以新名称或格式保存指定的文档。字符串“WDFormatDocumentDefault”已被传递为文件格式参数,该参数将文档保存为DOCX格式。以这种方式,宏可以看到具有嵌入式zip文件的图像。

图7:保存为功能

在下一步中,它将创建的文档复制提升到创建的文件夹中,并调用“ExtractFlompng”函数从PNG文件中提取嵌入对象。此函数递归调用本身以读取PNG图像中的所有块识别,直到它到达是具有嵌入式ZIP文件的块的“朋克”块标识。查找块后,它将其提取并将其写入“fairfax.zip”。

图8:从PNG提取ZIP文件
图9:块识别

然后将“fairfax.zip”提取到%appdata%\ vstelmetry目录中。它包含可执行文件(Fairfax.exe)以及批处理文件(runner.bat)。可执行文件已在Visual Studio中编写,似乎攻击者归档整个Visual Studio项目。

图10:Fairfax目录

最后它执行一些虚拟功能,然后执行runner.bat.执行Fairfax.exe。

图11:执行runner.bat

Fairfax.exe:

这是使用Tap Model(任务异步编程模型)开发的.NET RAT。此模型提供了异步代码的抽象。在该模型中,每个功能都可以定义为任务,并且将基于外部资源分配以及其他任务完成时执行。

图12:主要

该大鼠没有混淆并包含三个主要功能:

  • 下载文件
  • 上传文件
  • 拍摄截图
图13:主要功能

所有配置都已存储在全局设置中,包括AppFolderName,VBFileName,主机地址,计划任务信息,VBFile内容和CipherKey。

图14:全局设置

与服务器的所有通信都是AES加密和Base64编码。

图15:解密功能
图16:加密功能

对于网络通信,它已经定义了四种不同的任务,可发送和接收文件和命令:sendfileasync,sendaSync,Receiveasync和ReceiveFileAsync。

图17:网络通信

要管理文件,它有fileManager类可以获取文件并保存到临时目录并保存到zip文件。

图18:文件管理器

它还具有通过创建vbsfile并将其添加到计划任务来实现持久性的功能。

图19:预定任务

结论

威胁演员使用许多技术来颠覆分析和检测;在本博客文章中,我们研究了一个采用较少常见的隐写技术的组,其中演员隐藏图像内的恶意有效载荷。

由于阿塞拜疆和亚美尼亚之间发生的地缘政治事件,过去一年对这些国家的数字攻击增加了。思科·塔罗斯(Cisco Talos)报道了一只名叫Poetrat的新鼠,也用于瞄准阿塞拜疆,尽管在本篇文章中分析的样本的差异表明该大鼠无关。必威平台APPMalwarebytes分析师将继续跟踪此活动,并报告与此威胁相关的任何新发现。

IOC.

文件名 SHA256.
电报.doc. EF02527858797356C58797356C58571C56CC58571C5A22D00C481C5A22D00C481FBC9CE73C81A341D482EA3776878A
fairfax.zip. 4AD451A1C07D1760A0586C3C5132A68539D98198C402F4FC2B42B954EA9F76D7
auroraxxxx.zip.
auroraxxxx.docx.		 0573926B05C34AF23C7003CC0A30CFC682335F7E787958F9BE7E6804EDACD0A1
image1.png. F33DB9011C69E6F4B13C765F77466DE023F442D8A75BCE8AB450F4978275671A
runner.bat. 909A94451D2640F89EC25AEBCEDE14F238EAD06B94F28544A99F4CC2411B3B5
Fairfax.exe. AB0F4D290F3D4532896DEA80563E342C825B12E0111C2D54AC62B1B942B854B.
Fairfax.exe. 69E880B0545330B8E6D1543C47D89B4907FB79899B40C2478C591225FFC551CE.

C2:
vnedoprym.kozow [。] com
111.90.150 [] 37

斜切ATT&CK技术

策略 ID 名称 细节
初始访问 T1566. 网络钓鱼 通过网络钓鱼电子邮件分发Maldocs
执行 T1059.003. Windows命令shell. 启动cmd.exe for命令执行
T1064. 脚本 使用批处理文件执行Fairfax.exe
T1059.001. 电源外壳 执行PowerShell脚本
T1204.002. 用户执行 用户手动执行
坚持 T1053.005 预定的任务 使用任务调度程序进行持久性
防守逃避 T1140. deobfuscate /解码文件或信息 大鼠有能力解码基础
64数据和解密AES加密数据
拼命 T1113 屏幕捕获 大鼠能够捕获屏幕
T1560.001. 存档收集数据:通过实用程序存档 使用zip实用程序的鼠标归档文件
命令与控制 T1071.001. 应用层协议:Web协议 使用HTTPS进行C2通信
T1132.001. 数据编码:标准编码 C2流量是Base64编码和AES加密
exfiltration. T1041. exfiltration在C2通道上 exfiltrates通过c2上的数据