这篇博客帖子由Hossein Jazi创作
威胁演员通常会改变他们的技术来阻止安全防御,并提高他们的攻击效率。他们使用的一个诡计称为隐写术,包括隐藏图像内的内容。
我们最近观察了一个恶意单词文件,它使用这种技术来删除我们新的远程管理特洛伊木马(RAT)。根据诱饵文件,我们评估这一攻击是针对阿塞拜疆的政府和军队。
自4月20日以来,攻击者一直在利用阿塞拜疆和亚美尼亚之间的紧张局势来定位阿塞拜疆。研究人员发现了几个参与者,通过网络钓鱼诱饵将这种冲突脱落,以降低AgentTesla和Poetrat.。虽然AgentTesla通过不同的垃圾邮件广告系列在全球范围内分发,但Poetrat专门用于目标Azerbaijanis。
似乎我们在本博客中分析的文档没有任何原因与Poetrat无连接:Poetrat Actor在其恶意文档中没有使用过Segography并使用Python和Lua Variants,而我们分析的演员丢弃了一个名为Fairfax的.NET RAT似乎不是粪便的.NET变体。
Maldoc分析
该文件诱饵是在阿塞拜疆书写的,谈论将在2021年在阿塞拜疆举行的“国家安全和科学”会议。
恶意文档包含一个宏观的宏。攻击者已在有意义的名称中插入随机字符以使函数和变量名称进行混淆。以下是其中一些示例:
- addarg._oaczt_20210214_115603_xokkn_ument29 - > addarguments29
- Zi.XOKKN.ppath - > zippath
- 塔oaczt.Tcustomdir.abcdefghijklmnopqrstuvwxyz.ect._oaczt_20210214_115603_xokkn_ORY - > TestCustomDirectory
在Deobfuscation之后,名称变得清晰,可以轻松弄清楚宏的意图。
攻击者还使用另一层混淆来编码字符串。函数“MyFunc23”已为此目的定义。此函数接收数字数组并将它们解码为字符串。
此函数具有循环,可在每次迭代中读取四个输入数组,并将它们传递给另一个函数以将它们转换为字符。最后,它将其连接到构建最终字符串的字符。
转换器函数定义了一个大型交换机语句,返回每个4个数字的字符等效。
打开文档并启用内容后,将执行宏。起初它定义了以下文件和目录:
- Zippath:从PNG图像存储提取的ZIP文件的目录
- AppFolder:存储RAT的目录
- runner:执行鼠标的批处理文件的路径
- docxpath:保留当前文档副本的文件的路径
- docxcoppopath:复制文档的zip格式的路径
- docxunzipfolder:在解压缩后包含文档的目录
然后,它试图创建AppFolder目录,如果无法创建它退出的目录。创建目录后,它以新格式复制到之前定义的文件路径。它以新格式复制自己的原因是因为当前文档受到保护,即使在解压缩其内容之后,宏将无法找到图像以提取ZIP文件。
要创建本身的副本,它使用“SaveAs2”功能,该函数以新名称或格式保存指定的文档。字符串“WDFormatDocumentDefault”已被传递为文件格式参数,该参数将文档保存为DOCX格式。以这种方式,宏可以看到具有嵌入式zip文件的图像。
在下一步中,它将创建的文档复制提升到创建的文件夹中,并调用“ExtractFlompng”函数从PNG文件中提取嵌入对象。此函数递归调用本身以读取PNG图像中的所有块识别,直到它到达是具有嵌入式ZIP文件的块的“朋克”块标识。查找块后,它将其提取并将其写入“fairfax.zip”。
然后将“fairfax.zip”提取到%appdata%\ vstelmetry目录中。它包含可执行文件(Fairfax.exe)以及批处理文件(runner.bat)。可执行文件已在Visual Studio中编写,似乎攻击者归档整个Visual Studio项目。
最后它执行一些虚拟功能,然后执行runner.bat.执行Fairfax.exe。
Fairfax.exe:
这是使用Tap Model(任务异步编程模型)开发的.NET RAT。此模型提供了异步代码的抽象。在该模型中,每个功能都可以定义为任务,并且将基于外部资源分配以及其他任务完成时执行。
该大鼠没有混淆并包含三个主要功能:
- 下载文件
- 上传文件
- 拍摄截图
所有配置都已存储在全局设置中,包括AppFolderName,VBFileName,主机地址,计划任务信息,VBFile内容和CipherKey。
与服务器的所有通信都是AES加密和Base64编码。
对于网络通信,它已经定义了四种不同的任务,可发送和接收文件和命令:sendfileasync,sendaSync,Receiveasync和ReceiveFileAsync。
要管理文件,它有fileManager类可以获取文件并保存到临时目录并保存到zip文件。
它还具有通过创建vbsfile并将其添加到计划任务来实现持久性的功能。
结论
威胁演员使用许多技术来颠覆分析和检测;在本博客文章中,我们研究了一个采用较少常见的隐写技术的组,其中演员隐藏图像内的恶意有效载荷。
由于阿塞拜疆和亚美尼亚之间发生的地缘政治事件,过去一年对这些国家的数字攻击增加了。思科·塔罗斯(Cisco Talos)报道了一只名叫Poetrat的新鼠,也用于瞄准阿塞拜疆,尽管在本篇文章中分析的样本的差异表明该大鼠无关。必威平台APPMalwarebytes分析师将继续跟踪此活动,并报告与此威胁相关的任何新发现。
IOC.
文件名 | SHA256. |
电报.doc. | EF02527858797356C58797356C58571C56CC58571C5A22D00C481C5A22D00C481FBC9CE73C81A341D482EA3776878A |
fairfax.zip. | 4AD451A1C07D1760A0586C3C5132A68539D98198C402F4FC2B42B954EA9F76D7 |
auroraxxxx.zip. auroraxxxx.docx. |
0573926B05C34AF23C7003CC0A30CFC682335F7E787958F9BE7E6804EDACD0A1 |
image1.png. | F33DB9011C69E6F4B13C765F77466DE023F442D8A75BCE8AB450F4978275671A |
runner.bat. | 909A94451D2640F89EC25AEBCEDE14F238EAD06B94F28544A99F4CC2411B3B5 |
Fairfax.exe. | AB0F4D290F3D4532896DEA80563E342C825B12E0111C2D54AC62B1B942B854B. |
Fairfax.exe. | 69E880B0545330B8E6D1543C47D89B4907FB79899B40C2478C591225FFC551CE. |
C2:
vnedoprym.kozow [。] com
111.90.150 [] 37
斜切ATT&CK技术
策略 | ID | 名称 | 细节 |
初始访问 | T1566. | 网络钓鱼 | 通过网络钓鱼电子邮件分发Maldocs |
执行 | T1059.003. | Windows命令shell. | 启动cmd.exe for命令执行 |
T1064. | 脚本 | 使用批处理文件执行Fairfax.exe | |
T1059.001. | 电源外壳 | 执行PowerShell脚本 | |
T1204.002. | 用户执行 | 用户手动执行 | |
坚持 | T1053.005 | 预定的任务 | 使用任务调度程序进行持久性 |
防守逃避 | T1140. | deobfuscate /解码文件或信息 | 大鼠有能力解码基础 64数据和解密AES加密数据 |
拼命 | T1113 | 屏幕捕获 | 大鼠能够捕获屏幕 |
T1560.001. | 存档收集数据:通过实用程序存档 | 使用zip实用程序的鼠标归档文件 | |
命令与控制 | T1071.001. | 应用层协议:Web协议 | 使用HTTPS进行C2通信 |
T1132.001. | 数据编码:标准编码 | C2流量是Base64编码和AES加密 | |
exfiltration. | T1041. | exfiltration在C2通道上 | exfiltrates通过c2上的数据 |
评论