圖1-已知的一些Packrat攻擊目標和活動類型
這份報告介紹了一次大規模的木馬、釣魚和虛假信息活動,這一攻擊活動的目標是幾個拉美國家,包括厄瓜多爾、阿根廷、委內瑞拉和巴西。根據受害者的特征和地理分布來看,這次攻擊活動的贊助者對這些地區的政治情況很感興趣。** Packrat很關注這些地區的政治反對派,ALBA國家聯盟(美洲玻利瓦聯盟***||||*)**,以及這些國家境內的獨立媒體。ALBA國家聯盟通過一項貿易協定建立,這些國家在很多非經濟領域都有合作。
在2015年,我們率先在厄瓜多爾捕捉到了一波攻擊活動,接著在2014年,我們發現這些攻擊活動與在阿根廷境內活躍的一起行動有關聯。我們在阿根廷發現攻擊行動時,攻擊者正好在試圖入侵Alberto Nisman和Jorge Lanata的設備。根據我們所了解的行動情況,我們又調查發現,這個攻擊小組的活動最早可以追溯到2008年。
在這份報告中,我們拼湊起了各個活動碎片,包括使用的木馬、釣魚活動,以及在拉美放置的CC服務器。Packrat甚至在委內瑞拉和厄瓜多爾創建了虛假的互聯網組織。誰應該對此負責呢?我們在評估了攻擊者使用的一些攻擊方案后認為,Packrat很可能是某個政府贊助的攻擊小組,而且他們也并不擔心自己的活動、目標和維持方法會暴露。但是,我們并沒有確定Packrat的贊助者具體是誰。
本文的作者們仍然獨立地調查這些出現在拉美的木馬和釣魚活動。在這份報告中,總結了我們的調查發現。這些攻擊活動的主要目標位于拉美國家,包括委內瑞拉,厄瓜多爾,阿根廷和巴西。我們把這些行動的策劃者叫做Packrat,因為他們很喜歡用加殼了的RAT木馬,在這么多年來,他們也一直在使用相同的域名和服務器。
圖1-已知的一些Packrat攻擊目標和活動類型
Packrat會利用木馬和釣魚活動來系統性地攻擊一些政治高層,記者和外國目標。我們發現Packrat在這7年中,總共使用了12個不同的木馬CC域名,超過30個木馬樣本。另外,Packrat還喜歡利用一種很有趣的攻擊策略:首先,成立并運營虛假的反對派組織和新聞組織,然后利用這些組織來傳播木馬并執行釣魚攻擊。
在這些假冒的組織中, 有的僅僅是一個名字而已,有的會更精心設計在線活動。Packrat還會創辦假冒的新聞機構,但是我們并沒能在木馬或釣魚活動中發現任何證據。
圖2-Packrat的主要活動
我們發現Packrat最早的活動可以至少追溯到2008年。通過確定網絡基礎設施之間的關聯,我們發現了幾波攻擊活動,在這些活動中使用了不同的工具和戰術。在這一部分中,我們會簡要地介紹Packrat在不同時間使用的一些網絡基礎設施,以及實施的攻擊活動。更詳細的木馬使用歷史,請看“3. Packrat植入木馬的進化”。
Packrat最大規模的攻擊行動
2008-2013
Packrat使用的工具和基礎設施表明,他們至少從2008年就開始活動。在這段時間中,Packrat利用了巴西的托管服務,其中的一些木馬樣本也是通過巴西的IP地址上傳到了常用的在線殺毒服務商。他們發送的一些信息也涉及到了針對巴西用戶的誘餌內容。從中就能判斷,這些活動是以巴西用戶為目標,不過,我們還沒有確定在這段時間遭到了攻擊的受害者身份。
2014
到2014年,Packrat開始攻擊高價值目標-阿根廷律師Alberto Nisman和著名的記者、電視節目主持人Jorge Lanata。Maximo Kirchner,阿根廷總統的兒子也聲稱自己遭到了攻擊。Maximo Kirchner公布的釣魚郵件也是我們見過的,但是我們還無法證明他是否真的遭到了襲擊。除此之外,我們發現大量與Ecuadorian和Venezuelan相關的釣魚域名在這段時間非常活躍。
2015
在2015年,涌現出了大批針對公民團體和公眾人物的釣魚和木馬活動,包括厄瓜多爾議會。我們觀察到了大量的釣魚域名和攻擊活動。在這段時間中出現的行動經常會利用攻擊者成立的虛假組織。我們發現攻擊者利用這些假冒的組織和虛假信息攻擊了厄瓜多爾,委內瑞拉境內的目標。
2015年1月,頗有爭議的阿根廷檢察官Alberto Nisman遭到槍殺。阿根廷新聞媒體報道稱,布宜諾斯艾利斯市警察局刑偵實驗室在他的Android手機上發現了一個惡意文件“estrictamente secreto y confidencial.pdf.jar”(意思是高度機密)。
在2015年5月29日,阿根廷的一名用戶上傳了一個相同名稱的文件到Virustotal上。這個文件是一個遠程入侵工具- AlienSpy,可以允許攻擊者記錄目標的活動,訪問其郵件、網絡攝像頭等。但是,這個文件針對的是Windows操作系統,并不能感染Nisman的安卓手機。
Morgan Marquis通過分析Alienspy,確定了攻擊者使用的CC服務器是deyrep24.ddns.net。除了用于攻擊Nisman,Lanata和Kirchner的木馬,還有另外三個樣本也在使用deyrep24.ddns.net作為CC服務器。其中一個樣本-3 MAR PROYECTO GRIPEN.docx.jar是基于AlienSpy開發的,這個樣本偽裝成了一個文檔,這個文檔的內容利用了厄瓜多爾總統科雷亞與厄瓜多爾大使斯維登就購買戰斗機的商討意見。
在公布這一發現后,其他一些遭到攻擊的目標也逐漸浮出了水面。著名的調查記者、電視節目主持人Jorge Lanata稱自己也遭到了同一個木馬的攻擊。總統的兒子Maximo Kirchner也聲稱自己是攻擊目標。我們無法證實Kirchner的說法,但是,他公布了一張釣魚郵件的截圖:
圖3- Maximo Kirchner說明自己遭到了攻擊
他說,在這份郵件中有一個叫做“Estrictamente Secreto y Confidencial.pdf.jar”(大小67.3kb)的附件,Nisman和Lanata收到的也是這個木馬。另外,發件人的郵箱地址(claudiobonadio88@gmail.com)宣稱是著名法官Claudio Bonadio。Lanata接收到的郵件也是聲稱來自Claudio Bonadio (cfed.bonadio@gmail.com)。
在2015年,厄瓜多爾境內有大量的記者和公眾人物遭到了釣魚攻擊,主要是通過郵件和短信。我們檢查了這些郵件,其中一些并沒有涉及政治內容,而是為了竊取用戶的社交媒體和郵箱憑據,比如Gmail。但是,其他的一些郵件利用了與政治人物和厄瓜多爾問題相關的政治內容。通過進一步的調查,我們發現了一起大規模的攻擊行動,以及攻擊者成立的各種虛假組織。
本文的一位作者開發了一個Gmail搜索查詢,能夠查找與攻擊活動相關的字符串(附錄A:搜索查詢)。我們把這個搜索查詢分享給了大量的潛在目標,并發現了大量的釣魚活動和可疑的Word(DOCX)文檔。這些可疑文檔中內嵌了用Java編寫的RAT,包括Adzok和AlienSpy。接著,我們使用在JAR文件中發現的標識和更新后的Gmail查詢,識別出了Packrat使用的各種惡意文件和域名(附錄B:木馬樣本)。
我們發現釣魚網站和木馬網站之間還有聯系。這些網站通常會共用相同的注冊信息,或托管在相同的服務器上。我們判斷出,這些木馬樣本通常會與daynews.sytes.net通訊,與阿根廷境內的活動有關聯。最終,通過調查這個daynews.sytes.net基礎設施,我們發現了在巴西使用的木馬和基礎設施,以及在委內瑞拉使用的虛假網站。
這一部分介紹了Packrat使用的CC基礎設施。在附錄B中,我們提供了完整的CC域名、相關的二進制和木馬家族。
Packrat使用的deyrep24.ddns.net域名是在2014年11月7日創建的,在攻擊Nisman時,這個域名指向了IP地址:50.62.133.49。這個IP地址屬于GoDaddy,在2015年3月3日,這個域名更改了GoDaddy:192.169.243.65。被動DNS記錄表明,deyrep24.ddns.net在使用這個IP地址時,在2015年3月1日創建的daynews.sytes.net也在利用這個IP。在我們聯合調查期間,我們發現了5個木馬樣本都在使用這個域名來攻擊厄瓜多爾境內的記者和民主社區。
Packrat使用的CC基礎設施
圖4-Packrat的CC基礎設施
通過搜索與daynews.sytes.net相關的域名,我們找到了taskmgr.serveftp.com,這個域名在2014年8月11日時的IP地址是190.210.180.181。這個IP地址屬于阿根廷,daynews.sytes.net在剛注冊的那段時間中使用了這個IP,接著很快就轉向了GoDaddy。在2014年10月、2015年5月的幾天中,taskmgr.serveftp.com域名又重新使用了190.210.180.181。在2014年7月23日,taskmgr.serveftp.com托管在了201.52.24.126上,這是巴西的一個IP地址,這個IP還托管了taskmgr.servehttp.com和taskmgr.redirectme.com。我們總共發現了15個木馬樣本不是使用了taskmgr.servehttp.com,就是使用了taskmgr.serveftp.com作為CC域名(有幾個樣本同時使用了這兩個域名)。樣本的最早版本是在2008年12月14日編譯的,借此,我們可以知道Packrat最早是在這時候活動的。然而,這個時間戳也可能是假的,我們還沒有在其他樣本中發現證據能證明這一點。
Packrat使用的CC基礎設施
在2014年7月11日,所有的‘taskmgr’域名都托管在了186.220.1.84,這是巴西的一個IP地址。同一時間,這個IP還托管了ruley.no-ip.org。我們成功找到一個樣本既使用了ruley.no-ip.org也使用了taskmgr.servehttp.com作為其CC域名。在2012年9月6日,ruley.no-ip.org托管在了189.100.148.188,這個IP仍然屬于巴西,另外還有兩個域名lolinha.no-ip.org和 wjwj.no-ip.org也使用了這個IP。我們發現有兩個樣本配置了使用這三個域名作為CC服務器,有三個樣本使用了ruley.no-ip.org和wjwj.no-ip.org,有一個樣本只使用了ruley.no-ip.org。在2014年8月15日,taskmgr.servehttp.com托管在了186.220.11.67,這個IP同樣屬于巴西。在相同時間,這個IP還托管了conhost.servehttp.com和dllhost.servehttp.com。我們發現了兩個樣本配置使用了conhost.servehttp.com和dllhost.servehttp.com作為CC服務器。
除了這些域名,域名wjwjwj.no-ip.org和wjwjwjwj.no-ip.org有關聯。在2014年3月25日,wjwj.no-ip.org和wjwjwj.no-ip.org指向了179.208.187.216。我們還沒有發現樣本只使用了wjwjwj.no-ip.org或wjwjwjwj.no-ip.org。
這些域名背后的CC服務器是由拉美的提供商托管的,包括Uruguay Montevideo Administración Nacional De Telecomunicaciones, Argentina Buenos Aires Nss S.A. (IPLAN), 和 Claro Brazil。
Packrat還利用了歐洲和美國的服務器,包括瑞典的Portlane和美國的GoDaddy。
我們想要通過確定這些主機服務提供商,從而關停Packrat的基礎設施。
Packrat活躍在很多國家中,但是我們在厄瓜多爾收集到了大部分活動證據,以及這些活動與目標和受害者之間的關聯。在寫這篇文章時,我們仍然在跟蹤針對厄瓜多爾目標的攻擊活動。
圖5-已知在厄瓜多爾境內Packrat的攻擊目標
通過利用郵箱搜索查詢,并分析木馬的數據庫和CC基礎設施,我們收集到了大量針對記者、公共任務、政治家等的木馬和釣魚活動。
在這些報告中,有的是公共報告,有的是社交媒體上的討論。例如,厄瓜多爾言論自由組織Fundamedios就報道稱,一些公眾人物、新聞組織、Fundamedios的領導都接收到了可疑的信息和釣魚郵件。隨后,Fundamedios又更新報告稱這些木馬使用了相同的CC基礎設施,而攻擊Nisman的木馬也使用了同一個基礎設施。在Twitter上也有相關的木馬和釣魚活動說明。我們發現了很多與Packrat相關的報道。
們觀察到,攻擊者利用了社會工程技術來傳播木馬攻擊厄瓜多爾境內的目標。在一次活動中,我們發現了一個木馬經常會配合政治內容的誘餌使用,利用的經常是有關厄瓜多爾反對派的信息。在其他的一些情況下,攻擊者會根據特定的木馬來制定傳播途徑,大多是通過包含有惡意Java的Microsoft Word文檔來投遞木馬。但是,在其他情況下,攻擊者會利用虛假更新來傳播木馬。
常用的木馬傳播技術:
Packrat在社交工程技術中利用的發件人和網站都會偽裝成真正的用戶和組織。例如,他們注冊了ecuadorenvivo.co,看起來像是Ecuador En Vivo新聞網站的域名(ecuadorenvivo.com)。然后,Packrat會發送疑似來自ecuadorenvivo.co的新聞郵件更新(真正的Ecuador En Vivo網站就是有這個功能)。
Packrat有時候還會創建相同的新聞事件路徑,并隱藏在鏈接中。比如:
類似的域名
目標看到的樣子:
真正的惡意鏈接:
為了說明Packrat的攻擊方法,在這一部分詳細地介紹了3起近期發生的攻擊活動。這三次攻擊活動發生在2015年春—2015年秋。攻擊目標包括厄瓜多爾的記者和公眾人物。
2.3.1 攻擊活動1:來自虛假反對派的郵件
在2015年4月,多個目標都收到了來自“Movimento Anti Correista”(反科雷亞運動)的郵件,這是攻擊者虛構的一個反對派組織。在這些郵件使用了包含有Adzok木馬的Microsoft Word附件,以及文本和圖片來增加郵件的可信性。
“Movimento Anti Correista”發送的郵件
圖6-“Movimento Anti Correista”發送的郵件
這份郵件有幾個目的,很顯然是為了誘使目標下載并瀏覽文檔,但是似乎也是想要確定域名的合法性,以及活動的身份。
惡意附件
圖7-惡意郵件
在這個文檔中內嵌了一個叫做“Adzok – Invisible Remote Administrator”的軟件。
2.3.2 攻擊活動2:你在被監視著!
這次攻擊活動旨在引起目標的恐慌和擔心,從而誘使目標打開惡意文件。釣魚郵件是根據目標定制的,并恐嚇目標正在SENAIN,厄瓜多爾的國家情報部門監控著。郵件附件宣稱是在SENAIN監控下的Twitter用戶名單。有趣的是,郵件的發送人是“Guillermo Lasso”,上次總統競選失敗的候選人。
圖8-發件人號稱是“Guillermo Lasso”,上次總統競選失敗的候選人
像第一次攻擊活動一樣,這個木馬并沒有投遞漏洞,但是需要受害者雙擊文件,并在執行前接受所有的彈窗。
要求目標點擊的文檔:
圖9-要求目標點擊的文檔
一旦用戶雙擊了圖像,目標就會感染AlienSpy木馬。通過檢查木馬的配置文件,我們發現木馬使用了C2服務器daynews.sytes.net,Packrat經常在攻擊活動中利用這個域名。有趣的是,我們發現在其他的一些攻擊活動中也使用了同一個誘餌文檔(相同的MD5)。
2.3.3 攻擊活動3: “關于Correa撒謊的獨家消息”
這次攻擊活動利用了一個設置有惡意內容的虛假政治網站。而惡意郵件會把受害者定向到這個網站上。有意思的是,這次攻擊活動會嘗試欺騙目標相信這是記者Focus Ecuador的合法網站。Packrat似乎控制了.tk和.info域名。
關于 Correa撒謊的信息,請看視頻:http://focusecuador.tk/
這份郵件中還包括有一個來自mesvr.com的跟蹤圖像,ReadNotify經常使用這個圖像來跟蹤郵件的發送情況。攻擊者似乎是想要獲取更多關于目標的信息,比如確定不遠打開惡意文件的目標IP地址。
focusecuador.tk網站中包含有從合法網站上復制來的信息,但是也給受害者顯示了一個Flash更新通知。在點擊時,鏈接就會觸發“plugin_video.jar”的下載。
虛假的Flash更新通知
圖10-虛假的Flash更新
這并不是一個Flash更新,而是一個捆綁了AlienSpy / Adwind的遠程訪問木馬。在執行時,基于Java的木馬會與Packrat的CC服務器46.246.89.246 (daynews.sytes.net)通訊。通過分析木馬,我們發現了相同配置的LOS TUITEROS ESPIADOS POR SENAIN.docx和Los trinos de Rafael Correa.docx樣本。
攻擊活動3:二進制
在我們分析攻擊行動3期間,一名Packrat攻擊者開始在受感染的機器上用西班牙語和英語與一名Citizen Lab的研究員交流。
圖11-出現在Citizen Lab研究員屏幕上的威脅和辱罵
這些謾罵會以彈窗或文本的形式顯示在IE瀏覽器中。攻擊者威脅了我們的研究員,“你現在在玩火,不小心就死了!”有些信息還不是慣用的西班牙語,借此可以推測攻擊者的母語。
攻擊者還使用了Windows 文本轉語音功能,在受感染的計算機上播放西班牙語的音頻來恐嚇我們的研究員。
在10月份的時候,攻擊者再次恐嚇了一名研究人員,接著利用植入木馬遠程關閉了受感染的設備。
這種情況很不常見,很少有攻擊者會與研究人員接觸。因為攻擊者這樣做,非常不安全。可能以前有個人嘗試處理或分析過Packrat的文件,尤其是在基礎設施暴露之后,所以他們才會這樣做。因為Packrat很喜歡讓基礎設施保持在線,所以他們不喜歡其他人的關注。
在過去的七年中,Packrat使用了幾種不同類型的木馬,大多是可以買到的現成RAT,比如Cybergate, Xtreme, AlienSpy, 和 Adzok。雖然,研究人員都知道這些木馬,但是Packrat會使用一系列的工具來混淆這些木馬,他們使用的工具有一個未知的VB6 crypter,AutoIt3Wrapper, UPX, PECompact, PEtite, 和Allatori Obfuscator。通過混淆,Packrat的攻擊活動就能繞過檢測。在這一部分中,我們根據時間分組,介紹了這些工具。
圖12-Packrat木馬家族
在2008年-2014年期間,Packrat大范圍利用了現有的RAT,然后用AutoIt3Wrapper進行了加殼。這個加殼程序是用 AutoIt編寫的,是Windows中能自動處理任務的一種腳本語言。使用混淆能夠誤導檢測,并且他們使用了一些基礎的反調試技術。
攻擊者投放的木馬中,有大量是CyberGate RAT。在2013年和2014年,Packrat似乎還采用了XtremeRAT。Cybergate 和 Xtreme都是用Delphi編寫,這兩個木馬與另外兩個基于Delphi的木馬SpyNet 和Cerberus都使用了相同的代碼。
在很多攻擊活動中都利用了Office文檔作為誘餌,在執行植入木馬時,誘餌文檔就會打開。在我們發現的誘餌文檔中,有的是巴西求職者的簡歷,有的是巴西律師聯合會的支付單據。
圖13-一份簡歷
這些攻擊活動表明,Packrat在這段時間的攻擊目標中有的是說葡萄牙語。有些特定的誘餌文檔針對的是巴西境內的目標。
圖14-支付單據
我們發現,大量的植入木馬都會與CC域名taskmgr.servehttp.com通訊,其他的幾個CC還有ruley.no-ip.org, lolinha.no-ip.org, 和 taskmgr.serveftp.com。
3.1.1 分析 CyberGate RAT
我們分析的CyberGate RAT樣本通常會封裝一層AutoIt。二進制中的代碼和字符串表明,這個木馬基于的是Spy-Net RAT 2.6版。這個RAT是一名巴西黑客開發的,使用了spynetcoder,在Spy-Net RAT的“官方網站”上有標注。
CyberGate的感染例程
在解壓后,CyberGate就進入第二階段,運行感染例程。感染例程會在運行進程中注入第三階段的DLL。在植入后,CyberGate 會部署維持技術并監控受害者。
第三階段模塊會選取三個執行路徑(根據互斥量):
_x_X_PASSWORDLIST_X_x_”)_x_X_BLOCKMOUSE_X_x_”)CyberGate 反分析
木馬的感染例程自帶了反分析功能,這些功能都打包在一個單獨的函數中。CyberGate 會搜索虛擬環境和沙盒環境,并且會通過IsDebuggerPresent API檢查調試工具,通過管道來查找SoftICE 和 Syser 。木馬會通過檢查每個函數的第一個字節是不是“CC”,來判斷函數入口上是不是有斷點。
圖15-CyberGate 反分析
CyberGate 進程注入
感染例程會從資源節獲取加密的植入,在解密后,嘗試把植入注入到Windows system shell進程 (explorer.exe)。如果失敗,CyberGate會自己啟動一個 explorer.exe進程,將植入注入到進程中,然后完成設置。除此之外,另外的一個CyberGate實例會注入到隱藏的默認瀏覽器進程中。
感染例程會復制自己,并將副本投放到不同的目錄下,具體要取決于Windows版本:/System, /Windows,或 /Program Files。植入木馬的名稱也會變化:taskhost.exe, regedit.exe,和taskmgr.exe都是很常用的。另外,感染例程還會把加密后的植入木馬副本寫入%TEMP%目錄,并命名為XX–XX–XX.txt。
為了讓木馬維持的更長久,第二階段會寫入注冊表鍵值,讓CyberGate開機啟動:
密碼收集
如果有收集密碼的任務,第二階段的二進制就會從多個位置收集密碼:No-ip 動態更新客戶端(DUC), MSN messenger, Firefox, 和 Internet Explorer。登錄憑證是從Windows注冊表、瀏覽器、RAS撥號設置、本地安全認證(LSA)設置、MS ProtectedStorage、MS IntelliForms和憑證商店中獲得的。
CyberGate的功能
CyberGate會運行兩個例程。第一個例程是在默認瀏覽器進程中運行的。同時,explorer.exe例程會作為一個“看門狗”,用于維護木馬,并確保磁盤上感染例程的二進制不會被清除
圖16-搜索安裝了Spy-Net 的標識
CyberGate植入木馬自帶了與感染例程相同的憑證竊取功能,并且還可以通過例程來監視Chrome和STEAM憑證。同樣是繼承自感染例程,CyberGate也使用了相同的反分析例程來攔截沙盒和調試工具。
除了在感染例程中看到過的功能,CyberGate還能提供給攻擊者完整的監控和遠程控制能力。
CyberGate 的能力包括:
有趣的是,CyberGate會啟動一個硬編碼.vbs腳本上的cscript.exe,通過Windows Management Instrumentation (WMI)收集系統上安裝的安全產品信息。這個腳本會請求系統上安裝的殺毒產品和防火墻解決方案的名稱和版本號,并把數據轉出到一個文件中:
收集到的數據會儲存在磁盤上的轉儲文件,然后會通過HTTP或FTP發送到遠程服務器上。
3.1.2 分析 XTremeRAT
XTremeRAT是一個可以買到的木馬,經常用于監控受害者的機器。雖然有一些對政治不感冒的黑客也會使用這個木馬,但是在敘利亞內戰期間,更多還是政府黑客會利用這個木馬來攻擊反對派,在中東和北非,也有一些政治利益驅動的黑客會利用這個木馬。
雖然經常會加殼,XTremeRAT本身的隱藏和維持功能是有限的。其監控功能也很直接。我們分析的XTremeRAT版本并沒有使用混淆。XTremeRAT的實現是一個客戶端/服務器架構,其中受感染的機器作為服務器,而CC作為客戶端。
這個版本的XTremeRAT具有下面的功能:
圖17-安裝 XTreme RAT 的鍵盤記錄模塊
Xtreme RAT 的操作和鍵盤記錄功能
Xtreme RAT會使用安裝的剪貼盤查看工具,通過鍵盤記錄工具窗口,嗅探剪貼板上的內容。每當剪貼板內容發生變化時,這個剪貼板查看工具就會接受到窗口信息WM_DRAWCLIPBOARD,并訪問剪貼板內容。剪貼板和鍵盤輸入數據會轉儲到一個.dat文件,和配置文件(.cfg)一起放到當前用戶的[…]\Application Data\Microsoft\Windows文件夾。文件名稱都是根據XTreme RAT的配置決定的。
XTreme RAT 的數據文件
轉儲文件會通過FTP傳輸。XTreme RAT自帶了一個預先配置好的FTP服務器憑證占位符(ftpuser/ftppass),用于登錄ftp.ftpserver.com,然后在運行時交換從CC發出的更新值。
XTreme RAT還會根據配置和轉儲文件的命名規則創建一個互斥量(比如“RJokLSZBjPERSIST”)。XTreme RAT的配置文件是從.rsrc中獲取的,并且使用了RC4加密,秘鑰是“CONFIG”。其他的XTreme RAT變種也曾經使用過這種算法和秘鑰組合。
這個XTreme RAT變種使用了explorer.exe來容納遠程線程,從而實現特定的功能。至少有三種情況下會有線程注入。
XTreme RAT 的explorer.exe注入:
在過去的兩年中,Packrat一直在使用最新的AlienSpy木馬。這個軟件一開始是作為免費的RAT “Frutas”,在2013年的一次墨西哥行動中識別到。接著經過改造,作為“Premium RAT”Adwind銷售。Adwind一個許可的價格是$75,多次許可的價格是$250。然后,在2013年,AdWind更名為了UNRECOM,并在多起針對中東的活動中檢測到。
這個軟件最近更多的是叫做 “AlienSpy”,研究人員發信有些針對性間諜行動使用了這個木馬。在撰寫報告時,這個RAT在重新加殼后,叫做JSocket。在報告中,我們統一把所有的變種都叫做“AlienSpy”。 AlienSpy 功能完善,包括記錄受害者的鍵盤輸入,通過內置麥克風記錄環境聲音,遠程查看受害者的桌面,并可以暗自打開受害者的網絡攝像頭。
3.2.1 Packrat的Alienspy 部署
從2014年-2015年初,Packrat很喜歡在釣魚郵件中發送AlienSpy作為附件,通常擴展名是‘.pdf.jar’。Winddows默認是不顯示擴展的,所以用戶只能看到是.pdf。在這一時間段中,所有的樣本都采用了類似的編譯方式,差別不大。有一個.jar (Java archive)文件中包含有一個叫做META-INF的文件夾和兩個文件Favicon.ico和Principal.class。在執行時,Principal.class會解壓“Favicon.ico”的內容(不是一個圖標文件,而是一個.zip文件),并查找文件名中包含“.jar”的文件。
Favicon.ico的內容
一旦找到正確的文件(在這里是0doc.jar),就會把這個文件投放到一個隨機命名的臨時文件,這個臨時文件有一個常量字符串,并且調用Java來運行這個文件。
“Favicon.ico”中的.jar文件
“Main.class” 使用Allatori進行了混淆,Allatori是AlienSpy使用的來自俄羅斯的一款JVM obfuscator。
首先,從“ID”文件中讀取一部分RC4秘鑰,再附加上一個常量字符串,然后使用完整的RC4秘鑰來解密MANIFEST.MF的內容,這樣就能得到真正的Adwind JAR 文件。
MS Office文檔中的AlienSpy
在2015年,Packrat開始通過.docx文件發送AlienSpy植入。這種混淆文件的方法更加復雜,但是與先前的技術還是很類似。解壓感染后的MS Word文檔就能在word/embeddings目錄下得到一個“oleObject1.bin”文件。打開這個Jar文件,能獲得:
與前面Packrat早期混淆AlienSpy的方法類似,一部分解密秘鑰保存在一個.txt文件中。另一半是一個字符串,在解密了abcdefghijk[a,f,j,s,u,z].class文件后獲得。
維持機制是通過在注冊表中添加下面的注冊值實現的:
3.2.2 Adzok出現
在2014年-2015年期間,Packrat還使用了Adzok-隱藏遠程管理員。類似于AlienSpy的功能,這個基于Java的Adzok很顯然來自玻利維亞。高級版需要$990,但是Packrat使用的似乎是免費版。這個版本的Adzok沒有使用混淆,這樣就可以簡單的解壓docx文檔中的jar文件,并讀取明文的配置文件。考慮到Packrat使用的其他木馬都經過了混淆,我們很吃驚Packrat居然會使用這樣一個木馬。有可能其他RAT的穩定性。兼容性和檢測問題導致Packrat使用了Adzok。
Packrat一直在利用釣魚活動攻擊相同的組織和個人目標。我們發現Packrat在同一時間,既使用木馬也釣魚攻擊了這些個人目標。在木馬活動中使用的域名和虛假身份也在釣魚活動中再次使用了,Packrat還維護了一些專門的釣魚網站和服務器。雖然釣魚郵件是定期發送的,但是我們還觀察到Packrat有時會發送釣魚郵件來聯系目標。
我們基本上已經系統性的了解了Packrat針對厄瓜多爾目標的行動,但是有證據表明,Packrat也在攻擊鄰國的目標,包括委內瑞拉。Packrat使用了郵件和社交媒體信息,以及短信來發動釣魚信息。
這一部分主要介紹了Packrat的釣魚活動,包括政治性主題和非政治性主題。
最常用的釣魚技術就是偽裝成來自郵箱服務或社交媒體網站的密碼驗證請求、非授權登錄通知等等。Packrat大范圍利用了郵箱提供商的模板,包括Gmail、Yahoo和Hotmail。大部分郵件都使用了西班牙語。郵件的內容也是根據目標定制的,包括他們的名稱和郵箱地址。
圖18-釣魚郵件樣本
根據攻擊目的,釣魚郵件中會包含釣魚URL或使用縮略網站。
4.1.1 近期的非政治性釣魚
最近,攻擊者似乎稍微修改了自己的技術。我們觀察到攻擊者使用了tinyurl縮略網址服務,并把釣魚網站轉移到了免費的cu9.co上。攻擊者可能認為使用免費的提供商可以降低成本,并增加靈活性。
近期出現的釣魚URL和縮略網址:
4.1.2 非政治性釣魚短信
大量Packrat的目標還接收到了釣魚短信。這些釣魚短信使用了釣魚郵件類似的語言,有時候還會使用相同的縮略URL。有時候,攻擊者還會警告用戶如果不點鏈接,他們的賬戶就會停用。我們在一次案例中發現了包含有不正常郵箱地址的信息。
圖19-非政治主題的釣魚短信
我們觀察到有大量的郵件和信息中包含有政治性內容。Packrat采取了兩種攻擊方式。第一種方式:創辦虛假的政治和媒體組織。第二種方式:偽裝成著名的團體和個人。攻擊者經常會利用相關的新聞事件作為短信和郵件內容。大部分內容都與犯罪派有關。
雖然,大部分釣魚郵件都是偽裝成來自郵箱服務或社交媒體網站,但是在特定情況下,Packrat會偽裝成高級別目標使用的郵箱服務,比如厄瓜多爾國民議會。
4.2.1 攻擊厄瓜多爾議會
Packrat曾經偽裝成厄瓜多爾國民議會的郵箱門戶發動了釣魚攻擊。這個惡意網站會誘騙受害者輸入他們的郵箱憑證。
合法域名是:
4.2.2 一個典型的憑證竊取頁面
無論誘餌是什么,釣魚信息中的鏈接(通常是簡短網址)通常會把受害者引導至一個類似于免費郵箱提供商的域名。在2015年夏天,Packrat利用了一個類似谷歌的域名,當然他們還利用了其他的一些域名:
在攻擊活動中,mgoogle.us偽裝成了一個西班牙語的谷歌登錄界面。
圖20-mgoogle.us偽裝成了一個西班牙語的谷歌登錄界面
一旦受害者輸入自己的登錄信息,他們就會看到一個西班牙語的信息,“確認”他們的gmail賬號已經解鎖,并謝謝“選擇我們”。
圖21-西班牙語的信息,“確認”他們的gmail賬號已經解鎖
在其他情況下,Packrat會發送“確認”郵件到受害者的郵箱,恭喜他們“驗證成功”。我們發現,在一些情況下,攻擊者在沒有入侵釣魚到的賬號前,就會發送這封郵件。
雖然這些釣魚活動利用了不同的工具來收集憑證,但是我們發現Packrat重復使用了合法的formmail.com服務來接受釣魚獲取到的憑證。
攻擊者控制著大范圍的域名來釣魚或傳播木馬。在這一部分,我們分析了這些基礎設施的特點。比如,釣魚頁面mgoogle.us就會解析到好幾個IP地址,包括:
在這些IP中,第一個IP (198.12.150.249)非常有意思。我們發現這個IP地址上還托管了一些主題類似的可疑域名。在這些域名中,有的偽裝成了登錄頁面和更新頁面(比如sopporte-gmail.com 或 login-office365.com),其他的一些還偽裝成了政治網站。
WHOIS
這個網站的注冊人是[email protected],[email protected]?有這些網站中,除了兩個例外,其他的都看起來像是登錄頁或服務更新,比如Android和Java。而這兩個例外就是lavozamericana.info 和pancaliente.info。這兩個域名是與另外的釣魚域名同時注冊的。
4.3.1 虛假的新聞網站
網站 ecuadorenvivo.com是一個合法的新聞網站,但是攻擊者控制了一個類似的域名ecuadorenvivo.co。Packrat利用這個虛假的域名像目標發送郵件,在這些郵件中會包含有木馬附件、或惡意網站的鏈接。然后通過插件將木馬下載到受害者的設備上。
一名Twitter用戶在2015年5月就發現了一個虛假的插件通知。
圖22-虛假的插件通知
類似的,focusecuador.net也是一個合法的新聞網站,但是攻擊者控制了類似的域名focusecuador.tk,這個網站會利用虛假的彈窗來傳播木馬。通過檢查focusecuador.tk的IP(193.105.134.27),我們又發現了很多相似的域名。
4.3.2 虛假的新聞組織:美國之聲?
第二個很有意思的域名是 lavozamericana.info,這個域名現在已經不活動了。但是,我們發現了一個Twitter賬戶和一些推文似乎是想要讓這個域名看起來更合法一點。
有意思的是,這個虛假的twitter身份至少也成功過,下面的一些關注用戶就可能上當了。雖然這個網站現在已經不活動了,但是Google cache表明這個網站曾經是一個釣魚頁面。
圖23-Google cache表明在這個網站上曾就有一個釣魚頁
4.3.3 虛假的反對派活動
我們發現有很多目標都接收到了來自movimientoanticorreista.com的郵件和信息,包括在前面提到的攻擊活動1中。在利用木馬攻擊厄瓜多爾記者的活動中,攻擊者也用到了這個域名。我們發現,與這個域名相關的木馬信息,都是由movimiento.anti.correista@gmail.com發送的
另一封反科雷亞活動郵件
通過Packrat的一些活動,我們更系統性的了解了攻擊活動的范圍。在2015年3月期間,我們觀察到Packrat會定期使用相同的bit.ly鏈接來進行活動。
這個鏈接是在2014年10月30日創建的。通過檢查這個bit.ly鏈接的統計數據,我們大致了解了這次行動的規模、時間以及點擊鏈接的地理位置分布。
圖25-行動的規模、時間以及點擊鏈接的地理位置分布
大部分鏈接是在厄瓜多爾境內點擊的,其他的還有阿根廷、德國、美國、西班牙、烏拉圭和委內瑞拉。其中沒有巴西這一點并不意外,因為攻擊者如果要攻擊巴西,會使用葡萄牙語的網站。借此我們就能夠間接地了解Packrat都會攻擊哪里的目標。
大部分點擊(322次)是直接的點擊鏈接,而不是通過分享點擊的。這個bitly鏈接的點擊大部分都不在社交網站上,因為Packrat沒有使用社交媒體來傳播。
通過這次調查,我們發現了一些釣魚活動利用西班牙語的釣魚信息攻擊了Packrat曾經攻擊過的一些個人目標,但是我們有各種理由相信,這些活動與Packrat沒有聯系。其中一次很引人注意的活動利用了gmail.com.msg07.xyz ,并偽裝成了Gmail的賬戶通知。通常,這類信息會顯示為來自no-responder@supportgmai1.com這樣的地址。有時候,一些目標每隔幾周就會收到這樣的信息。
Packrat的域名并不都是為了傳播木馬,或盜取受害者的密碼。有幾個域名偽裝成了新聞網站的樣子,上面的一些政治性內容也是原創的。至少有兩個網站是為了針對委內瑞拉,有1個是為了針對厄瓜多爾。
我們沒有發現任何證據能證明這三個網站會傳播木馬或釣魚。可能這些網站還有其他用途。
注意:在我們公布這份報告前Pancaliente.info已經下線了,但是可以通過Google cache查看。第二個域名chavistas24.com仍然在線。
在198.12.150.249上,最有意思的一個域名就是pancaliente.info。打眼一看,這是一個專注于委內瑞拉的新聞和信息網站。不同于這個IP上的其他網站,我們在這個網站上發現了很多原創的新聞內容 。
無論如何,這個網站與其他域名有很多聯系。雖然這個域名的注冊信息被隱藏的,但是其他的釣魚網站使用了相同的注冊郵箱。
雖然pancaliente.info 的WHOIS信息受到保護,但是還可以驗證其注冊。
圖26-在2015年10月出現的 Pan caliente 網站
通過更細致的檢查,我們發現有網站的內容大都是為了吸引反對查韋斯黨派的委內瑞拉人,無論是國內還是國外。網站上的有些報道很有意思,因為他們只介紹說這些是個人檔案,但是沒有透露這些文檔的來源。
在其他的一些例子中,這個網站還報道了一些所謂的“泄露”檔案。其中的一些內容都與PSUV相關。很多報道中都涉及到了委內瑞拉境內犯罪海外政體的外籍專家,尤其是離散在西班牙的猶太人。
PanCaliente也在其他地方有引用,比如Sidesahre上的一份泄密檔案。其他的在線新聞網站也引用過他們的報道。
雖然看似有很多內容,但是PanCaliente的文章中沒有署名。雖然這個網站與一個Twitter賬戶(https://twitter.com/pancalienteve)的活動很密切,但是相關的Facebook賬戶(https://twitter.com/pancalienteve)卻很少。通過WayBack Machine就能明白,PanCaliente最近才開始活躍。
圖27-PanCaliente在Wayback Machine 上的顯示
有趣的是,這個網站上最先公布的一些報道是當這個網站還叫做“Venezuela365.com”的時候編寫的。
圖28-網站早期的標志,還可以在網站的目錄結構中看到
圖29-現在的PanCaliente 標志
我們還可以在網上看到這個網站更換標志的信息。另外,有一篇報道中還是引用了網站 venezuela365。有趣的是,第一份報道中還提到了一些“秘密”信息,包括重新制作發票,并沒有解釋其來源。
這個頁面源中還包括有venezuela365.com
現在,一個名稱相同的圖像出現在了pancaliente.info的相同目錄下。
venezuela365.com域名是DomainsByProxy注冊的,但是先前的WHOIS信息中顯示注冊人是Sistekon Corp。Sistekon Corporation現在似乎不用了,但是關于Sistekon Corporation的信息在archive.org上還有,這家公司主要是開發IT軟件和銷售安全解決方案。考慮到這個域名是在2013年過期的,但是在2014年重新注冊,而pancaliente.info幾乎在同一時間注冊,這兩者之間的聯系可能是巧合。
我們沒有發現有證據能表明PanCaliente或venezuela365曾經用于傳播木馬或執行釣魚活動。
域名 chavistas24.com似乎是一個支持委內瑞拉前總統查韋斯的網站,在這上面有很多支持查韋斯黨派的內容。
圖30-Chavistas24.com上的圖片
Chavistas24.com 同樣有相關的Twitter賬號來發送推文,主要是引用了網站上發表的文章。
圖31-Chavistas 24的Twitter
我們沒有發現有證據能表明chavistas24.com曾經用于傳播木馬或執行釣魚活動。
Packrat似乎對心懷不滿的厄瓜多爾警察很感興趣,他們為此還創辦了一個-Los Desvinculados網站(justicia-desvinculados.com)和社交媒體身份。這個網站中也有登錄板塊,有關厄瓜多爾政府的新聞和報道。
此前,厄瓜多爾警方就曾經抗議福利太差,他們也是目前對厄瓜多爾總統科雷亞威脅最大的一股力量。
圖23-Los Desvinculados網站
下面是相關的twitter賬號 (twitter.com/justdesvincula2)。
圖33-Desvinculados Twitter 頁面
和前兩次活動一樣,我們沒有發現有證據能表明Justicia Desvinculados曾經用于傳播木馬或執行釣魚活動。
本文中提出的證據表明,Packrat是一個有組織,有長期執行攻擊活動能力,攻擊目標有明顯地區特征的小組。那么Packrat到底是誰呢?在這里,我們提出了兩種假設。
6.1.2 目標名單
遭到Packrat攻擊者都是一些有影響力的人物,這些人的活動能對國內和地區性政治造成影響。在厄瓜多爾和阿根廷,Packrat的攻擊目標有著名的評論家和獨立記者。有趣的是,Packrat還攻擊了厄瓜多爾議會和政府部門。數據顯示,Packrat經常會攻擊與反對派相關的各種目標。
在其他的活動中,我們發現了一些政治性很強的釣魚、木馬網站、郵件和信息。Packrat創辦了虛假的政治組織,然后利用相關的身份和網站來發動釣魚攻擊或傳播木馬。這些網站似乎是為了吸引評論家和某些厄瓜多爾和委內瑞拉的政府成員。我們認為其他國家的一些目標也遭到了信息,比如巴西,但是我們并不清楚他們是誰。
還有一些目標是該地區的情報或安全部門比較感興趣的。而這些活動的贊助者可能對反對軍力量很感興趣。
6.1.3 傳播錯誤信息的活動動機
我們發現了大量的虛假網站都涉及到了政治問題,但是很顯然是為了傳播木馬。雖然有些網站與木馬網站共用了相同注冊信息,但是通過網站上的內容就能區別它們的不同,并且這些網站上沒有惡意文件或釣魚頁面。
對于這些網站,有三種可能的解釋。首先,這些網站是為了讓那些虛假的組織看起來更可信,從而可以傳播錯誤信息。第二,這些網站可能是蜜罐,用來吸引或操控目標,然后進行木馬攻擊。最后,這些網站可能是為了收集我們尚不清楚的行動信息。
我們并不清楚哪個國家會對這些行動感興趣,并支持這些活動。
6.1.4 支付能力
托管、注冊和維護這些基礎設施達七年的成本肯定不低。而創建和維護虛假網站所需要的人力也是成本,尤其是對于那些有原創內容的網站,比如PanCaliente。最后,如此大范圍和定制化的攻擊活動也需要額外的人力。
從這些成本來看,Packrat一定有充足的資源,或者是有資助者來幫他們付錢。我們還沒有發現任何證據能表明他們在攻擊工業、商業或金融部門。考慮到他們的活動成本,我們很難想象,除了某個國家,沒有其他人會既想要這些信息,還愿意給他們付錢。
6.1.5 能證明Packrat“高枕無憂”的線索
在2015年初,首次有報告公布了Packrat攻擊了Nisman和阿根廷,并暴露了他們的基礎設施。盡管如此,仍然有大量的基礎設施保持在線。從項目角度來看,這樣是說得通的。如果Packrat成功入侵了目標,而關掉這些基礎設施就會導致他們失去對目標的控制。Packrat就必須要重新感染目標,連接到新的主機上。這一過程不僅會浪費時間,并且不容易成功,甚至被檢測到。
如果Packrat害怕處罰,那么他們很自然地就會撤掉暴露的服務器。因為如果執法部門掌握了他們的服務器,那么就可能會追蹤到他們。
事實上,這些服務器還在線,這就說明Packrat只擔心自己的行動還能不能繼續,并不擔心政府的追查。我們猜測,他們可能會受到當地政府的保護。
雖然沒有決定性的證據,但是從他們敢威脅Citizen Lab的研究人員來看,他們很自信自己不會被處罰。從他們的表現來看,Citizen Lab的研究員并不是第一個打擾到他們的分析人員。
6.1.6 國家參與的兩種方案
在這一部分,我們提出了兩種可能的國家支持情況。我們會用數據來說明每種情況的可能性。
方案1:贊助者只有一個國家
根據我們的發現,這里有幾種可能的解釋。有可能Packrat在為一個情報部門工作,從他們的活動中也能看出這家情報機構的目標。這家情報機構可能監視著很多團體,包括他們的對手,比如別國政府。
最明顯的就是ALBA(美洲玻璃瓦聯盟)國家和以及近期的阿根廷,這些國家的領導人達成了政治聯盟,雖然,最近阿根廷大選的總統反對這種關系。同時,厄瓜多爾和委內瑞拉政府的關系也很緊密。
有人可能認為,Packrat攻擊了厄瓜多爾的某些政府部門就是決定性的證據,能證明厄瓜多爾官方與Packrat有牽連。但是,厄瓜多爾議會和其他政府目標還不能證明厄瓜多爾政府就是贊助者,但是也不能排除這種可能。
方案2: 贊助者不只有一個國家
?地區性目標的范圍和多樣性表明Packrat可能在代表多個政府攻擊敵對力量。例如,Packrat可能有多名客戶,并且使用了相同的基礎設施來進行活動。
雖然,上面的一些證據能表明有政府在支持Packrat,但是,Packrat的其他活動特征并不符合這種猜測。在這一部分,我們會列出一些重要的證據:比如Packrat的技術程度不高。我們評估了這些證據,并注意到Packrat也可能沒有國家的贊助。
6.2.1 缺少技術性很強的工具
Packrat使用的木馬主要是能購買到的現有RAT木馬,并不是自己開發的,也不是專門面向政府銷售的高級木馬。另外,這些攻擊者也不會利用漏洞來投放木馬。比如,有些誘餌文檔還需要受害者雙擊文檔中的圖標。這樣的操作太麻煩了,還有可能會造成攻擊失敗。而政府支持的攻擊者可能會利用更高級的木馬和漏洞。
但是,也并不是說所有與政府相關的攻擊小組就一定會利用高級木馬或漏洞。
雖然,僅僅通過他們使用的商用木馬和沒有利用過漏洞,我們還無法得出結論。不過,確實有一點值得注意:Packrat通過混淆,能有效的繞過檢測,并隱藏自己的身份。
6.2.2: 方案:沒有國家贊助的小組
我們無法回避的一個可能性就是Packrat是犯罪組織,并沒有國家贊助。從理論上來說,這樣的攻擊小組可能是反對派的支持者,或有其他相關的利益。在南美洲,也有很多強大的非政府團體和幫派,他們絕對有財力來支撐這些行動。無論如何,考慮到Packrat的攻擊目標,我們不理解為什么非法團體會對這些人感興趣。
還有另一種可能,可能一個有政治野心的非政府團體在負責Packrat。這樣的團體就會對政治聯盟和政府非常感興趣。
最后,我們認為報告中的數據還不足以判斷到底哪種猜測是對的。但是,能從中Packrat的活動中受益的一定是該地區的一些政府。
在這篇報告中,我們介紹了一次長達七年的活動,這一攻擊活動的目標是幾個拉美國家。雖然在拉美有很多著名的攻擊小組,但是Packrat最顯著的特點就是經常攻擊政治人物、記者等。Packrat還具備有執行長期活動的能力,能不受媒體報道的影響。
Packrat最突出的一點就是,利用了技術不是多強的木馬,維持了多年的活動。從技術的角度看,他們主要依靠的是可以購買到的現有RAT,然后再通過加殼來繞過檢測。他們還通過創辦虛假的組織,來傳播木馬從而感染目標。
即使基礎設施暴露,Packrat也沒有撤下自己的服務器和域名。這就表明,Packrat非常重視自己的行動。
雖然,我們無法確定Packrat的幕后操縱者,但是我們希望通過曝光他們的活動,鼓勵有更多的人繼續研究下去。
https://citizenlab.org/2015/12/packrat-report/
附錄B 木馬樣本
附錄C木馬配置
CyberGate RAT配置
Xtreme RAT 配置
Adzok 配置
Adwind 變種配置
附錄D:惡意域名
解析到198.12.150.249的域名
解析到193.105.134.27的域名
