今天小編分享的互聯網經驗:揭開Earth Preta最新的工作原理,歡迎閱讀。
本文将介紹 Earth Preta APT 組織利用的最新工具、技術和程式(TTP)的更多技術細節。介紹在 2022 年 11 月,趨勢科技的研究人員就披露了由高級持續性威脅(APT)組織 Earth Preta(也稱為 Mustang Panda)發起的大規模網絡釣魚活動。該活動通過魚叉式網絡釣魚電子郵件針對亞太地區的多個國家。自 2023 年初以來,該組織正在使用新的方法,例如 MIROGO 和 QMAGENT。
此外,研究人員還新發現了一個名為 TONEDROP 的釋放程式,它可以釋放 TONEINS 和 TONESHELL 惡意軟體,根據觀察,該組織正在将其目标擴展到不同的地區,如東歐和西亞,再加上亞太地區的幾個國家,如緬甸和日本。
通過追蹤分析惡意軟體和下載網站,研究人員試圖找到攻擊者用來繞過不同安全解決方案的工具和技術。例如,研究人員收集了部署在惡意下載網站上的腳本,這使他們能夠弄清楚它們的工作原理。研究人員還觀察到,Earth Preta 向不同的受害者提供不同的有效負載。
受害者研究
從 2023 年 1 月開始,研究人員就觀察到幾波針對不同地區個人的魚叉式網絡釣魚電子郵件。
魚叉式網絡釣魚郵件收件人的國家分布
研究人員還能根據目标行業對受害者進行細分。如下圖所示,大多數目标自電信行業。
魚叉式網絡釣魚郵件收件人的行業分布
2023 年,研究人員使用了新的攻擊指标監測了 Earth Preta,包括 MIROGO、QMAGENT 和名為 TONEDROP 的新 TONESHELL 釋放程式。
同樣,這些攻擊鏈也發生了變化。例如,除了部署合法的 Google Drive 下載鏈接外,攻擊者還使用其他類似但實際上不是 Google Drive 頁面的下載網站。
2023 年的事件時間線
Backdoor.Win32.QMAGENT
2023 年 1 月左右,研究人員發現 QMAGENT 惡意軟體通過魚叉式網絡釣魚電子郵件傳播,目标是與政府組織有關的個人。QMAGENT(也稱為 MQsTTang)最初是在 ESET 的一份報告中披露,值得注意的是,它利用了物聯網(IoT)設備中常用的 MQTT 協定來傳輸數據和命令。由于上述報告詳細描述了惡意軟體的技術細節,我們在此不再贅述。然而,研究人員認為所使用的協定值得進一步調查。
Backdoor.Win32.MIROGO
2023 年 2 月,研究人員發現了另一個用 Golang 編寫的名為 MIROGO 的後門,Check Point Research 首次将其報告為 TinyNote 惡意軟體。研究人員注意到,它是通過一封嵌入 Google Drive 鏈接的釣魚電子郵件發送的,然後下載了一個名為 Note-2.7z 的壓縮檔案。該壓縮檔案受密碼保護,密碼在電子郵件正文中提供。提取後,研究人員發現了一個偽裝成發給政府的可執行檔案。
MIROGO 攻擊流程
Trojan.Win32.TONEDROP
2023 年 3 月,研究人員發現了一個名為 TONEDROP 的新釋放程式,它可以釋放 TONEINS 和 TONESHELL 惡意軟體。它的攻擊鏈與之前報告中介紹的相似,涉及隐藏被異或的惡意二進制檔案的虛假檔案。
在接下來的幾個月裡,研究人員發現該組織還在使用這個釋放程式。在研究人員的調查過程中,他們發現了 TONESHELL 後門的一個新變體。
釋放程式流程
TONEDROP 中的檔案
在釋放和安裝檔案之前,TONEDROP 将檢查檔案夾 C:ProgramDataLuaJIT 是否存在,以确定環境是否已經被破壞。它還将檢查正在運行的進程和視窗是否與惡意軟體分析工具有關。如果是這樣,它将不會繼續其例行程式。
檢查正在運行的進程和視窗
如果所有條件都滿足了,它将開始安裝過程并釋放幾個檔案。這些檔案嵌入到釋放程式中,并使用異或密鑰解密。
釋放的檔案和用于解密它們的異或密鑰
被釋放後,WaveeditNero.exe 将側載 waveedit.dll 并解密其他兩個偽造的 PDF 檔案:
它用 XOR 密鑰 0x36 解密 C:userspubliclast.pdf,并将其寫入 C:userspublic documentsWinDbg(X64).exe。
它用 XOR 密鑰 0x2D 解密 C:userspublicupdate.pdf,并将其寫入 C:userspublicdocuments libvcl .dll。
TONEDROP 将為進程 C:userspublicdocumentsWinDbg(X64).exe 設定一個計劃任務,它将繞過加載 C:userspublicdocuments libvcl .dll。接下來,它将通過調用具有回調函數的 API EnumDisplayMonitors 來構造惡意負載并在内存中運行它。
TONESHELL 變體 D 的 C&C 協定
研究人員發現了 TONESHELL 的一個新變體,它具有如下命令和控制(C&C)協定請求數據包格式:
加密後發送數據的内容
C&C 協定類似于 PUBLOAD 和其他 TONESHELL 變體所使用的協定。研究人員将其歸類為 TONESHELL 變體 D,因為它還使用 CoCreateGuid 來生成唯一的受害者 ID,這與舊的變體類似。
在第一次握手中,有效負載應該是一個 0x221 字節長的緩衝區,其中包含加密密鑰和唯一受害者 ID。表 4 顯示了有效負載的結構。請注意,資料欄 type、victim_id 和 xor_key_seed 在發送緩衝區之前使用 xor_key 進行加密。
發送數據的内容
研究人員發現該惡意軟體将 victim_id 的值保存到檔案 %USERPROFILE%AppDataRoamingMicrosoftWeb.Facebook.config 中。
第一次握手中的有效負載
C&C 通信協定的工作原理如下:
1. 将包含 xor_key 和 victim_id 的握手發送到 C&C 伺服器;
2. 接收由魔術組成并且具有 0x02 大小的 5 字節大小的數據包;
3. 接收到一個用 xor_key 解密的 2 字節大小的數據包,該數據包的第一個字節必須為 0x08;
4. 接收到由魔術和下一個有效負載大小組成的數據。
5. 使用 xor_key 接收并解密數據。第一個字節是命令代碼,下面的數據是額外的信息。
C&C 通信
命令代碼
虛假 Google Drive 網站
2023 年 4 月,研究人員發現了一個傳播 QMAGENT 和 TONEDROP 等惡意軟體類型的下載網站。當研究人員請求 URL 時,它下載了一個名為 Documents.rar 的下載檔案,其中包含一個原來是 QMAGENT 示例的檔案。
下載網站的截圖
雖然這個頁面看起來像 Google Drive 下載頁面,但它實際上是一個試圖偽裝成普通網站的圖片檔案(gdrive.jpg)。在源代碼中,它運行腳本檔案,它将下載檔案 Document.rar。
嵌入下載網站的惡意腳本
2023 年 5 月,Earth Preta 連續傳播了具有不同路徑的同一下載網站來部署 TONESHELL,例如 https://rewards [ . ] roshan [ . ] af/aspnet_client/acv [ . ] htm。在這個版本中,攻擊者用另一段 JavaScript 混淆了惡意 URL 腳本,如下圖所示。
該頁面的源代碼
解碼後的惡意腳本 URL
最後,腳本 jQuery.min.js 将從 https://rewards.roshan [ . ] af/aspnet_client/Note-1 [ . ] rar 下載歸檔檔案。
jQuery.min.js 腳本
技術分析
在調查過程中,研究人員嘗試了幾種方法來追蹤事件,并将所有指标聯系在一起。研究人員的發現可以概括為三個方面:代碼相似性、C&C 連接和糟糕的操作安全性。
代碼相似性
研究人員觀察到 MIROGO 和 QMAGENT 惡意軟體之間有一些相似之處。由于檢測次數有限,研究人員認為這兩種工具都是 Earth Preta 開發的,且它們都是用兩種不同的編程語言實現了類似的 C&C 協定。
MIROGO 和 QMAGENT 惡意軟體的異同
C&C 通信
惡意軟體 QMAGENT 使用 MQTT 協定傳輸數據。經過分析,研究人員意識到所使用的 MQTT 協定沒有加密,也不需要任何授權。由于 MQTT 協定中的獨特 " 特性 "(一個人發布消息,其他所有人接收消息),研究人員決定監控所有消息。他們制作了一個 QMAGENT 客戶端,看看有多少受害者被盯上了。經過長期監測,研究人員制作了如下統計表:
QMAGENT 通信
主題名稱 iot/server0 用于檢測分析或調試環境,因此受害者數量最少。3 月份的峰值最高,因為 ESET 報告是在 3 月 2 日發布的,這個峰值涉及自動化系統(沙箱和其他分析系統)的激活。因此,研究人員決定将峰值分解成更小的範圍。
QMAGENT 受害者
來自 QMAGENT 惡意軟體的 C&C 請求 JSON 體包含一個 Alive 密鑰,該密鑰是惡意軟體的正常運行時間(以分鍾為部門)。
QMAGENT 受害者活動時間
研究人員将前 10 個的運行時間分為三類:473 秒、200 秒和 170 秒。由于涉及許多分析系統,研究人員認為這些時間是不同沙盒的一些常見的超時設定。例如,CAPEv2 沙箱中的默認超時設定正好是 200 秒。
CAPEv2 中的默認超時設定
操作安全性差
調查中,研究人員收集了幾個惡意壓縮檔案的下載鏈接。研究人員注意到,攻擊者不僅傳播了 Google Drive 鏈接,還傳播了由不同雲提供商托管的其他 IP 地址。以下是研究人員最近觀察到的一些下載鏈接:
很明顯,url 中的路徑遵循幾種模式,例如 /fav/xxxx 或 /f/xx。在檢查 url 時,研究人員還發現 xx 模式與受害者相關(這些模式是他們的國家代碼)。在調查下載網站 80 [ . ] 85 [ . ] 156 [ . ] ] 151(由 Python 的 SimpleHTTPServer 托管),研究人員發現它在端口 8000 上有一個打開的目錄,其中托管了大量的數據和腳本。
開放目錄漏洞
下載網站中的重要檔案如下:
打開目錄中的檔案
接下來,我們将介紹部署在伺服器上的腳本檔案。
Firewall: fw.sh
Earth Preta 使用腳本檔案 fw.sh 來阻止來自特定 IP 地址的傳入連接。禁止訪問的 IP 地址列在檔案 blacklist.txt 中。該組織似乎有意使用 python 請求、curl 和 wget 阻止來自某些已知爬蟲和某些已知安全提供程式的傳入請求。研究人員認為該組織正在試圖阻止該網站被掃描和分析。
"fw.sh" 腳本
blacklist.txt 中列出的一些 IP 地址
主伺服器:app.py
主腳本檔案 app.py 用于托管 web 伺服器并等待來自受害者的連接。它處理以下 URL 路徑:
下載網站的 URL 路徑
下載網站的根路徑如下圖所示。它顯示一條虛假信息,冒充來自谷歌。
網站的根頁面
同時,webchat 函數 /webchat 允許兩個用戶在同一頁面上相互通信。登錄用戶名和密碼在源代碼中進行硬編碼,分别為 john:john 和 tom:tom。
webchat 的登錄界面
登錄後,用戶可以通過 WebSocket 提交他們的短信,他們收到的所有消息都會顯示在這裡。基于硬編碼的用戶名,研究人員假設 "tom" 和 "john" 是相互合作的。
網絡聊天的源代碼
如上所述,研究人員收集的大多數惡意下載 URL 都遵循特定的模式,如 /fav/xxxx 或 /file/xxxx。根據源代碼,如果請求的 User-Agent 标頭包含以下任何字元串,則路徑 /fav/(依此類推)将下載有效負載 Documents.rar:Windows NT 10;
Windows NT 6;
這個壓縮檔案被托管在 IP 地址 80 [ . ] 85 [ . ] 157 [ . ] 3 上。如果不滿足指定的用戶代理條件,用戶将被重定向到另一個 Google Drive 鏈接。在撰寫本文時,研究人員無法檢索有效負載,因此無法确定它們是否确實是惡意的。研究人員認為,這是一種向不同受害者提供不同有效負載的機制。
"app.py" 中的源代碼
值得注意的是,每個源 IP 地址、請求标頭和請求 URL 都會記錄在每個連接上。然後,所有日志檔案都存儲在 /static 檔案夾中。
The logging files: /static"/static" 檔案夾包含大量的日志檔案,這些檔案似乎是由攻擊者手動更改的。在撰寫本文時,日志檔案記錄了 2023 年 1 月 3 日至 2023 年 3 月 29 日的日志。當研究人員找到它們的時候,檔案夾裡有 40 個日志檔案。
日志檔案列表
記錄請求的示例
研究人員還嘗試解析和分析日志檔案。由于檔案中包含了受害者的訪問日志,研究人員認為可以對其進行統計以進行進一步分析。日志記錄的格式如下:
研究人員還想知道受害者來自哪些國家。基于 app.py,訪問日志記錄了兩種 URL:
訪問日志中記錄的 URL
這些 URL 通常嵌入在電子郵件正文中。第一類 URL 用作電子郵件籤名,第二類 URL 用作下載鏈接。為了統計收到魚叉式網絡釣魚電子郵件的受害者人數,研究人員只保留了第一類 URL 的日志,因為受害者打開電子郵件時會請求這些籤名 URL。根據研究人員的數據,研究人員确定他們的主要目标來自立陶宛、拉脫維亞、愛沙尼亞、日本和緬甸。
來自不同國家的連接數量
要強調的是,這些連接只是這次活動的一小部分,因為這些日志只基于單個網站。很明顯,這個網站被用來存放針對歐洲地區受害者的惡意檔案。
在這些日志檔案的幫助下,研究人員能夠在野外收集許多分布式鏈接。
總結
Earth Preta 的攻擊目标除了亞太地區外,還将其範圍擴大到了歐洲。
研究人員懷疑該組織利用在之前一波攻擊中受攻擊的谷歌賬戶來繼續這一活動。經過分析,研究人員還能夠确定它一直在使用不同的技術繞過各種安全解決方案。從研究人員對其使用的 C&C 伺服器的監控中,他們還觀察到該組織在随後的攻擊中重用這些伺服器的趨勢。
通過研究人員對各種 Earth Preta 活動的觀察,他們注意到該組織傾向于用不同的編程語言建立類似的 C&C 協定和函數,這表明 Earth Preta 背後的攻擊者可能一直在提高他們的開發技能。然而,由于他們的操作失誤,研究人員還是能夠檢索到腳本并了解他們的攻擊工作流程。
