揭开Earth Preta最新的工作原理

今天小编分享的互联网经验：揭开Earth Preta最新的工作原理，欢迎阅读。

本文将介绍 Earth Preta APT 组织利用的最新工具、技术和程式（TTP）的更多技术细节。介绍在 2022 年 11 月，趋势科技的研究人员就披露了由高级持续性威胁（APT）组织 Earth Preta（也称为 Mustang Panda）发起的大规模网络钓鱼活动。该活动通过鱼叉式网络钓鱼电子邮件针对亚太地区的多个国家。自 2023 年初以来，该组织正在使用新的方法，例如 MIROGO 和 QMAGENT。

此外，研究人员还新发现了一个名为 TONEDROP 的释放程式，它可以释放 TONEINS 和 TONESHELL 恶意軟體，根据观察，该组织正在将其目标扩展到不同的地区，如东欧和西亚，再加上亚太地区的几个国家，如缅甸和日本。

通过追踪分析恶意軟體和下载网站，研究人员试图找到攻击者用来绕过不同安全解决方案的工具和技术。例如，研究人员收集了部署在恶意下载网站上的脚本，这使他们能够弄清楚它们的工作原理。研究人员还观察到，Earth Preta 向不同的受害者提供不同的有效负载。

受害者研究

从 2023 年 1 月开始，研究人员就观察到几波针对不同地区个人的鱼叉式网络钓鱼电子邮件。

鱼叉式网络钓鱼邮件收件人的国家分布

研究人员还能根据目标行业对受害者进行细分。如下图所示，大多数目标自电信行业。

鱼叉式网络钓鱼邮件收件人的行业分布

2023 年，研究人员使用了新的攻击指标监测了 Earth Preta，包括 MIROGO、QMAGENT 和名为 TONEDROP 的新 TONESHELL 释放程式。

同样，这些攻击链也发生了变化。例如，除了部署合法的 Google Drive 下载链接外，攻击者还使用其他类似但实际上不是 Google Drive 页面的下载网站。

2023 年的事件时间线

Backdoor.Win32.QMAGENT

2023 年 1 月左右，研究人员发现 QMAGENT 恶意軟體通过鱼叉式网络钓鱼电子邮件传播，目标是与政府组织有关的个人。QMAGENT（也称为 MQsTTang）最初是在 ESET 的一份报告中披露，值得注意的是，它利用了物联网（IoT）设备中常用的 MQTT 協定来传输数据和命令。由于上述报告详细描述了恶意軟體的技术细节，我们在此不再赘述。然而，研究人员认为所使用的協定值得进一步调查。

Backdoor.Win32.MIROGO

2023 年 2 月，研究人员发现了另一个用 Golang 编写的名为 MIROGO 的后门，Check Point Research 首次将其报告为 TinyNote 恶意軟體。研究人员注意到，它是通过一封嵌入 Google Drive 链接的钓鱼电子邮件发送的，然后下载了一个名为 Note-2.7z 的压缩檔案。该压缩檔案受密码保护，密码在电子邮件正文中提供。提取后，研究人员发现了一个伪装成发给政府的可执行檔案。

MIROGO 攻击流程

Trojan.Win32.TONEDROP

2023 年 3 月，研究人员发现了一个名为 TONEDROP 的新释放程式，它可以释放 TONEINS 和 TONESHELL 恶意軟體。它的攻击链与之前报告中介绍的相似，涉及隐藏被异或的恶意二进制檔案的虚假檔案。

在接下来的几个月里，研究人员发现该组织还在使用这个释放程式。在研究人员的调查过程中，他们发现了 TONESHELL 后门的一个新变体。

释放程式流程

TONEDROP 中的檔案

在释放和安装檔案之前，TONEDROP 将检查檔案夹 C:ProgramDataLuaJIT 是否存在，以确定环境是否已经被破坏。它还将检查正在运行的进程和視窗是否与恶意軟體分析工具有关。如果是这样，它将不会继续其例行程式。

检查正在运行的进程和視窗

如果所有条件都满足了，它将开始安装过程并释放几个檔案。这些檔案嵌入到释放程式中，并使用异或密钥解密。

释放的檔案和用于解密它们的异或密钥

被释放后，WaveeditNero.exe 将侧载 waveedit.dll 并解密其他两个伪造的 PDF 檔案：

它用 XOR 密钥 0x36 解密 C:userspubliclast.pdf，并将其写入 C:userspublic documentsWinDbg（X64）.exe。

它用 XOR 密钥 0x2D 解密 C:userspublicupdate.pdf，并将其写入 C:userspublicdocuments libvcl .dll。

TONEDROP 将为进程 C:userspublicdocumentsWinDbg（X64）.exe 設定一个计划任务，它将绕过加载 C:userspublicdocuments libvcl .dll。接下来，它将通过调用具有回调函数的 API EnumDisplayMonitors 来构造恶意负载并在内存中运行它。

TONESHELL 变体 D 的 C&C 協定

研究人员发现了 TONESHELL 的一个新变体，它具有如下命令和控制（C&C）協定请求数据包格式：

加密后发送数据的内容

C&C 協定类似于 PUBLOAD 和其他 TONESHELL 变体所使用的協定。研究人员将其归类为 TONESHELL 变体 D，因为它还使用 CoCreateGuid 来生成唯一的受害者 ID，这与旧的变体类似。

在第一次握手中，有效负载应该是一个 0x221 字节长的缓冲区，其中包含加密密钥和唯一受害者 ID。表 4 显示了有效负载的结构。请注意，資料欄 type、victim_id 和 xor_key_seed 在发送缓冲区之前使用 xor_key 进行加密。

发送数据的内容

研究人员发现该恶意軟體将 victim_id 的值保存到檔案 %USERPROFILE%AppDataRoamingMicrosoftWeb.Facebook.config 中。

第一次握手中的有效负载

C&C 通信協定的工作原理如下：

1. 将包含 xor_key 和 victim_id 的握手发送到 C&C 伺服器；

2. 接收由魔术组成并且具有 0x02 大小的 5 字节大小的数据包；

3. 接收到一个用 xor_key 解密的 2 字节大小的数据包，该数据包的第一个字节必须为 0x08；

4. 接收到由魔术和下一个有效负载大小组成的数据。

5. 使用 xor_key 接收并解密数据。第一个字节是命令代码，下面的数据是额外的信息。

C&C 通信

命令代码

虚假 Google Drive 网站

2023 年 4 月，研究人员发现了一个传播 QMAGENT 和 TONEDROP 等恶意軟體类型的下载网站。当研究人员请求 URL 时，它下载了一个名为 Documents.rar 的下载檔案，其中包含一个原来是 QMAGENT 示例的檔案。

下载网站的截图

虽然这个页面看起来像 Google Drive 下载页面，但它实际上是一个试图伪装成普通网站的图片檔案（gdrive.jpg）。在源代码中，它运行脚本檔案，它将下载檔案 Document.rar。

嵌入下载网站的恶意脚本

2023 年 5 月，Earth Preta 连续传播了具有不同路径的同一下载网站来部署 TONESHELL，例如 https://rewards [ . ] roshan [ . ] af/aspnet_client/acv [ . ] htm。在这个版本中，攻击者用另一段 JavaScript 混淆了恶意 URL 脚本，如下图所示。

该页面的源代码

解码后的恶意脚本 URL

最后，脚本 jQuery.min.js 将从 https://rewards.roshan [ . ] af/aspnet_client/Note-1 [ . ] rar 下载归档檔案。

jQuery.min.js 脚本

技术分析

在调查过程中，研究人员尝试了几种方法来追踪事件，并将所有指标联系在一起。研究人员的发现可以概括为三个方面：代码相似性、C&C 连接和糟糕的操作安全性。

代码相似性

研究人员观察到 MIROGO 和 QMAGENT 恶意軟體之间有一些相似之处。由于检测次数有限，研究人员认为这两种工具都是 Earth Preta 开发的，且它们都是用两种不同的编程语言实现了类似的 C&C 協定。

MIROGO 和 QMAGENT 恶意軟體的异同

C&C 通信

恶意軟體 QMAGENT 使用 MQTT 協定传输数据。经过分析，研究人员意识到所使用的 MQTT 協定没有加密，也不需要任何授权。由于 MQTT 協定中的独特 " 特性 "（一个人发布消息，其他所有人接收消息），研究人员决定监控所有消息。他们制作了一个 QMAGENT 客户端，看看有多少受害者被盯上了。经过长期监测，研究人员制作了如下统计表：

QMAGENT 通信

主题名称 iot/server0 用于检测分析或调试环境，因此受害者数量最少。3 月份的峰值最高，因为 ESET 报告是在 3 月 2 日发布的，这个峰值涉及自动化系统（沙箱和其他分析系统）的激活。因此，研究人员决定将峰值分解成更小的范围。

QMAGENT 受害者

来自 QMAGENT 恶意軟體的 C&C 请求 JSON 体包含一个 Alive 密钥，该密钥是恶意軟體的正常运行时间（以分钟为部門）。

QMAGENT 受害者活动时间

研究人员将前 10 个的运行时间分为三类：473 秒、200 秒和 170 秒。由于涉及许多分析系统，研究人员认为这些时间是不同沙盒的一些常见的超时設定。例如，CAPEv2 沙箱中的默认超时設定正好是 200 秒。

CAPEv2 中的默认超时設定

操作安全性差

调查中，研究人员收集了几个恶意压缩檔案的下载链接。研究人员注意到，攻击者不仅传播了 Google Drive 链接，还传播了由不同云提供商托管的其他 IP 地址。以下是研究人员最近观察到的一些下载链接：

很明显，url 中的路径遵循几种模式，例如 /fav/xxxx 或 /f/xx。在检查 url 时，研究人员还发现 xx 模式与受害者相关（这些模式是他们的国家代码）。在调查下载网站 80 [ . ] 85 [ . ] 156 [ . ] ] 151（由 Python 的 SimpleHTTPServer 托管），研究人员发现它在端口 8000 上有一个打开的目录，其中托管了大量的数据和脚本。

开放目录漏洞

下载网站中的重要檔案如下：

打开目录中的檔案

接下来，我们将介绍部署在伺服器上的脚本檔案。

Firewall: fw.sh

Earth Preta 使用脚本檔案 fw.sh 来阻止来自特定 IP 地址的传入连接。禁止访问的 IP 地址列在檔案 blacklist.txt 中。该组织似乎有意使用 python 请求、curl 和 wget 阻止来自某些已知爬虫和某些已知安全提供程式的传入请求。研究人员认为该组织正在试图阻止该网站被扫描和分析。

"fw.sh" 脚本

blacklist.txt 中列出的一些 IP 地址

主伺服器：app.py

主脚本檔案 app.py 用于托管 web 伺服器并等待来自受害者的连接。它处理以下 URL 路径：

下载网站的 URL 路径

下载网站的根路径如下图所示。它显示一条虚假信息，冒充来自谷歌。

网站的根页面

同时，webchat 函数 /webchat 允许两个用户在同一页面上相互通信。登录用户名和密码在源代码中进行硬编码，分别为 john:john 和 tom:tom。

webchat 的登录界面

登录后，用户可以通过 WebSocket 提交他们的短信，他们收到的所有消息都会显示在这里。基于硬编码的用户名，研究人员假设 "tom" 和 "john" 是相互合作的。

网络聊天的源代码

如上所述，研究人员收集的大多数恶意下载 URL 都遵循特定的模式，如 /fav/xxxx 或 /file/xxxx。根据源代码，如果请求的 User-Agent 标头包含以下任何字元串，则路径 /fav/（依此类推）将下载有效负载 Documents.rar：Windows NT 10；

Windows NT 6；

这个压缩檔案被托管在 IP 地址 80 [ . ] 85 [ . ] 157 [ . ] 3 上。如果不满足指定的用户代理条件，用户将被重定向到另一个 Google Drive 链接。在撰写本文时，研究人员无法检索有效负载，因此无法确定它们是否确实是恶意的。研究人员认为，这是一种向不同受害者提供不同有效负载的机制。

"app.py" 中的源代码

值得注意的是，每个源 IP 地址、请求标头和请求 URL 都会记录在每个连接上。然后，所有日志檔案都存储在 /static 檔案夹中。

The logging files: /static"/static" 檔案夹包含大量的日志檔案，这些檔案似乎是由攻击者手动更改的。在撰写本文时，日志檔案记录了 2023 年 1 月 3 日至 2023 年 3 月 29 日的日志。当研究人员找到它们的时候，檔案夹里有 40 个日志檔案。

日志檔案列表

记录请求的示例

研究人员还尝试解析和分析日志檔案。由于檔案中包含了受害者的访问日志，研究人员认为可以对其进行统计以进行进一步分析。日志记录的格式如下：

研究人员还想知道受害者来自哪些国家。基于 app.py，访问日志记录了两种 URL：

访问日志中记录的 URL

这些 URL 通常嵌入在电子邮件正文中。第一类 URL 用作电子邮件签名，第二类 URL 用作下载链接。为了统计收到鱼叉式网络钓鱼电子邮件的受害者人数，研究人员只保留了第一类 URL 的日志，因为受害者打开电子邮件时会请求这些签名 URL。根据研究人员的数据，研究人员确定他们的主要目标来自立陶宛、拉脱维亚、爱沙尼亚、日本和缅甸。