經過幾個月的調查,趨勢科技的研究人員發現 Earth Preta 正在使用一些從未被公開的惡意軟件和用于洩露目的的有趣工具。研究人員還觀察到攻擊者正在積極地改變研究人員的工具、戰術和程序(TTP)以繞過安全解決方案。在這篇文章中,研究人員還将介紹和分析攻擊者使用的其他工具和惡意軟件。
在之前的研究中,研究人員披露并分析了 Earth Preta ( 又名 Mustang Panda ) 組織發起的一項新型攻擊活動。在最近的一次活動中,研究人員通過監測發現 Earth Preta 通過魚叉式網絡釣魚郵件和谷歌驅動器鏈接發送誘餌文件。經過幾個月的調查,研究人員發現攻擊者在這次活動中使用了一些從未公開的惡意軟件和用于洩露目的的有趣工具。
感染鏈
經調查,整個攻擊始于魚叉式網絡釣魚電子郵件。經過對攻擊程序的長期調查,研究人員确定了完整的感染鏈如下所示。
完整的感染鏈
研究人員将不同的 TTP 分爲六個階段:攻擊載體、發現、權限升級、橫向移動、命令與控制 ( C&C ) 和洩露。在之前的研究中,研究人員在第一階段 ( 攻擊載體 ) 涵蓋了大多數新的 TTP 和惡意軟件。但是,研究人員觀察到一些 TTP 已經發生了變化。在接下來的部分中,我們将重點關注更新後的攻擊載體及其後續階段。
攻擊載體
之前 Earth Preta 使用的攻擊載體,研究人員将它們分爲三種類型(DLL 側加載、快捷鏈接和僞文件擴展名)。從 2022 年 10 月和 11 月開始,研究人員觀察到攻擊者開始改變研究人員的 TTP,以部署 TONEINS、TONESHELL 和 PUBLOAD 惡意軟件和 QMAGENT 惡意軟件。研究人員認爲,攻擊者正在使用這些新技術逃避。
Trojan.Win32.TONEINS
根據研究人員之前的觀察,TONEINS 和 TONESHELL 惡意軟件是從嵌入電子郵件正文的谷歌驅動器鏈接下載的。爲了繞過電子郵件掃描服務和電子郵件網關解決方案,谷歌驅動器鏈接現在已經嵌入到誘餌文件中。該文件誘使用戶下載帶有嵌入式鏈接的受密碼保護的惡意文件。然後可以通過文件中提供的密碼在内部提取文件。通過使用此技術,攻擊背後的惡意攻擊者可以成功繞過掃描服務。
一份誘餌文件,其中嵌入了谷歌驅動器鏈接和密碼
在新的攻擊載體中,整個感染流程已更改爲下圖所示的程序。
攻擊載體的感染流
新攻擊載體中的文件
在分析下載的文件後,研究人員發現這是一個惡意 RAR 文件,包含 TONEINS 惡意軟件 libcef.dll 和 border.docx 中的 TONESHELL malware ~List of terrorist personnel 。它們的感染流程類似于之前報告中的攻擊載體類型 C,唯一的區别是僞造的 .docx 文件具有 XOR 加密内容,以防止被檢測到。例如,~$Evidence information.docx 是一個僞裝成 Office Open XML 文件的文件。因此,它似乎是無害的,甚至可以通過使用 7-Zip 等解壓軟件打開。
攻擊者在一個文件的 ZIPFILERECORD 結構中隐藏了一個 PE 文件。TONEINS 惡意軟件 libcef.dll 将在 XOR 操作中用一個字節解密該文件,找到 PE 頭,并将有效負載放置到指定的路徑。
在對最後一個 ZIPFILECECORD 結構中的 frData 成員進行解密後,将顯示 PE 文件
TONEINS 的解密函數
感染流的後續行爲通常與之前的分析相同,更多的細節我們之前已經介紹過。
Trojan.Win32.PUBLOAD
在最近的案例中,惡意軟件 PUBLOAD 也是通過嵌入在誘餌文件中的谷歌驅動器鏈接傳播的。
美國大使館的誘餌邀請函
自 2022 年 10 月以來,研究人員一直在觀察 PUBLOAD 的一種新變體,該變體使用僞造的 HTTP 标頭來傳輸數據,LAC 的報告也讨論了這一點。與之前的 PUBLOAD 變體不同,它在數據包中預先準備了一個具有合法主機名的 HTTP 标頭。研究人員認爲,攻擊者試圖在正常流量中隐藏惡意數據。HTTP 正文中的數據與過去的變體相同,後者具有相同的魔法字節 17 03 03 和加密的受害者信息。研究人員能夠成功地從實時 C&C 服務器中檢索到有效負載,這使得我們能夠繼續分析。
PUBLOAD HTTP 變體的 C&C 流量
一旦接收到有效負載,它将檢查前三個魔術字節是否爲 17 03 03,以及接下來的兩個字節是否爲有效載荷的大小。然後,它将使用預定義的 RC4 密鑰 78 5A 12 4D 75 14 14 11 6C 02 71 15 5A 73 05 08 70 14 65 3B 64 42 22 23 2000 00 00 00 00 00 00 00 00 解密加密的有效負載,該密鑰與 PUBLOAD 加載程序中使用的密鑰相同。
從 PUBLOAD HTTP 變體檢索到的第一個有效負載
解密之後,它檢查解密有效負載的第一個字節是否爲 0x06。解密的有效負載包含用字節 23 BE 84 E1 6C D6 AE 52 90 進行 XOR 加密的另一個有效負載。
從 PUBLOAD HTTP 變體檢索到的第二個有效負載
解密後,還有另一個支持數據上傳和命令執行的最終後門負載。
PUBLOAD HTTP 變體的最終有效負載
PUBLOAD HTTP 變體中的命令代碼
此外,研究人員還在 PUBLOAD 示例中發現了一些有趣的調試字符串和事件名稱。
PUBLOAD 中的事件名稱
PUBLOAD 中的調試字符串
總之,研究人員認爲新的 TONESHELL 和 PUBLOAD 文件一直在叠代,且有了一些共同之處。例如,爲了繞過防病毒掃描,它們現在都被放置在誘餌文件中(如谷歌硬盤鏈接)。
攻擊過程
一旦攻擊者獲得了對受害者環境的訪問權限,研究人員就可以通過以下命令開始檢查環境:
權限提升
在這次活動中,研究人員發現了 Windows 10 中用于 UAC 繞過的幾個工具。接下來我們将一一介紹。
HackTool.Win 32.ABPASS
HackTool.Win32.ABPASS 是一個用于繞過 Windows 10 中的 UAC 的工具。根據我們的分析,它重用了 ucmShellRegModMethod3 函數中的代碼,該函數來自一個著名的開源項目 UACME。Sophos 的一份報告介紹了這一工具。
該工具接受一個參數,并将以下數據寫入注冊表:
ABPASS 更改了注冊表項
它還改變了 Windows 處理 ms-settings 協議的方式,在本例中,字符串 ms-settings 是一個編程标識符 ( ProgID ) 。如果 CurVer 項設置在 ProgID 下,它将用于版本控制并将當前 ProgID ( ms-settings ) 映射到 CurVer 默認值中指定的 ProgID。反過來,ms-settings 的行爲被重定向到自定義的 ProgID aaabbb32。它還設置了一個新的 ProgID aaabbb32 及其 shell 打開命令。最後,執行 fodhelper.exe 或 computerDefaults.exe 來觸發 ms-settings 協議。
新增的 ProgID aaabbb32
HackTool.Win 32.CCPASS
HackTool.Win 32.CCPASS 是另一個用于 Windows 10 UAC 繞過的工具,并類似地重用項目 UACME 中函數 ucmMsStoreProtocolMethod 中的代碼。
CCPASS 和 ucmMsStoreProtocolMethod 中的代碼相似性
它的工作方式與 ABPASS 類似。然而,與 ABPASS 不同的是,它劫持了 ms-windows 存儲協議。黑客工具 CCPASS 的工作原理如下:
1. 它禁用了協議 ms-windows 存儲的應用程序關聯 toast。
2. 它在注冊表中創建一個新的 Shell;
3. 它調用未記錄的 API UserAssocSet 來更新文件關聯;
4. 它執行 WSReset.exe 來觸發此協議。
在 Windows 10 及以上版本中,系統會顯示一個新的 toast 對話框,用于爲選定的文件類型選擇打開的應用程序。要隐藏此窗口,該工具會明顯地将新條目添加到 HKCUSoftwareMicrosoftWindowsCurrentVersionApplicationAssociationToast,以禁用與協議 ms-Windows 存儲相關的所有 Toast。
應用程序關聯 toast 的示例
通過注冊表隐藏應用程序關聯 toast
完成此操作後,該工具開始更改 ms-windows-store 的 shell 命令,并最終使用 WSReset.exe 觸發它。
SilentCleanup
在 Windows 10 中,有一個名爲 "SilentCleanup" 的本地 Windows 服務。該服務具有最高權限,可以用于 Windows 10 UAC 繞過。通常,此服務用于運行 %windir%system32cleanmgr.exe。但是,可以劫持環境變量 %windir% 并将其更改爲任何路徑以實現權限升級。
濫用 SilentCleanup 服務的惡意命令
研究人員觀察到攻擊者使用這種技術來執行 c:userspublic1.exe。
橫向運動
在這個階段,研究人員觀察到某些惡意軟件,如 HIUPAN 和 ACNSHELL(最初由 Mandiant 和 Sophos 引入并分析),被用來自我安裝到可移動磁盤并創建反向 shell。
USB 蠕蟲 : Worm.Win 32.HIUPAN and+ Backdoor.Win 32.ACNSHELL
研究人員發現了一組由 USB 蠕蟲和反向 shell 組成的惡意軟件,包括 USB 蠕蟲和反向 shell ( 被檢測爲 Worm.Win32.HIUPAN 和 Backdoor.Win32.ACNSHELL ) ,用于在可移動驅動器上進行擴展。
感染鏈如下圖所示。
HIUPAN 和 ACNSHELL 感染流
USB Driver.exe 程序首先側加載 u2ec.dll,然後加載有效負載文件 USB .ini。它們分别具有以下 PDB 字符串:
G:projectAPTU 盤劫持 newu2ecReleaseu2ec.pdb
G:projectAPTU 盤劫持 newshellcodeReleaseshellcode.pdb
其中 "U 盤 " 指的是可移動驅動器。
然後,USB Driver.exe 開始檢查是否正确安裝。如果安裝了它,它将開始感染更多的可移動磁盤,并将文件複制到一個名爲 autorun.inf 的文件夾中。如果沒有安裝,它會将自己安裝到 %programdata%,然後将注冊表運行項設置爲持久性。
最後,側加載 ACNSHELL 惡意軟件 rzlog4cpp.dll。然後,它将通過 ncat.exe 創建一個反向 shell,用于關閉 [ . ] theworkpc [ . ] com 的服務器。
指揮與控制 ( C&C ) 階段
Earth Preta 在 C&C 階段使用了多種工具和命令。例如,該組織使用 certutil.exe 從服務器 103 [ . ] 159 [ . ] 132 [ . ] 91 下載合法的 WinRAR 二進制文件 rar1.exe。
certutil.exe 程序下載 WinRAR 二進制文件
研究人員還觀察到攻擊者使用 PowerShell 從服務器 103 [ . ] 159 [ . ] 132 [ . ] 下載多個惡意軟件和文件,以備将來使用。
PowerShell 下載惡意軟件
在某些示例中,研究人員甚至利用安裝在受害主機上的 WinRAR 二進制文件來解壓所有惡意軟件。
使用已安裝的 WinRAR 二進制文件解壓惡意軟件
雖然研究人員發現了涉及多個被釋放惡意軟件的幾個日志,但研究人員隻設法找回了其中的幾個。在收集的所有示例中,我們将重點介紹其中幾個。
Backdoor.Win32.CLEXEC
CLEXEC 後門文件名爲 "SensorAware.dll"。這是一個簡單的後門,能夠執行命令和清除事件日志。
CLEXEC 命令代碼
Backdoor.Win32.COOLCLIENT
COOLCLIENT 的後門首次出現在 Sophos 的一份報告中,報告中提到的樣本是在 2021 編譯的。在該示例中,研究人員分析的 COOLCLIENT 示例的最近編譯時間是在 2022 年,雖然它提供了相同的功能,但當當前進程名具有 ".pdf" 或 ".jpg" 文件擴展名時,它新增了打開誘餌文件 ( work.pdf ) 的功能。它還包含減少調試字符串 ( 更少 OutputDebugStrings 調用 ) 的功能。與此同時 ,loader.ja 在兩個進程下使用:一個是在 googleupdate.exe 下,用于第一次側加載。第二個是在 winver.exe 下,它被注入進行後門行爲。此外,COOLCLIENT 應用了将在我們将在後面讨論的混淆技術。
打開誘餌文件
下圖顯示了 COOLCLIENT 的整個執行流程。
COOLCLIENT 的執行流
COOLCLIENT 的參數提供了以下功能:
install. 有三種不同的條件來決定 COOLCLIENT 的安裝方法,詳細信息如下:
1. 它通過創建一個名爲 InstallSvc 的 InstallSvc 服務來自我安裝,該服務将觸發 "googleupdate.exe work"。
2. 它通過命令 C:ProgramDataGoogleUpdate GoogleUpdate .exe 爲持久活動設置了一個運行項。
work. 惡意軟件将繼續讀取和解密 goopdate.ja,并将其注入到 winver.exe 中以用于包含攻擊的下一階段負載(COOLCLIENT)。
passuac. 惡意軟件将檢查進程 avp.exe 是否存在。如果 avp.exe 不存在,UAC 繞過将通過 CMSTPLUA COM 接口執行。如果 avp.exe 存在,UAC 繞過将通過 AppInfo RPC 服務執行。
通過 CMSTPLUA COM 接口繞過 UAC
通過 AppInfo RPC 服務繞過 UAC
根據 COOLCLIENT 中使用的類名,研究人員發現它讀取加密的配置文件可以通過 time.sig 擴展 C&C 服務器,time.sig 是一種加密的配置。它還能夠通過不同的網絡協議如 UDP ( 用戶數據報協議 ) 和 TCP ( 傳輸控制協議 ) 進行通信,根據一些内部字符串和 Earth Preta 使用的 API,可以推斷出該後門的功能如下:
發送端口映射;
建立連接;
讀取文件;
删除文件;
按鍵和窗口監控。
Backdoor.Win32.TROCLIENT
後門 TROCLIENT 也是在 Sophos 的報告中首次披露的,它與 COOLCLIENT 類似。然而,這個後門有一個反調試技術,它将檢查正在運行的進程是否有字符串 dbg.exe 或 olly。
TROCLIENT 反調試技術
下圖顯示了 TROCLIENT 的整個執行流程。
TROCLIENT 的執行流程
TROCLIENT 的參數提供以下功能:
install. 有兩種方法來确定 TROCLIENT 的安裝方法,詳細信息如下:
1. 它通過創建一個名爲 InstallSvc 的服務來自我安裝,該服務将觸發 "C:programdatanetskynetsky.exe online"。
2. 它爲 C:programdatanetskynetsky.exe 命令在線設置了一個運行項以保持持久性。
online: 它将讀取下一階段的有效負載,free.plg 和 main.plg。并将它們注入到 dllhost.exe 中。
passuac: 惡意軟件會檢查 avp.exe 進程是否存在。如果沒有,則通過 CMSTPLUA COM 接口執行 UAC 繞過。如果 avp.exe 存在,則通過令牌操作執行 UAC 繞過。
三個不同參數的功能
此後門提供以下功能:
監控按鍵和窗口。
如下表所示,COOLCLIENT 和 TROCLIENT 之間有一些相似之處和不同之處。
COOLCLIENT 和 TROCLIENT 的比較
除了前面提到的惡意軟件,研究人員還發現了幾個用于 PlugX 的 shell 代碼加載程序。由于它是一個已知的惡意軟件家族,我們不會在此詳細描述。
數據竊取
根據監控分析,研究人員發現 Earth Preta 使用了多種方法從受害者那裏竊取敏感數據。例如,在某些情況下,研究人員觀察到利用 WinRAR 和 curl ( 或 curl ) 來收集數據并将數據傳輸到攻擊者的服務器。經過進一步調查,研究人員甚至發現了一些以前從未見過的惡意軟件,這些惡意軟件被用來以自定義文件格式收集數據。
在下一篇文章中,我們将詳細介紹由 Earth Preta 開發的獨特竊取工具。
