研究人員近期發(fā)現(xiàn)了APT34利用新工具集進(jìn)行的網(wǎng)絡(luò)活動(dòng)。根據(jù)此次發(fā)現(xiàn)的網(wǎng)絡(luò)釣魚(yú)文件，伊朗黑客組織將美國(guó)Westat員工或Westat提供服務(wù)的組織作為攻擊目標(biāo)。Westat是一家美國(guó)公司，為美國(guó)政府機(jī)構(gòu)以及企業(yè)，基金會(huì)以及州和地方政府提供研究服務(wù)。

APT34背景

APT34(也稱(chēng)為OilRig或Helix Kitten)是由伊朗政府支持的網(wǎng)絡(luò)間諜組織，自2014年以來(lái)一直活躍。該組織的目標(biāo)多為國(guó)際組織，主要集中在中東地區(qū)。他們的目標(biāo)行業(yè)包括政府機(jī)構(gòu)，金融服務(wù)，能源和公共服務(wù)，電信以及石油和天然氣。2019年4月，該組織信息被揭露，包括受害者數(shù)據(jù)，黑客工具源代碼和APT34操作的數(shù)據(jù)(Web Shell和域信息)。

最近，F(xiàn)ireEye揭露了APT34進(jìn)行的魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)攻擊，兩次活動(dòng)所使用的技術(shù)和工具相似，夠確定此次針對(duì)Westat的攻擊也是同一個(gè)組織所為。

初始攻擊

在2020年1月下旬發(fā)現(xiàn)了名為survey.xls的文件，該文件看起來(lái)像是針對(duì)Westat員工或Westat客戶量身定制的員工滿意度調(diào)查。最初電子表格是空白的，僅當(dāng)受害者啟用宏后調(diào)查表才會(huì)顯示給用戶，惡意VBA代碼開(kāi)始執(zhí)行。

VBA將zip文件解壓到臨時(shí)文件夾中，提取“Client update.exe”可執(zhí)行文件并將其安裝到“C:UsersvalsClient update.exe”。“Client update.exe”是TONEDEAF惡意軟件修改版本，將其命名為T(mén)ONEDEAF 2.0。最后，crtt函數(shù)創(chuàng)建計(jì)劃任務(wù)“CheckUpdate”。

提取的VBA代碼和功能與FireEye報(bào)告中分析的代碼相似：

此外還發(fā)現(xiàn)了一個(gè)類(lèi)似的文件，名為“Employee satisfaction survey.xls”。

該文檔的“代碼頁(yè)”字段是阿語(yǔ)，可見(jiàn)阿語(yǔ)是文檔作者M(jìn)icrosoft Excel版本上安裝的首選語(yǔ)言：

TONEDEAF 2.0

“Client update.exe”看起來(lái)是一個(gè)全新的后門(mén)惡意軟件，進(jìn)一步的檢查顯示它是一個(gè)修改版本。TONEDEAF后門(mén)通過(guò)HTTP與命令和控制服務(wù)器通信，接收和執(zhí)行命令。FireEye最近的報(bào)告中提到了該工具是APT34組織定制工具之一。

TONEDEAF 2.0與原始版本的目的相同，但是它有一個(gè)經(jīng)過(guò)改進(jìn)的C2通信協(xié)議和代碼庫(kù)。與原來(lái)的TONEDEAF不同，TONEDEAF 2.0只包含shell執(zhí)行功能，不支持任何預(yù)定義的命令。它還包含了動(dòng)態(tài)導(dǎo)入、字符串解碼和目標(biāo)欺騙等新方法。

在執(zhí)行時(shí)程序會(huì)檢查是否以“…”作為參數(shù)執(zhí)行，如果在沒(méi)有正確參數(shù)，例如通過(guò)雙擊啟動(dòng)它。它將向用戶顯示一個(gè)空白的窗口，使惡意軟件看起來(lái)像一個(gè)合法的應(yīng)用程序。

TONEDEAF 2.0還隱藏API，api名稱(chēng)以及dll被存儲(chǔ)為字符串，在運(yùn)行時(shí)按需解碼和解析。

C2通信

后門(mén)使用HTTP進(jìn)行C2通信，具有自定義編碼和通信機(jī)制。后門(mén)發(fā)送的消息包含HTTP查詢參數(shù)“?ser=<6 digits>”作為標(biāo)識(shí)符。前三位是，后三位是。消息格式：

• GET /dow?ser= 請(qǐng)求消息，用于從服務(wù)器獲取要執(zhí)行的命令。
• POST /upl?ser== 回復(fù)命令消息，將執(zhí)行的命令結(jié)果發(fā)送到服務(wù)器。

在分析過(guò)程中C2處于活動(dòng)狀態(tài)，但不斷向請(qǐng)求回復(fù)403 Forbidden HTTP錯(cuò)誤代碼。 C2可能正在過(guò)濾目標(biāo)，分析中發(fā)送的client_id參數(shù)與目標(biāo)受害者參數(shù)不匹配。如果C2接受了ID，將使用和后門(mén)需要執(zhí)行的命令的編碼消息進(jìn)行回復(fù)。

該惡意軟件將在命令前添加“ cmd U c”來(lái)執(zhí)行該命令，并使用POST回復(fù)消息將命令結(jié)果發(fā)送回C2。當(dāng)通過(guò)瀏覽器訪問(wèn)C2時(shí)，該站點(diǎn)嘗試模仿

https://docs.microsoft.com/en-us/，由于CSS配置錯(cuò)誤無(wú)法正確顯示 ：

還發(fā)現(xiàn)最近已生成與C2域匹配的SSL證書(shū)：

表明攻擊者正在過(guò)渡到HTTPS通信，提高其OPSEC功能并避免檢測(cè)。

原始TONEDEAF痕跡

通過(guò)對(duì)更改和新增部分的分析，有足夠證據(jù)可將TONEDEAF 2.0與TONEDEAF聚類(lèi)在一起。 雖然大部分代碼已被修改，但總體流程和功能相似。 C2通信不同，但仍然與TONEDEAF相似，例如對(duì)受害者和服務(wù)器使用三位數(shù)字標(biāo)識(shí)符。此外，兩種惡意軟件中都在Windows狀態(tài)欄中創(chuàng)建了一個(gè)通知圖標(biāo)。

VALUEVAULT 2.0

目前無(wú)法下載其他模塊，但是可以確認(rèn)活動(dòng)中使用了VALUEVAULT。 它是Golang中內(nèi)置的瀏覽器憑證盜竊工具，是FireEye在分析APT34操作時(shí)發(fā)現(xiàn)的。用戶上傳的VALUEVAULT和TONEDEAF 2.0，與同一用戶上載到VirusTotal的Survey.xls文件僅相隔幾分鐘，表明這些惡意軟件屬于攻擊的一部分。

與以前的版本相比，此VALUEVAULT采用了更為簡(jiǎn)化的方法，舍棄了許多功能和字符串， 現(xiàn)在僅支持Chrome密碼轉(zhuǎn)儲(chǔ)。

此外，VALUEVAULT 2.0是64位二進(jìn)制文件，而VALUEVAULT 1.0是32位二進(jìn)制文件。

總結(jié)

上個(gè)月APT34的最后一次操作是由FireEye揭露的，從目前的調(diào)查結(jié)果來(lái)看，本次針對(duì)美國(guó)公司的網(wǎng)絡(luò)攻擊行為也是該組織所為。對(duì)惡意軟件變種技術(shù)分析顯示，該組織已投入大量精力來(lái)升級(jí)其工具集，逃避檢測(cè)。

IOCs

• manygoodnews[.]com
• c10cd1c78c180ba657e3921ee9421b9abd5b965c4cdfaa94a58e383b45bb72ca
• 4c323bc11982b95266732c01645c39618550e68f25c34f6d3d79288eae7d4378
• a897164e3547f0ce3aaa476b0364a200769e8c07ce825bcfdc43939dd1314bb1
• 20b3d046ed617b7336156a64a0550d416afdd80a2c32ce332be6bbfd4829832c
• d61eecd7492dfa461344076a93fc2668dc28943724190faf3d9390f8403b6411