[[406105]]

研究人員說，我們發(fā)現(xiàn)了一個(gè)正在秘密進(jìn)行的監(jiān)視行動(dòng)，其目標(biāo)是使用一個(gè)以前從未見過的惡意軟件來攻擊一個(gè)東南亞國家的政府。

據(jù)Check Point研究公司稱，該攻擊通過發(fā)送附加了惡意的Word文檔的魚叉式釣魚郵件，來獲得系統(tǒng)的初始訪問權(quán)限，同時(shí)也會利用已知的微軟Office安全漏洞。研究人員說，最值得注意的是，我們發(fā)現(xiàn)了一個(gè)新的后門文件，這個(gè)APT組織三年來一直在開發(fā)這個(gè)后門。

根據(jù)Check Point的分析，這些文件發(fā)給了一個(gè)東南亞政府的不同雇員的郵箱中。在某些情況下，這些電子郵件含有欺詐信息，看起來像是來自其他政府的相關(guān)文件。這些電子郵件的附件看起來像是合法的官方文件，但是實(shí)際上是一個(gè)后門文件，并會使用遠(yuǎn)程模板技術(shù)從攻擊者的服務(wù)器上獲得要執(zhí)行的代碼。

據(jù)分析，這些惡意文件會從不同的URL下載同一個(gè)模板，這些模板是嵌入了RoyalRoad weaponizer的.RTF文件，也被稱為8.t Dropper/RTF exploit builder。研究人員說，RoyalRoad是幾個(gè)APT的武器庫的一部分，如Tick、Tonto Team和TA428;它生成的武器化RTF文件實(shí)際上是利用了微軟方程編輯器的漏洞(CVE-2017-11882、CVE-2018-0798和CVE-2018-0802)。

根據(jù)分析，RoyalRoad生成的RTF文件包含一個(gè)加密的有效載荷和shellcode。

研究人員說:"為了從軟件包中解密有效載荷，攻擊者使用密鑰為123456的RC4算法，生成的DLL文件被保存為%Temp%文件夾中的5.t文件，shellcode還負(fù)責(zé)會話的持久性機(jī)制，它創(chuàng)建了一個(gè)名為Windows Update的計(jì)劃任務(wù)，每天用rundll32.exe運(yùn)行從5.t文件導(dǎo)出的函數(shù)StartW"

.DLL文件會收集受害者計(jì)算機(jī)上的數(shù)據(jù)，包括操作系統(tǒng)名稱和版本、用戶名、網(wǎng)絡(luò)適配器的MAC地址和防病毒軟件信息。所有的數(shù)據(jù)都會被加密，然后通過GET HTTP請求方式發(fā)送到攻擊者的命令和控制服務(wù)器上(C2)。之后，后門模塊會通過一個(gè)多級的攻擊鏈成功安裝，它被稱為 "Victory"。Check Point稱，它似乎是一個(gè)定制的而且非常獨(dú)特的惡意軟件。

Victory 后門

該惡意軟件的目的是為了竊取信息并為受害者提供持續(xù)的訪問。Check Point研究人員說，它可以進(jìn)行屏幕截圖，操縱文件(包括創(chuàng)建、刪除、重命名和讀取文件)，收集打開的頂級窗口的信息，并且可以關(guān)閉計(jì)算機(jī)。

有趣的是，該惡意軟件似乎與以前開發(fā)的工具有關(guān)。

根據(jù)分析："我們在搜索在野的類似的后門文件時(shí)，我們發(fā)現(xiàn)了一組在2018年提交給VirusTotal的文件，這些文件被作者命名為MClient，根據(jù)其PDB路徑，這似乎是一個(gè)內(nèi)部被稱為SharpM的項(xiàng)目的一部分。編譯時(shí)間戳也顯示是在2017年7月和2018年6月之間，在檢查這些文件時(shí)，發(fā)現(xiàn)它們是我們VictoryDll后門及其加載器的舊版的測試版本。"

該公司表示，主要后門功能的實(shí)現(xiàn)方式是相同的;而且，連接方法也具有相同的特點(diǎn)。另外，MClient的連接XOR密鑰和VictoryDll的初始XOR密鑰也是一樣的。

然而，據(jù)Check Point稱，兩者在架構(gòu)、功能和命名規(guī)則方面存在明顯的差異。例如，MClient有一個(gè)鍵盤記錄器，而Victory則沒有這個(gè)功能。而且，Victory的導(dǎo)出函數(shù)被命名為MainThread，而在MClient變體的所有版本中，導(dǎo)出函數(shù)被命名為GetCPUID。

研究人員說："總的來說，我們可以看到，在這三年中，MClient和AutoStartup_DLL的大部分功能都被保留了下來，并將其分割成了多個(gè)組件，這樣可能是為了使逆向分析更加復(fù)雜，降低惡意文件在每個(gè)階段中被檢測到的概率”

歸屬問題

Check Point將該攻擊活動(dòng)歸結(jié)為國內(nèi)的一個(gè)APT。其中的一個(gè)線索是，第一攻擊階段的C2服務(wù)器是由位于中國香港和馬來西亞的兩個(gè)不同的云服務(wù)托管的。這些服務(wù)器只會在每天特定的時(shí)間內(nèi)活躍，只在周一至周五的01:00 - 08:00 UTC返回帶有有效載荷的流量，這與中國的工作日是相吻合的。此外，Check Point還表示，這些服務(wù)器在5月1日至5日期間處于休眠狀態(tài)，這正是中國的勞動(dòng)節(jié)假期期間。

此外，RoyalRoad RTF漏洞構(gòu)建工具包是國內(nèi)APT組織的首選工具;一些測試版本的后門中包含與www.baidu.com(一個(gè)受歡迎的中國網(wǎng)站)的網(wǎng)絡(luò)連接檢查。

Check Point總結(jié)說："我們公布的似乎是一個(gè)長期運(yùn)行在國內(nèi)的攻擊活動(dòng)，該行動(dòng)在三年多的時(shí)間里一直沒有被發(fā)現(xiàn)。在這次活動(dòng)中，攻擊者利用了一套具有反分析和反調(diào)試技術(shù)的微軟Office漏洞加載器來安裝一個(gè)以前從未見過的后門。"

本文翻譯自：https://threatpost.com/victory-backdoor-apt-campaign/166700/如若轉(zhuǎn)載，請注明原文地址。