據(jù)悉，與朝鮮政府有聯(lián)系的黑客組織正在大量的利用一個(gè)被稱為Goldbackdoor的新型惡意軟件來(lái)攻擊記者。這種攻擊包括了多個(gè)階段的感染活動(dòng)，其最終目的是要從目標(biāo)中竊取敏感的信息。研究人員發(fā)現(xiàn)，該攻擊活動(dòng)于今年3月份開(kāi)始，并且目前正在進(jìn)行中。

Stairwell的研究人員跟進(jìn)了韓國(guó)NK新聞的一份初步報(bào)告，該報(bào)告顯示，一個(gè)被稱為APT37的朝鮮APT組織已經(jīng)從一名前韓國(guó)情報(bào)官員的私人電腦中竊取了信息。根據(jù)該報(bào)告，該攻擊行為者，也被稱為Ricochet Collima、InkySquid、Reaper或ScarCruft，曾經(jīng)試圖冒充NK News，并嘗試分發(fā)一種新型的惡意軟件。

NK News將這些細(xì)節(jié)傳遞給了Stairwell進(jìn)行了更進(jìn)一步調(diào)查。該網(wǎng)絡(luò)安全公司的研究人員發(fā)現(xiàn)了Goldbackdoor惡意軟件的詳細(xì)信息。根據(jù)他們?cè)谏现苣┌l(fā)表的一份報(bào)告，該惡意軟件很可能是Bluelight惡意軟件開(kāi)發(fā)者開(kāi)發(fā)的。

研究人員寫(xiě)道，Goldbackdoor惡意軟件與Bluelight惡意軟件使用了很多相同的技術(shù)，這些技術(shù)上的重合，很可能是開(kāi)發(fā)者之間共享了開(kāi)發(fā)資源，我們可以有充分的理由將Goldbackdoor歸于APT37。

去年8月，在針對(duì)一家韓國(guó)報(bào)紙社的一系列攻擊中，APT37曾使用Bluelight作為有效載荷，并且在這些攻擊中使用了已知的Internet Explorer的漏洞。

正如Stairwell研究人員所指出的，記者目前是"敵對(duì)政府的首選攻擊目標(biāo)"，并且也經(jīng)常成為了網(wǎng)絡(luò)間諜攻擊的目標(biāo)。事實(shí)上，去年最大的安全事件之一就是各國(guó)政府利用非政府組織集團(tuán)的Pegasus間諜軟件來(lái)對(duì)記者和其他目標(biāo)進(jìn)行攻擊。

Stairwell研究人員寫(xiě)道："記者的設(shè)備中往往存儲(chǔ)有許多重要的文檔文件。有時(shí)還包括很多敏感的信息。對(duì)記者進(jìn)行攻擊可以獲得高度敏感的信息，而且還能對(duì)他們的消息來(lái)源進(jìn)行額外的攻擊"。

多階段的惡意軟件

研究人員寫(xiě)道，當(dāng)前的攻擊活動(dòng)從3月18日開(kāi)始進(jìn)行，當(dāng)時(shí)NK News與Stairwell威脅研究小組研究了多個(gè)惡意的文件，這些文件來(lái)自于專門(mén)針對(duì)朝鮮記者進(jìn)行攻擊的魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)活動(dòng)。這些信息是從韓國(guó)國(guó)家情報(bào)局(NIS)的一名前局長(zhǎng)的個(gè)人電子郵件中發(fā)出的。

他們寫(xiě)道："這些文件中有一個(gè)是新的惡意軟件樣本，我們將其命名為Goldbackdoor，它是基于一個(gè)嵌入式工件開(kāi)發(fā)的文件”。

研究人員說(shuō)，Goldbackdoor是一個(gè)分多階段進(jìn)行感染的惡意軟件，它將第一階段的工具和最終的有效載荷分開(kāi)，這可以使威脅攻擊者在最初的目標(biāo)被感染后停止惡意文件的部署。

他們?cè)趫?bào)告中寫(xiě)道，這種設(shè)計(jì)可能會(huì)限制研究人員針對(duì)有效載荷的分析和研究。

該惡意軟件和之前的Bluelight一樣，都會(huì)使用云服務(wù)提供商的基礎(chǔ)設(shè)施來(lái)接收攻擊者的命令和竊取的數(shù)據(jù)。研究人員所分析的樣本使用了微軟OneDrive和Graph APIs，而另外一個(gè)確定的SHA256哈希樣本使用了谷歌Drive。

研究人員說(shuō)，攻擊者在惡意軟件中嵌入了一組API密鑰，其可以用于對(duì)微軟的云計(jì)算平臺(tái)Azure進(jìn)行驗(yàn)證，并檢索執(zhí)行相關(guān)的命令。

他們寫(xiě)道，Goldbackdoor為攻擊者提供了基本的遠(yuǎn)程命令執(zhí)行、文件下載/上傳、鍵盤(pán)記錄和遠(yuǎn)程卸載等能力，這種功能的設(shè)定與Bluelight有密切的關(guān)系。但是，Goldbackdoor功能增加的重點(diǎn)放在了文件收集和鍵盤(pán)的記錄上。

第一階段

Goldbackdoor是一個(gè)非常復(fù)雜的惡意軟件，研究人員將其感染的過(guò)程分解成了兩個(gè)階段。在第一階段，受害者必須從一個(gè)被破壞的網(wǎng)站上下載一個(gè)ZIP文件，URL: https[:]//main[.]dailynk[.]us/regex?id=oTks2&file=Kang Min-chol Edits2.zip。研究人員說(shuō)，域名dailynk[.]us很可能是為了冒充NK新聞(dailynk[.]com)而選擇使用的，并且APT37在以前的攻擊活動(dòng)中就曾經(jīng)使用過(guò)。

Stairwell研究人員從該網(wǎng)站的DNS歷史記錄中檢索出了ZIP文件進(jìn)行分析，并且在他們調(diào)查時(shí)，該網(wǎng)站已經(jīng)停止了解析。他們發(fā)現(xiàn)，該文件創(chuàng)建于3月17日，包含了一個(gè)282.7MB的Windows快捷文件LNK，其文件名為Kang Min-chol Edits，這可能是指朝鮮礦業(yè)部長(zhǎng)Kang Min-chol。

研究人員寫(xiě)道："攻擊者將這個(gè)快捷方式偽裝成了一個(gè)文件，他們使用了微軟Word的圖標(biāo)，并且又添加了類似于Word文檔的注釋?！?/p>

他們還為L(zhǎng)NK文件填充了0x90字節(jié)，即NOP/No Operation，人為地增加了這個(gè)文件的大小，他們說(shuō)這可能是為了防止該文件被上傳到檢測(cè)服務(wù)或惡意軟件庫(kù)的一種保護(hù)手段。

研究人員說(shuō)，一旦開(kāi)始執(zhí)行，LNK文件就會(huì)執(zhí)行一個(gè)PowerShell腳本，在開(kāi)始Goldbackdoor的部署過(guò)程之前創(chuàng)建并打開(kāi)一個(gè)誘餌文件。

第二階段

在部署誘餌文件后，PowerShell腳本會(huì)解碼第二個(gè)PowerShell腳本，然后將下載并執(zhí)行存儲(chǔ)在微軟OneDrive上的名為 "Fantasy"的shellcode有效載荷。

研究人員說(shuō)，"Fantasy" 有效載荷是該惡意軟件攻擊的第二階段，同時(shí)也是部署Goldbackdoor軟件過(guò)程的第一部分。這兩部分都是以獨(dú)立的代碼(shellcode)編寫(xiě)的，其中包含了一個(gè)嵌入式有效載荷，并使用進(jìn)程注入技術(shù)來(lái)部署惡意軟件。

研究人員說(shuō)，F(xiàn)antasy解析和解碼有效載荷的過(guò)程，會(huì)使用VirtualAllocEx,WriteProcessMemory和RtlCreateUserThread等標(biāo)準(zhǔn)進(jìn)程，在先前創(chuàng)建的進(jìn)程下生成一個(gè)線程，然后執(zhí)行它。

最后的攻擊手段是使用一個(gè)shellcode有效載荷，并且該線程會(huì)在Fantasy創(chuàng)建的進(jìn)程中運(yùn)行，執(zhí)行惡意軟件的最終部署。

研究人員寫(xiě)道，這個(gè)階段交付的有效載荷其實(shí)是一個(gè)Windows可執(zhí)行文件。

本文翻譯自：https://threatpost.com/hackers-target-journalists-goldbackdoor/179389/如若轉(zhuǎn)載，請(qǐng)注明原文地址。