本文將介紹Earth Preta APT組織利用的最新工具、技術(shù)和程序（TTP）的更多技術(shù)細(xì)節(jié)。介紹在2022年11月，趨勢(shì)科技的研究人員就披露了由高級(jí)持續(xù)性威脅（APT）組織Earth Preta（也稱(chēng)為Mustang Panda）發(fā)起的大規(guī)模網(wǎng)絡(luò)釣魚(yú)活動(dòng)。該活動(dòng)通過(guò)魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)電子郵件針對(duì)亞太地區(qū)的多個(gè)國(guó)家。自2023年初以來(lái)，該組織正在使用新的方法，例如MIROGO和QMAGENT。

此外，研究人員還新發(fā)現(xiàn)了一個(gè)名為T(mén)ONEDROP的釋放程序，它可以釋放TONEINS和TONESHELL惡意軟件，根據(jù)觀察，該組織正在將其目標(biāo)擴(kuò)展到不同的地區(qū)，如東歐和西亞，再加上亞太地區(qū)的幾個(gè)國(guó)家，如緬甸和日本。

通過(guò)追蹤分析惡意軟件和下載網(wǎng)站，研究人員試圖找到攻擊者用來(lái)繞過(guò)不同安全解決方案的工具和技術(shù)。例如，研究人員收集了部署在惡意下載網(wǎng)站上的腳本，這使他們能夠弄清楚它們的工作原理。研究人員還觀察到，Earth Preta向不同的受害者提供不同的有效負(fù)載。

受害者研究

從2023年1月開(kāi)始，研究人員就觀察到幾波針對(duì)不同地區(qū)個(gè)人的魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)電子郵件。

魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)郵件收件人的國(guó)家分布

研究人員還能根據(jù)目標(biāo)行業(yè)對(duì)受害者進(jìn)行細(xì)分。如下圖所示，大多數(shù)目標(biāo)自電信行業(yè)。

魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)郵件收件人的行業(yè)分布

2023年，研究人員使用了新的攻擊指標(biāo)監(jiān)測(cè)了Earth Preta，包括MIROGO、QMAGENT和名為T(mén)ONEDROP的新TONESHELL釋放程序。

同樣，這些攻擊鏈也發(fā)生了變化。例如，除了部署合法的Google Drive下載鏈接外，攻擊者還使用其他類(lèi)似但實(shí)際上不是Google Drive頁(yè)面的下載網(wǎng)站。

2023年的事件時(shí)間線

Backdoor.Win32.QMAGENT

2023年1月左右，研究人員發(fā)現(xiàn)QMAGENT惡意軟件通過(guò)魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)電子郵件傳播，目標(biāo)是與政府組織有關(guān)的個(gè)人。QMAGENT（也稱(chēng)為MQsTTang）最初是在ESET的一份報(bào)告中披露，值得注意的是，它利用了物聯(lián)網(wǎng)（IoT）設(shè)備中常用的MQTT協(xié)議來(lái)傳輸數(shù)據(jù)和命令。由于上述報(bào)告詳細(xì)描述了惡意軟件的技術(shù)細(xì)節(jié)，我們?cè)诖瞬辉儋樖?。然而，研究人員認(rèn)為所使用的協(xié)議值得進(jìn)一步調(diào)查。

Backdoor.Win32.MIROGO

2023年2月，研究人員發(fā)現(xiàn)了另一個(gè)用Golang編寫(xiě)的名為MIROGO的后門(mén)，Check Point Research首次將其報(bào)告為T(mén)inyNote惡意軟件。研究人員注意到，它是通過(guò)一封嵌入Google Drive鏈接的釣魚(yú)電子郵件發(fā)送的，然后下載了一個(gè)名為Note-2.7z的壓縮文件。該壓縮文件受密碼保護(hù)，密碼在電子郵件正文中提供。提取后，研究人員發(fā)現(xiàn)了一個(gè)偽裝成發(fā)給政府的可執(zhí)行文件。

MIROGO攻擊流程

Trojan.Win32.TONEDROP

2023年3月，研究人員發(fā)現(xiàn)了一個(gè)名為T(mén)ONEDROP的新釋放程序，它可以釋放TONEINS和TONESHELL惡意軟件。它的攻擊鏈與之前報(bào)告中介紹的相似，涉及隱藏被異或的惡意二進(jìn)制文件的虛假文件。

在接下來(lái)的幾個(gè)月里，研究人員發(fā)現(xiàn)該組織還在使用這個(gè)釋放程序。在研究人員的調(diào)查過(guò)程中，他們發(fā)現(xiàn)了TONESHELL后門(mén)的一個(gè)新變體。

釋放程序流程

TONEDROP中的文件

在釋放和安裝文件之前，TONEDROP將檢查文件夾C:\ProgramData\LuaJIT是否存在，以確定環(huán)境是否已經(jīng)被破壞。它還將檢查正在運(yùn)行的進(jìn)程和窗口是否與惡意軟件分析工具有關(guān)。如果是這樣，它將不會(huì)繼續(xù)其例行程序。

檢查正在運(yùn)行的進(jìn)程和窗口

如果所有條件都滿足了，它將開(kāi)始安裝過(guò)程并釋放幾個(gè)文件。這些文件嵌入到釋放程序中，并使用異或密鑰解密。

釋放的文件和用于解密它們的異或密鑰

被釋放后，WaveeditNero.exe將側(cè)載waveedit.dll并解密其他兩個(gè)偽造的PDF文件：

它用XOR密鑰0x36解密C:\users\public\last.pdf，并將其寫(xiě)入C:\users\public \documents\WinDbg（X64）.exe。

它用XOR密鑰0x2D解密C:\users\public\update.pdf，并將其寫(xiě)入C:\users\public\documents\ libvcl .dll。

TONEDROP將為進(jìn)程C:\users\public\documents\WinDbg（X64）.exe設(shè)置一個(gè)計(jì)劃任務(wù)，它將繞過(guò)加載C:\users\public\documents\ libvcl .dll。接下來(lái)，它將通過(guò)調(diào)用具有回調(diào)函數(shù)的API EnumDisplayMonitors來(lái)構(gòu)造惡意負(fù)載并在內(nèi)存中運(yùn)行它。

TONESHELL變體D的C&C協(xié)議

研究人員發(fā)現(xiàn)了TONESHELL的一個(gè)新變體，它具有如下命令和控制（C&C）協(xié)議請(qǐng)求數(shù)據(jù)包格式：

加密后發(fā)送數(shù)據(jù)的內(nèi)容

C&C協(xié)議類(lèi)似于PUBLOAD和其他TONESHELL變體所使用的協(xié)議。研究人員將其歸類(lèi)為T(mén)ONESHELL變體D，因?yàn)樗€使用CoCreateGuid來(lái)生成唯一的受害者ID，這與舊的變體類(lèi)似。

在第一次握手中，有效負(fù)載應(yīng)該是一個(gè)0x221字節(jié)長(zhǎng)的緩沖區(qū)，其中包含加密密鑰和唯一受害者ID。表4顯示了有效負(fù)載的結(jié)構(gòu)。請(qǐng)注意，字段type、victim_id和xor_key_seed在發(fā)送緩沖區(qū)之前使用xor_key進(jìn)行加密。

發(fā)送數(shù)據(jù)的內(nèi)容

研究人員發(fā)現(xiàn)該惡意軟件將victim_id的值保存到文件%USERPROFILE%\AppData\Roaming\Microsoft\Web.Facebook.config中。

第一次握手中的有效負(fù)載

C&C通信協(xié)議的工作原理如下：

1.將包含xor_key和victim_id的握手發(fā)送到C&C服務(wù)器；

2.接收由魔術(shù)組成并且具有0x02大小的5字節(jié)大小的數(shù)據(jù)包；

3.接收到一個(gè)用xor_key解密的2字節(jié)大小的數(shù)據(jù)包，該數(shù)據(jù)包的第一個(gè)字節(jié)必須為0x08；

4.接收到由魔術(shù)和下一個(gè)有效負(fù)載大小組成的數(shù)據(jù)。

5.使用xor_key接收并解密數(shù)據(jù)。第一個(gè)字節(jié)是命令代碼，下面的數(shù)據(jù)是額外的信息。

C&C通信

命令代碼

虛假Google Drive網(wǎng)站

2023年4月，研究人員發(fā)現(xiàn)了一個(gè)傳播QMAGENT和TONEDROP等惡意軟件類(lèi)型的下載網(wǎng)站。當(dāng)研究人員請(qǐng)求URL時(shí)，它下載了一個(gè)名為Documents.rar的下載文件，其中包含一個(gè)原來(lái)是QMAGENT示例的文件。

下載網(wǎng)站的截圖

雖然這個(gè)頁(yè)面看起來(lái)像Google Drive下載頁(yè)面，但它實(shí)際上是一個(gè)試圖偽裝成普通網(wǎng)站的圖片文件（gdrive.jpg）。在源代碼中，它運(yùn)行腳本文件，它將下載文件Document.rar。

嵌入下載網(wǎng)站的惡意腳本

2023年5月，Earth  Preta連續(xù)傳播了具有不同路徑的同一下載網(wǎng)站來(lái)部署TONESHELL，例如https://rewards[.]roshan[.]af/aspnet_client/acv[.]htm。在這個(gè)版本中，攻擊者用另一段JavaScript混淆了惡意URL腳本，如下圖所示。

該頁(yè)面的源代碼

解碼后的惡意腳本URL

最后，腳本jQuery.min.js將從https://rewards.roshan[.]af/aspnet_client/Note-1[.]rar下載歸檔文件。

jQuery.min.js腳本

技術(shù)分析

在調(diào)查過(guò)程中，研究人員嘗試了幾種方法來(lái)追蹤事件，并將所有指標(biāo)聯(lián)系在一起。研究人員的發(fā)現(xiàn)可以概括為三個(gè)方面：代碼相似性、C&C連接和糟糕的操作安全性。

代碼相似性

研究人員觀察到MIROGO和QMAGENT惡意軟件之間有一些相似之處。由于檢測(cè)次數(shù)有限，研究人員認(rèn)為這兩種工具都是Earth Preta開(kāi)發(fā)的，且它們都是用兩種不同的編程語(yǔ)言實(shí)現(xiàn)了類(lèi)似的C&C協(xié)議。

MIROGO和QMAGENT惡意軟件的異同

C&C 通信

惡意軟件QMAGENT使用MQTT協(xié)議傳輸數(shù)據(jù)。經(jīng)過(guò)分析，研究人員意識(shí)到所使用的MQTT協(xié)議沒(méi)有加密，也不需要任何授權(quán)。由于MQTT協(xié)議中的獨(dú)特“特性”（一個(gè)人發(fā)布消息，其他所有人接收消息），研究人員決定監(jiān)控所有消息。他們制作了一個(gè)QMAGENT客戶端，看看有多少受害者被盯上了。經(jīng)過(guò)長(zhǎng)期監(jiān)測(cè)，研究人員制作了如下統(tǒng)計(jì)表：

QMAGENT通信

主題名稱(chēng)iot/server0用于檢測(cè)分析或調(diào)試環(huán)境，因此受害者數(shù)量最少。3月份的峰值最高，因?yàn)镋SET報(bào)告是在3月2日發(fā)布的，這個(gè)峰值涉及自動(dòng)化系統(tǒng)（沙箱和其他分析系統(tǒng)）的激活。因此，研究人員決定將峰值分解成更小的范圍。

QMAGENT受害者

來(lái)自QMAGENT惡意軟件的C&C請(qǐng)求JSON體包含一個(gè)Alive密鑰，該密鑰是惡意軟件的正常運(yùn)行時(shí)間（以分鐘為單位）。

QMAGENT受害者活動(dòng)時(shí)間

研究人員將前10個(gè)的運(yùn)行時(shí)間分為三類(lèi)：473秒、200秒和170秒。由于涉及許多分析系統(tǒng)，研究人員認(rèn)為這些時(shí)間是不同沙盒的一些常見(jiàn)的超時(shí)設(shè)置。例如，CAPEv2沙箱中的默認(rèn)超時(shí)設(shè)置正好是200秒。

CAPEv2中的默認(rèn)超時(shí)設(shè)置

操作安全性差

調(diào)查中，研究人員收集了幾個(gè)惡意壓縮文件的下載鏈接。研究人員注意到，攻擊者不僅傳播了Google Drive鏈接，還傳播了由不同云提供商托管的其他IP地址。以下是研究人員最近觀察到的一些下載鏈接：

揭開(kāi)Earth Preta最新的工作原理

很明顯，url中的路徑遵循幾種模式，例如/fav/xxxx或/f/xx。在檢查url時(shí)，研究人員還發(fā)現(xiàn)xx模式與受害者相關(guān)（這些模式是他們的國(guó)家代碼）。在調(diào)查下載網(wǎng)站80[.]85[.]156[.]]151（由Python的SimpleHTTPServer托管），研究人員發(fā)現(xiàn)它在端口8000上有一個(gè)打開(kāi)的目錄，其中托管了大量的數(shù)據(jù)和腳本。

開(kāi)放目錄漏洞

下載網(wǎng)站中的重要文件如下：

打開(kāi)目錄中的文件

接下來(lái)，我們將介紹部署在服務(wù)器上的腳本文件。

Firewall: fw.sh

Earth Preta使用腳本文件fw.sh來(lái)阻止來(lái)自特定IP地址的傳入連接。禁止訪問(wèn)的IP地址列在文件blacklist.txt中。該組織似乎有意使用python請(qǐng)求、curl和wget阻止來(lái)自某些已知爬蟲(chóng)和某些已知安全提供程序的傳入請(qǐng)求。研究人員認(rèn)為該組織正在試圖阻止該網(wǎng)站被掃描和分析。

“fw.sh”腳本

blacklist.txt中列出的一些IP地址

主服務(wù)器：app.py

主腳本文件app.py用于托管web服務(wù)器并等待來(lái)自受害者的連接。它處理以下URL路徑：

下載網(wǎng)站的URL路徑

下載網(wǎng)站的根路徑如下圖所示。它顯示一條虛假信息，冒充來(lái)自谷歌。

網(wǎng)站的根頁(yè)面

同時(shí)，webchat函數(shù)/webchat允許兩個(gè)用戶在同一頁(yè)面上相互通信。登錄用戶名和密碼在源代碼中進(jìn)行硬編碼，分別為john:john和tom:tom。

webchat的登錄界面

登錄后，用戶可以通過(guò)WebSocket提交他們的短信，他們收到的所有消息都會(huì)顯示在這里?；谟簿幋a的用戶名，研究人員假設(shè)“tom”和“john”是相互合作的。

網(wǎng)絡(luò)聊天的源代碼

如上所述，研究人員收集的大多數(shù)惡意下載URL都遵循特定的模式，如/fav/xxxx或/file/xxxx。根據(jù)源代碼，如果請(qǐng)求的User-Agent標(biāo)頭包含以下任何字符串，則路徑/fav/（依此類(lèi)推）將下載有效負(fù)載Documents.rar：Windows NT 10；

Windows NT 6；

這個(gè)壓縮文件被托管在IP地址80[.]85[.]157[.]3上。如果不滿足指定的用戶代理?xiàng)l件，用戶將被重定向到另一個(gè)Google Drive鏈接。在撰寫(xiě)本文時(shí)，研究人員無(wú)法檢索有效負(fù)載，因此無(wú)法確定它們是否確實(shí)是惡意的。研究人員認(rèn)為，這是一種向不同受害者提供不同有效負(fù)載的機(jī)制。

“app.py”中的源代碼

值得注意的是，每個(gè)源IP地址、請(qǐng)求標(biāo)頭和請(qǐng)求URL都會(huì)記錄在每個(gè)連接上。然后，所有日志文件都存儲(chǔ)在/static文件夾中。

The logging files: /static“/static”文件夾包含大量的日志文件，這些文件似乎是由攻擊者手動(dòng)更改的。在撰寫(xiě)本文時(shí)，日志文件記錄了2023年1月3日至2023年3月29日的日志。當(dāng)研究人員找到它們的時(shí)候，文件夾里有40個(gè)日志文件。

日志文件列表

記錄請(qǐng)求的示例

研究人員還嘗試解析和分析日志文件。由于文件中包含了受害者的訪問(wèn)日志，研究人員認(rèn)為可以對(duì)其進(jìn)行統(tǒng)計(jì)以進(jìn)行進(jìn)一步分析。日志記錄的格式如下：

揭開(kāi)Earth Preta最新的工作原理

研究人員還想知道受害者來(lái)自哪些國(guó)家。基于app.py，訪問(wèn)日志記錄了兩種URL：

訪問(wèn)日志中記錄的URL

這些URL通常嵌入在電子郵件正文中。第一類(lèi)URL用作電子郵件簽名，第二類(lèi)URL用作下載鏈接。為了統(tǒng)計(jì)收到魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)電子郵件的受害者人數(shù)，研究人員只保留了第一類(lèi)URL的日志，因?yàn)槭芎φ叽蜷_(kāi)電子郵件時(shí)會(huì)請(qǐng)求這些簽名URL。根據(jù)研究人員的數(shù)據(jù)，研究人員確定他們的主要目標(biāo)來(lái)自立陶宛、拉脫維亞、愛(ài)沙尼亞、日本和緬甸。

來(lái)自不同國(guó)家的連接數(shù)量

要強(qiáng)調(diào)的是，這些連接只是這次活動(dòng)的一小部分，因?yàn)檫@些日志只基于單個(gè)網(wǎng)站。很明顯，這個(gè)網(wǎng)站被用來(lái)存放針對(duì)歐洲地區(qū)受害者的惡意文件。

在這些日志文件的幫助下，研究人員能夠在野外收集許多分布式鏈接。

總結(jié)

Earth Preta的攻擊目標(biāo)除了亞太地區(qū)外，還將其范圍擴(kuò)大到了歐洲。

研究人員懷疑該組織利用在之前一波攻擊中受攻擊的谷歌賬戶來(lái)繼續(xù)這一活動(dòng)。經(jīng)過(guò)分析，研究人員還能夠確定它一直在使用不同的技術(shù)繞過(guò)各種安全解決方案。從研究人員對(duì)其使用的C&C服務(wù)器的監(jiān)控中，他們還觀察到該組織在隨后的攻擊中重用這些服務(wù)器的趨勢(shì)。

通過(guò)研究人員對(duì)各種Earth Preta活動(dòng)的觀察，他們注意到該組織傾向于用不同的編程語(yǔ)言建立類(lèi)似的C&C協(xié)議和函數(shù)，這表明Earth Preta背后的攻擊者可能一直在提高他們的開(kāi)發(fā)技能。然而，由于他們的操作失誤，研究人員還是能夠檢索到腳本并了解他們的攻擊工作流程。

本文翻譯自：https://www.trendmicro.com/en_us/research/23/f/behind-the-scenes-unveiling-the-hidden-workings-of-earth-preta.html如若轉(zhuǎn)載，請(qǐng)注明原文地址