2022年，卡巴斯基研究人員調(diào)查了一系列針對東歐工業(yè)組織的攻擊活動。在這些活動中，攻擊者的目標(biāo)是建立一個(gè)永久的數(shù)據(jù)泄露渠道，包括存儲在氣隙（air-gapped）系統(tǒng)中的數(shù)據(jù)。

基于這些攻擊活動與之前研究過的攻擊活動（如ExCone、DexCone）存在諸多相似之處，包括使用的FourteenHi變體、特定的TTP和攻擊范圍，研究人員非常自信地認(rèn)為，這些攻擊活動背后是一個(gè)名為APT31（也被稱為“Judgment Panda”和“Zirconium”）的威脅組織。

為了泄露數(shù)據(jù)并交付下一階段的惡意軟件，威脅行為者濫用基于云的數(shù)據(jù)存儲（例如Dropbox或Yandex Disk）以及用于臨時(shí)文件共享的服務(wù)。他們還使用部署在常規(guī)虛擬專用服務(wù)器（VPS）上的C2。此外，威脅行為者還會部署一系列植入程序，通過受感染的可移動驅(qū)動器從氣隙網(wǎng)絡(luò)收集數(shù)據(jù)。

對于大多數(shù)植入程序，威脅行為者使用了類似的DLL劫持實(shí)現(xiàn)（通常與Shadowpad惡意軟件相關(guān)）和內(nèi)存注入技術(shù)，以及使用RC4加密來隱藏有效載荷并逃避檢測。libssl. dll或libcurl.dll被靜態(tài)鏈接到植入程序以實(shí)現(xiàn)加密的C2通信。

研究人員總共發(fā)現(xiàn)了超過15個(gè)植入物及其變體。具體來說，攻擊中使用的整個(gè)植入程序堆?？梢愿鶕?jù)其作用分為三類：

• 用于持久遠(yuǎn)程訪問和初始數(shù)據(jù)收集的第一階段植入程序；
• 用于收集數(shù)據(jù)和文件的第二階段植入程序；
• 第三階段植入程序和上傳數(shù)據(jù)到C2的工具。

用于遠(yuǎn)程訪問的第一階段植入程序 

FourteenHi變體

FourteenHi是一個(gè)惡意軟件家族，于2021年在一個(gè)名為ExCone的活動中被發(fā)現(xiàn)，自2021年3月中旬以來一直保持活躍狀態(tài)，目標(biāo)主要是政府實(shí)體。在2022年，研究人員發(fā)現(xiàn)了用于攻擊工業(yè)組織的新變種。

各種各樣的FourteenHi樣本（包括x64和x86）在代碼結(jié)構(gòu)、i加載器和C2類型方面都有很大的不同。但是它們的核心特征（如C2通信協(xié)議和命令列表）幾乎是相同的。

加載方案大體相同的所有變體，包括三個(gè)主要組成部分：

• 易受DLL劫持的合法應(yīng)用程序。
• 通過DLL劫持加載的惡意DLL，用于從二進(jìn)制數(shù)據(jù)文件中讀取和解密FourteenHi有效載荷，并將其注入某些系統(tǒng)進(jìn)程，如exe或msiexec.exe。
• 一個(gè)二進(jìn)制數(shù)據(jù)文件，包含用RC4加密的FourteenHi二進(jìn)制代碼。

所有已知的FourteenHi變體都在其代碼中嵌入了配置數(shù)據(jù)并使用RC4加密。配置定義了活動ID、C2地址和端口。fourenhi x64的配置還定義了它在不帶參數(shù)執(zhí)行時(shí)為持久化創(chuàng)建的Windows服務(wù)的名稱和描述。

MeatBall后門

MeatBall后門是研究人員在分析攻擊過程中發(fā)現(xiàn)的新植入程序。它具有廣泛的遠(yuǎn)程訪問功能，包括列出正在運(yùn)行的進(jìn)程、連接的設(shè)備和磁盤、執(zhí)行文件操作、捕獲屏幕截圖、使用遠(yuǎn)程shell和自我更新。該植入存在于x86和x64的變體中。

該植入程序還使用基于DLL劫持技術(shù)的加載方案，但與許多其他植入程序不同的是，其有效載荷存儲在惡意DLL加載程序本身中，而不是單獨(dú)的文件中。

該植入程序與libssl.dll靜態(tài)鏈接，以實(shí)現(xiàn)加密的C2通信。

植入程序使用Yandex Cloud作為C2

研究人員發(fā)現(xiàn)的另一個(gè)植入程序是使用Yandex Cloud數(shù)據(jù)存儲作為C2。該植入程序使用基于DLL劫持的加載方案，惡意DLL將存儲在單獨(dú)文件中的植入程序主體解密，并將其注入合法進(jìn)程的內(nèi)存中。

該植入程序同樣使用靜態(tài)鏈接的libcurl.dll進(jìn)行SSL加密通信，并在主機(jī)上收集以下數(shù)據(jù)：

• 計(jì)算機(jī)名；
• 用戶名；
• IP地址；
• MAC地址；
• 操作系統(tǒng)版本；
• 通往%System%的路徑

為了將收集到的數(shù)據(jù)上傳到C2，該植入程序使用嵌入式API令牌發(fā)送一個(gè)請求，以創(chuàng)建一個(gè)目錄，該目錄的名稱對受害主機(jī)來說是唯一的。

所有上傳和下載的數(shù)據(jù)均采用RC4算法加密。

用于收集數(shù)據(jù)和文件的第二階段植入程序

用于收集本地文件的專用植入程序

2022年5月，研究人員發(fā)現(xiàn)了一個(gè)用于收集本地文件的專用植入程序。該植入程序使用基于DLL劫持技術(shù)的加載方案，其中惡意DLL加載程序通過創(chuàng)建名為“WinSystemHost”的服務(wù)來確保持久性，解密并將作為二進(jìn)制數(shù)據(jù)存儲在單獨(dú)文件中的有效負(fù)載注入到合法進(jìn)程的內(nèi)存中。

該植入程序啟動“msiexec.exe”，然后從單獨(dú)的文件讀取和解密有效載荷，并將其注入“msiexec.exe”的內(nèi)存中。

一旦負(fù)載開始在“msiexec.exe”的內(nèi)存中執(zhí)行，它就會進(jìn)入由下述6個(gè)簡單步驟組成的無限循環(huán)：

• 創(chuàng)建文件存儲文件夾（如果不存在的話），并找到通往“exe”的路徑；
• 解密字符串；
• 讀取配置并開始搜索所有磁盤上的文件；
• 復(fù)制文件和寫日志；
• 將復(fù)制的文件歸檔并清理；
• 等待10分鐘。

為了滲漏收集到的數(shù)據(jù)，威脅行為者還使用了一系列植入程序?qū)⑽臋n上傳到Dropbox。

通過可移動驅(qū)動器從氣隙網(wǎng)絡(luò)中竊取數(shù)據(jù)的植入程序

2022年4月，研究人員發(fā)現(xiàn)了一款旨在通過感染可移動驅(qū)動器從氣隙系統(tǒng)中竊取數(shù)據(jù)的惡意軟件。

【植入程序與可移動介質(zhì)相互作用的簡化圖】

第一個(gè)（主）模塊負(fù)責(zé)處理可移動驅(qū)動器，包括如下操作：

• 收集驅(qū)動器信息；
• 將每個(gè)驅(qū)動器的文件系統(tǒng)結(jié)構(gòu)克隆到本地臨時(shí)文件夾中，并保持結(jié)構(gòu)更新至最新狀態(tài)；
• 從硬盤中收集被盜文件并在新連接的硬盤上植入第二步惡意軟件；
• 捕獲受感染計(jì)算機(jī)上的屏幕截圖和窗口標(biāo)題。

該主模塊在“%TEMP%”中創(chuàng)建一個(gè)文件夾，它將在其中存儲日志、連接驅(qū)動器的信息和驅(qū)動器的內(nèi)容。

接下來，該植入程序?qū)γ總€(gè)可移動驅(qū)動器都創(chuàng)建了一個(gè)子文件夾，其中子文件夾的名稱與驅(qū)動器的序列號相同。

該植入程序還會檢查這些文件夾中是否存在以下文件，這些文件可用于感染序列號與文件夾名稱匹配的可移動驅(qū)動器：

• “exe”，一個(gè)合法的McAfee可執(zhí)行文件，易受DLL劫持；
• “dll”，這是第二步有效載荷；
• “DOC”、“PDF”或“DIR”文件，其中定義了要使用的誘餌鏈接文件。

上述文件存在于分配給特定可移動驅(qū)動器的文件夾中，表明攻擊者首先分析了可移動驅(qū)動器的內(nèi)容一段時(shí)間，然后才將用于感染特定可移動驅(qū)動器的文件復(fù)制到指定的文件夾中。

要感染可移動驅(qū)動器，主模塊只需復(fù)制兩個(gè)文件——“mcods.exe”和第二步惡意軟件“McVsoCfg.dll”——到驅(qū)動器的根目錄，并為這兩個(gè)文件設(shè)置“隱藏”屬性。

此外，如果存在第四步惡意軟件，它也會與第二步植入程序一起復(fù)制到可移動驅(qū)動器中。

然后，主模塊在可移動驅(qū)動器的根目錄中生成一個(gè)誘餌鏈接文件。

當(dāng)用戶打開誘餌“.lnk”文件時(shí)，操作系統(tǒng)將加載“mcods.exe”，該文件又將加載“McVsoCfg.dll”，并調(diào)用其函數(shù)“McVsoCfgGetObject”。

【通過受感染的可移動媒介染隔離網(wǎng)段中的計(jì)算機(jī)的簡化圖】

之后，該植入程序通過從自己的文件（“McVsoCfg.dll”）中提取第三步惡意軟件可執(zhí)行文件，并將其以“msgui.exe”的名稱保存到被攻擊主機(jī)上的“%APPDATA%”中。

第三步植入程序“msgui.exe”非常小且簡單——它被設(shè)計(jì)成使用“cmd.exe”執(zhí)行批處理腳本來收集數(shù)據(jù)，并將輸出保存到驅(qū)動器的“$RECYCLE.BIN”文件夾中，以便惡意軟件的主模塊（當(dāng)連接到最初受感染的主機(jī)時(shí)）可以收集數(shù)據(jù)。然后，它會查找要執(zhí)行的任何第四步文件，然后將其刪除（如果存在的話）。

第四步惡意軟件由兩個(gè)文件組成：

• 有效載荷的簡單dropper（類似于第二步惡意軟件所使用的）；
• 該有效載荷實(shí)際上是第一步模塊的修改版本，也用于收集有關(guān)驅(qū)動器的信息，收集文件，捕獲屏幕截圖和按鍵（當(dāng)連接到最初受感染的主機(jī)時(shí)），但沒有負(fù)責(zé)感染可移動驅(qū)動器的例程。

兩個(gè)模塊（第一步和第四步）具有相似的配置和數(shù)據(jù)保存例程：

【通過受感染的可移動媒體在隔離的網(wǎng)段中收集數(shù)據(jù)的簡化圖】

為了收集所有被盜數(shù)據(jù)，威脅行為者使用遠(yuǎn)程shell來運(yùn)行旨在上傳數(shù)據(jù)的植入程序。

第三階段植入程序和上傳數(shù)據(jù)到C2的工具

第三階段植入程序由威脅行為者通過第一階段植入程序和第二階段植入程序進(jìn)行部署。

第三階段植入程序與第一階段植入程序有很多共同之處，包括使用基于云的數(shù)據(jù)存儲（例如Dropbox、Yandex Disk），代碼混淆以及實(shí)施DLL劫持技術(shù)。

用于上傳文件到Dropbox的植入程序

一系列用于上傳文件到Dropbox的植入程序，被設(shè)計(jì)成與第二階段的文件收集植入程序協(xié)同工作。

該惡意軟件堆棧由三個(gè)植入程序組成，形成一個(gè)直接的執(zhí)行鏈（由三個(gè)步驟組成）。

第一步用于持久化，部署和啟動第二步惡意軟件模塊，該模塊負(fù)責(zé)通過調(diào)用第三步植入程序?qū)⑹占降奈募蟼鞯椒?wù)器。

在分析中，研究人員確定了在初始攻擊幾個(gè)月后部署的第三步植入程序的五個(gè)變體，以及第二步植入程序的兩個(gè)變體。

執(zhí)行鏈中第二步植入的第一個(gè)變體旨在解密第三步有效載荷并將其注入合法進(jìn)程（例如“msiexec.exe”）。除了C2地址外，該鏈中第三步有效載荷的所有變體幾乎相同。

第三步變體中的C2 IP地址引起了研究人員的注意，因?yàn)樗潜镜豂P地址。這意味著威脅行為者在公司內(nèi)部部署了一臺C2，并將其用作代理，從無法直接訪問互聯(lián)網(wǎng)的主機(jī)上竊取數(shù)據(jù)。

后來，攻擊者部署了第二步植入程序的新變種，其功能包括查找Outlook文件夾中的文件名（即電子郵件帳戶名稱），執(zhí)行遠(yuǎn)程命令，并通過調(diào)用第三步植入程序?qū)⒈镜鼗蜻h(yuǎn)程“.rar”文件上傳到Dropbox。

要上傳本地文件，第二步植入程序要調(diào)用第三步植入程序，后者應(yīng)該已經(jīng)部署在機(jī)器上的靜態(tài)定義路徑“c:/users/public/”或與第二步植入相同的路徑上。

所有第三步變體都旨在將從本地機(jī)器的“C:\ProgramData\NetWorks\ZZ”收集到的“.rar”文件上傳到Dropbox。

手動數(shù)據(jù)滲漏工具

除了各種植入程序外，研究人員還發(fā)現(xiàn)了威脅行為者用于手動數(shù)據(jù)滲漏的兩種工具。

一個(gè)名為“AuditSvc.exe”的工具被設(shè)計(jì)用于上傳和下載任意文件到Y(jié)andex Disk。OAuth令牌、文件路徑和其他一些參數(shù)可以作為命令行參數(shù)傳遞。或者，這些參數(shù)可以在一個(gè)名為“MyLog.ini”的配置文件中定義。

第二個(gè)被發(fā)現(xiàn)的工具名為“transfer.exe”，旨在從16個(gè)支持的臨時(shí)文件共享服務(wù)中任意上傳和下載任意文件。

通過Yandex電子郵件服務(wù)上傳文件的植入程序

通過Yandex電子郵件服務(wù)發(fā)送文件的植入程序是從Yandex Disk下載的。它還與libcurl.dll進(jìn)行了靜態(tài)鏈接。

該植入程序旨在竊取位于靜態(tài)路徑“C:\Users\Public\Downloads\111.log”的單個(gè)文件（該文件已硬編碼到植入程序中）。“.log”文件作為附件發(fā)送到電子郵件。

“111.log”文件很可能是由前一階段的植入程序之一產(chǎn)生的，并且可能包含CMD命令的輸出或通過上述工具上傳到臨時(shí)數(shù)據(jù)共享服務(wù)的文件的URL。

在一次發(fā)送電子郵件的嘗試之后，該植入程序就會終止。這樣的直接執(zhí)行流和持久化功能的缺乏可能意味該植入程序更多地被用作一種工具，而非自給自足的服務(wù)。

結(jié)語

在這項(xiàng)報(bào)告中，研究人員分析了威脅行為者用于遠(yuǎn)程訪問、收集數(shù)據(jù)和上傳數(shù)據(jù)的大量植入程序。

威脅行為者通過將有效載荷以加密形式隱藏在單獨(dú)的二進(jìn)制數(shù)據(jù)文件中，以及通過DLL劫持和內(nèi)存注入鏈將惡意代碼隱藏在合法應(yīng)用程序的內(nèi)存中，使檢測和分析威脅變得更加困難。

濫用云服務(wù)（例如，Dropbox、Yandex、Google等）的趨勢并不新鮮，但它仍在繼續(xù)擴(kuò)大，因?yàn)楫?dāng)組織的業(yè)務(wù)流程依賴于這些服務(wù)時(shí)，想要限制/緩解這種趨勢將變得異常艱難。

與此同時(shí)，濫用流行的基于云的數(shù)據(jù)存儲，一旦第三方訪問威脅行為者使用的存儲，就有可能導(dǎo)致被盜數(shù)據(jù)的二次泄露。

原文鏈接：https://securelist.com/common-ttps-of-attacks-against-industrial-organizations/110319/