疑似TA555针对乌克兰国家边防卫队的最新攻击活动分析

 

概述

近日,奇安信威胁情报中心红雨滴团队在日常的样本监测过程中,捕获一例针对乌克兰国家边防卫队伊斯梅尔支队的攻击样本,该样本伪装成乌克兰国家财政局进行鱼叉邮件投递,诱导受害者启用带有恶意宏代码的附件文档。一旦恶意宏代码得以执行,便会在受害者机器上运行PoshAdvisor恶意软件,从而控制受害者计算机。

经溯源关联,该攻击文档疑似来自TA555组织[1],TA555是国外安全组织Proofpoint追踪命名的黑客组织,在以往的攻击活动中,该组织的目标通常为酒店,餐厅,电信行业,本次攻击活动是该组织第一次针对政府机构的活动。

 

样本分析

诱饵文档

文件名 Звернення керівнику підприємства.eml
MD5 4423c37da26868ec578baa5514b8308a

攻击者伪装为乌克兰财政部门以致领导人为主题进行鱼叉邮件投递

诱导受害者打开带有恶意宏代码的附件постанова_29_07_2019(2).doc(2019/7/29 决议)

恶意代码

一旦受害者启用宏,恶意宏代码便会执行powershell从远程https://23.227.194.58/(7位随机字符).png获取恶意代码执行

在分析该样本时,服务器已失效,无法获取后续,但奇安信威胁情报中心高对抗沙箱在捕获该样本时,已成功获取后续。

从远程服务器下载powershell执行,该段powershell继续从远程服务器https://23.227.194.58/(9位随机字符).png获取后续执行

红雨滴团队高对抗沙箱获取后续如下:

PoshAdvisor

该段powershell首先加载c#dll到内存中,并调用其B6ILdR()函数

B6ILdR()获取系统版本号等信息

之后执行一段base64解码的powershell

此段powershell主要功能为获取系统信息上传,通过cmd命令获取系统信息

之后调用c#中的fqlw函数生成URL路径,该函数主要将B6ILdR()函数获取系统信新格式化后的字符经异或等处理后组成url路径,并在post方法后加上.asp后缀,其他方法加上.jpg后缀。

将通过cmd命令获取的系统信息上传到23.227.194.58/(urlpath).asp

接着从注册表中获取outlook邮箱配置信息上传

截取当前屏幕上传

当此段powershell执行结束后,进入接受指令流程,从23.227.194.58/(urlpath).jpg获取指令执行,当获取的数据长度大于等于48时,进入远控功能流程

获取数据的第一位为指令位,通过判断第一位的数据从而执行不同功能

远控指令功能如下表

指令 功能
0 调用Ka2l7Xn3O函数执行shellcode
1 通过iex执行powershell指令并将执行结果上传
2 下载dll保存到%temp%目录下并通过ChlVniP4q6函数调用执行
3 下载exe报道%temp%目录下并执行
99 退出
其他 根据偏移4的id下载执行shellcode

 

溯源关联

经关联分析,红雨滴团队安全研究员发现本次攻击活动实现的后门与2018年proofpoint披露的TA555组织的PoshAdvisor后门基本一致,只是在功能上更加完善丰富,因此我们认定本次攻击活动幕后团伙是TA555的可能性极大。

诱饵文档对比

本次攻击活动的诱饵文档与之前TA505的文档基本一致,如下图

后门对比

本次攻击活动获取系统信息powershell代码与TA555基本一致

在功能代码上,本次攻击活动的后门功能较之TA555更加完善丰富

 

总结

从本次捕获TA555新样本来看,该团伙已开始转变攻击目标,从酒店餐厅等行业转变到政府机构,政治目的开始越发浓厚,其攻击武器功能也越发完善。奇安信威胁情报中心红雨滴团队将持续追踪该团伙的最新动态。

目前,基于奇安信威胁情报中心的威胁情报数据的全线产品,包括奇安信威胁情报平台(TIP)、天擎、天眼高级威胁检测系统、奇安信NGSOC等,都已经支持对此类攻击的精确检测。

 

IOC

样本MD5

4423c37da26868ec578baa5514b8308a

c5661d589ee98e8b370acaceb7f5445e

1d045444d74bc63c8b30d9089c8da24f

03580beba48ab744b1468459603e715d

87c6e0daabe6f71a86f3a9c24a090944

30bbf8a8d2c0ad4e2ffbfdc6c5ed476b

37457ea1d0f093145f8d645779c363ac

1e2b0f55562277fc4f3cfec340397f10

C&C地址

23.227.194.58

 

参考

https://www.proofpoint.com/us/threat-insight/post/new-modular-downloaders-fingerprint-systems-part-2-advisorsbot

(完)