2017年Sofacy攻击报告

 

一、前言

Sofacy(还有其他广为人知的称号,如APT28、Fancy Bear以及Tsar Team)是一个非常活跃又高产的APT组织。Sofacy的实力雄厚,用到了许多0day漏洞,所使用的恶意软件工具集非常新颖且范围广泛,是我们重点跟踪、报告以及防御的顶级团队之一。2017年Sofacy依然活跃,我们向专属客户反馈了关于Sofacy的许多YARA规则、IOC以及安全报告,反馈数量高居2017年榜首。

这种高水平的网络间谍活动可以追溯到好几年之前。2011年至2012年期间,该组织将相对较小的某个植入体后门(也称为“Sofacy”或者SOURFACE)作为第一阶段恶意软件,当时这款恶意软件与老式的Miniduke植入体存在某些相似之处。因此我们认为这两个组织存在一定关联性,虽然这两个组织从某个时间点开始分道扬镳(2014年开始Miniduke组织开始使用CosmicDuke植入体),但当时他们所使用的恶意软件依然比较一致且较为明确。

2013年,Sofacy组织扩张了他们的武器库,添加了更多的后门及工具,包括CORESHELL、SPLM(又名Xagent、CHOPSTICK)、JHUHUGIT(由Carberp源码编译而成)、AZZY(ADVSTORESHELL、NETUI、EVILTOSS,衍生了4-5代版本)以及其他一些工具。之前我们已经发现过这些植入体的各种变种,当时有些植入体传播得相当广泛(某些目前仍在活跃中)。2015年,我们注意到另一波攻击活动,当时攻击者使用的是新版的AZZY植入体,许多反病毒软件无法有效检测这个变种。新的攻击活动中还涉及到Sofacy所部署的新一代USB窃取器(该工具的最初版本可以追溯到2015年2月),似乎专门针对高价值的目标。

2016年,DNC网络中发现了Sofacy以及APT29的活动轨迹,攻击事件导致数据泄露,相关数据也被“武器化”,这次事件大大吸引了众人的眼球。2016年年末时,该组织的攻击重点转向了奥林匹克、世界反兴奋剂机构(WADA)以及国际体育仲裁法庭(CAS),当时攻击者钓鱼攻击并成功攻陷了这些组织中某些个人以及服务器。这与之前的CyberBerkut攻击活动类似,当时攻击者也是隐藏在匿名的激进组织中(如anonpoland),受害组织的数据也被泄露出来,并被成功“武器化”。

这份报告重点关注了Sofacy在2017年的活动轨迹,包括该组织的目标、技术以及基础架构。没有一个研究机构的视野能100%覆盖全球各个方面,我们所收集的数据也源自与此。有外部报道称,2017年APT28在欧洲的攻击活动与Darkhotel组织类似,Dealer’s Choice的鱼叉式钓鱼攻击也牵扯其中。从我们的角度来看,2017年Sofacy最开始重点攻击的是北约(NATO)以及乌克兰的合作伙伴,顺带攻击了中亚区域的一些目标,后半年重点攻击的是中亚目标,并且攻击目标有所东移。

 

二、Dealer’s Choice

2016年末,我们在Palo Alto的几位同事分析出了Dealer’s Choice组织的几处技术特征,根据这些特征,我们在2017年初开始缓慢清除Dealer’s Choice的残留痕迹。该组织利用Flash漏洞发起了几波鱼叉式钓鱼攻击浪潮,用到了基于carberp的JHUHUGIT下载器(downloader)以及后续的恶意软件。2017年1月份,许多人开始登录邮箱,下载Dealer’s Choice发送的鱼叉式钓鱼邮件。在这几波攻击浪潮中,我们观察到攻击者攻击的目标与北约的军事及外交利益有关。

在许多案例中,Sofacy会盗用某个目标的身份,向其他目标发送钓鱼邮件。这些目标通常与军事、军事技术以及制造业有关,并且这些攻击场景中,Dealer’s Choice采用了NATO主题的钓鱼邮件:

针对NATO以及乌克兰的此次攻击活动影响全球多个国家。我们的KSN数据显示,2017年的此次钓鱼攻击目标涉及AM、AZ、FR、DE、IQ、IT、KG、MA、CH、UA、US以及VN这几个国家。

我们从第三方数据源恢复了一些Dealer’s Choice邮件,这些邮件给我们提供了一些额外信息,证实了KSN数据的一些统计结果,结果表明TR、PL、BA、AZ、KR、LV、GE、AU、SE以及BE也受这次攻击影响。

 

三、0day漏洞

2017年伊始,Sofacy就在鱼叉式钓鱼文档中部署了2个0day漏洞利用技术,这两个漏洞分别为Microsoft Office的EPS类型混淆漏洞(CVE-2017-0262)以及UAF权限提升漏洞(CVE-2017-0263)。该团伙想通过这个钓鱼邮件附件下载安装30kb大小的后门(即GAMEFISH),攻击欧洲目标。攻击者采用的是与叙利亚军事冲突有关的专题内容,文档名为“Trump’s_Attack_on_Syria_English.docx”。同样的是,这次攻击很有可能是针对NATO目标的攻击活动。

 

四、针对中亚及相关基础设施的SPLM攻击

与此同时,2017年年初至2017年年中,我们在中亚检测到了SPLM/CHOPSTICK/XAgent,这表明攻击者仍在攻击中亚区域的前苏联国家。这些攻击行为比较有意思,因为攻击者在尝试性地攻击某些特定系统,想在第二阶段的攻击中部署具备文件窃取器(filestealer)、键盘记录器(keylogger)以及远程shell功能的后门。分析最新版的后门后,我们发现其中SPLM部分与之前发现的SPLM/XAgent有所不同,但其他相似部分保持一致。在2017年5月份,64位的SPLM模块已经更新到版本4。攻击者的攻击目标包括与国防有关的商业、军事以及电信目标。

TR、KZ、AM、KG、JO、UK以及UZ这几个国家受此次攻击影响。

 

五、Zebrocy攻击活动

从2015年11月中旬以来,Sofacy(即APT28)一直在使用一种独特的载荷以及传播机制,这款载荷使用Delphi以及AutoIT编写。我们将该工具以及相关攻击活动统称为“Zebrocy”,发表了该工具到2017年6月份为止的使用及部署情况报告,Sofacy开发者在此期间修改并增量部署了新版的恶意软件。Zebrocy的攻击活动遵循以下模式:鱼叉式钓鱼邮件附件 – >编译好的Autoit脚本(下载器) – > Zebrocy攻击载荷。在某些攻击场景中,我们发现Sofacy会主动研发一款新的工具,并将其部署到一小部分目标中。

Zebrocy所使用的鱼叉式钓鱼邮件文件名、欺诈主题与签证申请、扫描图像、边境管制以及各种管理专题有关。攻击目标非常广泛,涉及中东、欧洲以及亚洲相关国家,例如:

1、商业会计业务及标准相关目标;

2、科学及工程中心;

3、工业和水化学工程及标准/认证组织;

4、外交部;

5、大使馆及领事馆;

6、国家安全及情报机构;

7、新闻服务组织;

8、翻译服务组织;

9、NGO(非政府组织):家庭及社区服务;

10、能源及工业部。

我们成功识别出了Zebrocy部署的新型MSIL组件。虽然最新的Zebrocy为7.1版,但某些模块仍为v7.0版(这些模块能够释放具备文件窃取功能的MSIL模块,我们称之为Covfacy)。在这款工具集中,这些组件是比较特别的存在。比如,攻击者会将某个模块发给少数几个国家,当模块在目标系统中激活时,可以识别网络驱动器,然后使用类似RC4的加密算法,将某些文件元数据及内容写入本地路径中,以便后续攻击使用。文件窃取器会搜索60mb左右的文件,支持如下文件扩展名:

.doc
.docx
.xls
.xlsx
.ppt
.pptx
.exe
.zip
.rar

恶意软件执行时,会安装由应用程序定义的一个Windows钩子(hook)。该钩子会捕捉到添加网络驱动器的Windows消息。一旦系统中添加了一块网络驱动器,钩子就会调用“RecordToFile”这个文件窃取方法。

Zebrocy鱼叉式钓鱼攻击波及如下几个国家:

AF、AM、AU、AZ、BD、BE、CN、DE、ES、FI、GE、IL、IN、JO、KW、KG、KZ、LB、LT、 MN、 MY、 NL、OM、PK、PO、SA、ZA、SK、SE、CH、TJ、TM、TR、UA、UAE、UK、US、 UZ。

 

六、在中亚的SPLM攻击活动

攻击者在2017年一直在部署SPLM/CHOPSTICK模块,这些模块为原生的64位模块化C++ Windows COM后门,支持基于TLSv1以及TLSv1.2的HTTP加密通信,主要由Sofacy在2017年下半年部署。攻击者在早期的SPLM攻击活动中使用的是32位模块,通过未加密的HTTP会话(有时候是SMTP会话)进行部署。2016年,我们看到了全功能版的、非常庞大的SPLM/X-Agent模块,这些模块支持OS X系统。

可执行模块仍然属于某个攻击框架的一部分,该框架支持通过内部及外部通道进行通信的各种内部及外部组件,每次部署这些模块时,攻击者都会在加密方式以及功能方面做些微小的改动。多年以来,在针对高价值的目标时,Sofacy会选择性地使用SPLM/CHOPSTICK作为第二阶段的植入体载荷。与之前编译好的程序相比,该模块可以将远程shell、键盘记录器以及文件系统插件注入到受害者系统上正在运行的进程中,维护本来属于主模块的一些功能。

攻击者主要将新版的SPLM模块用在中亚目标上,这些目标在某种程度上都与NATO有关。这些目标包括外事政府组织(本国及国外)以及国防单位(在欧洲本部以及驻扎在阿富汗的分部),但有个单位例外,这是波斯尼亚和黑塞哥维那(即波黑)的一家审计及咨询公司。

在部署过程中,攻击者在代码上也做了少量修改以及更新,比如使用新的互斥体(mutex)格式以及基于TLS的HTTP加密通信。攻击者会使用多种微妙的方法,在每次部署过程中修改编译后的代码,以防止恶意软件被识别及被自动分析,希望恶意软件能够适应目标环境。每次部署过程中,攻击者都会自定义加密恶意软件中用到的字符串(如C2域名、功能特征、错误消息等)。

受影响的国家包括:TR、KZ、BA、TM、AF、DE、LT、NL。

 

七、SPLM/CHOPSTICK/XAgent

模块化方面

进入2018年后,SPLM/CHOPSTICK攻击活动给我们带来了一些小惊喜,我们准备在SAS 2018上进一步讨论相关细节。该攻击团队在维护及研发熟悉的SPLM功能方面的可塑性及创新性都非常优秀,但仍然继续沿用实用性及系统性的方法来研发隐蔽性或者难以被检测到的恶意软件。攻击者改进了第二阶段的SPLM后门,使相关代码在模块化时能够更加稳定。

基础设施方面

Sofacy搭建并维护了持续时间不一的多台服务器及C2服务器,注册了非常容易辨认的域名,这些域名商提供隐私保护服务、接受比特币、接受虚假电话号码及虚假个人姓名、支持1对1邮件地址注册域名。攻击者的某些行为以及用到的某些模式之前已被曝光过,因此我们预计2018年攻击者在这方面会有所改变。此外,在过去2年中,已经有研究人员开始公开发表关于Sofacy基础设施的一些研究结果,这几年这些基础设施架构在一致性方面保持得很好。

与往常一样,攻击者总是会犯下一些错误,通过蛛丝马迹告诉我们他们热衷于哪些服务商以及注册商。有趣的是,这个版本的SPLM会通过HTTPS协议实现完全加密的通信。比如,我们可能会在相关的SSL/TLS证书中看到一些额外数据,这些数据会泄露提供商或者相关资源的一些信息。直到2017年夏季时,攻击者使用的基础设施主要由PDR、Internet Domain Service BS Corp及相关代理商提供,托管服务主要由Fast Serv Inc及代理商提供,攻击者很有可能使用比特币来处理支付过程。

因此,貌似攻击者会在VPS主机上本地生成服务端证书,使用比特币向服务商支付费用。但有些例外,攻击者似乎在某个HP-UX盒子上本地生成了一个证书,也使用了root@8569985.securefastserver[.]com这个邮箱在8569985.securefastserver[.]com上生成了另一个证书,如下图所示。恶意软件忽略了这个证书配置。

除了其他IP数据以外,该数据还表明https://www.qhoster[.]com所属的Qhoster是攻击者当时选择的VPS托管服务器经销商。需要注意的是,该经销商接受Alfa Click、PayPal、Payza、Neteller、Skrill、WebMoney、Perfect Money、Bitcoin、Litecoin、SolidTrust Pay、CashU、Ukash、OKPAY、EgoPay、paysafecard、Alipay、MG、Western Union、SOFORT Banking、QIWI以及银行转账这几种支付方式。

 

八、总结

Sofacy是我们正在监控的最为活跃的APT组织之一,使用鱼叉式钓鱼攻击方法来攻击目标,广泛窃取各种凭据,并且很少与服务端联动(可以参考部署BeEF的攻击活动)。根据KSN可见度及检测结果,我们发现在2017年初时,该团伙主要向NATO相关目标发起鱼叉式攻击,但后面将矛头调转到中东及中亚,并在2017年年末将攻击重心进一步东移。该团伙在安全性方面维持得不错。该团伙的攻击活动似乎已经分裂成多个子活动,比如GAMEFISH、Zebrocy以及SPLM等等。在Sofacy攻击活动中,攻击者也在持续不断地演化、改进SPLM/CHOPSTICK/XAgent代码。我们会在SAS 2018上介绍该团伙自2018年以来在目标选择方面最新的情况,也会对恶意软件本身进行介绍。

对于类似Sofacy之类的攻击团伙,一旦我们在网络上发现他们的活动轨迹,我们需要重新检查系统上的登录痕迹及异常的管理员访问痕迹,彻底扫描收到的附件并做沙箱化处理,在诸如电子邮件以及VPN服务上使用双因素认证。为了识别攻击活动,我们不仅可以从攻击态势报告中获取有价值的信息,也可以借助类似YARA之类的搜索工具获得强大的检测能力,当然,使用类似KATA之类的带外(out-of-band)处理解决方案同样非常重要。

 

九、附录

MD5值

8f9f697aa6697acee70336f66f295837
1a4b9a6b321da199aa6d10180e889313
842454b48f5f800029946b1555fba7fc
d4a5d44184333442f5015699c2b8af28
1421419d1be31f1f9ea60e8ed87277db
b1d1a2c64474d2f6e7a5db71ccbafa31
953c7321c4959655fdd53302550ce02d
57601d717fcf358220340675f8d63c8a
02b79c468c38c4312429a499fa4f6c81
85cd38f9e2c9397a18013a8921841a04
f8e92d8b5488ea76c40601c8f1a08790
66b4fb539806ce27be184b6735584339
e8e1fcf757fe06be13bead43eaa1338c
953c7321c4959655fdd53302550ce02d
aa2aac4606405d61c7e53140d35d7671
85cd38f9e2c9397a18013a8921841a04
57601d717fcf358220340675f8d63c8a
16e1ca26bc66e30bfa52f8a08846613d
f8e92d8b5488ea76c40601c8f1a08790
b137c809e3bf11f2f5d867a6f4215f95
237e6dcbc6af50ef5f5211818522c463
88009adca35560810ec220544e4fb6aa
2163a33330ae5786d3e984db09b2d9d2
02b79c468c38c4312429a499fa4f6c81
842454b48f5f800029946b1555fba7fc
d4a5d44184333442f5015699c2b8af28
b88633376fbb144971dcb503f72fd192
8f9f697aa6697acee70336f66f295837
b6f77273cbde76896a36e32b0c0540e1
1a4b9a6b321da199aa6d10180e889313
1421419d1be31f1f9ea60e8ed87277db
1a4b9a6b321da199aa6d10180e889313
9b10685b774a783eabfecdb6119a8aa3
aa34fb2e5849bff4144a1c98a8158970
aced5525ba0d4f44ffd01c4db2730a34
b1d1a2c64474d2f6e7a5db71ccbafa31
b924ff83d9120d934bb49a7a2e3c4292
cdb58c2999eeda58a9d0c70f910d1195
d4a5d44184333442f5015699c2b8af28
d6f2bf2066e053e58fe8bcd39cb2e9ad
34dc9a69f33ba93e631cd5048d9f2624
1c6f8eba504f2f429abf362626545c79
139c9ac0776804714ebe8b8d35a04641
e228cd74103dc069663bb87d4f22d7d5
bed5bc0a8aae2662ea5d2484f80c1760
8c3f5f1fff999bc783062dd50357be79
5882a8dd4446abd137c05d2451b85fea
296c956fe429cedd1b64b78e66797122
82f06d7157dd28a75f1fbb47728aea25
9a975e0ddd32c0deef1318c485358b20
529424eae07677834a770aaa431e6c54
4cafde8fa7d9e67194d4edd4f2adb92b
f6b2ef4daf1b78802548d3e6d4de7ba7
ede5d82bb6775a9b1659dccb699fadcb
116d2fc1665ce7524826a624be0ded1c
20ff290b8393f006eaf4358f09f13e99
4b02dfdfd44df3c88b0ca8c2327843a4
c789ec7537e300411d523aef74407a5e
0b32e65caf653d77cab2a866ee2d9dbc
27faa10d1bec1a25f66e88645c695016
647edddf61954822ddb7ab3341f9a6c5
2f04b8eb993ca4a3d98607824a10acfb
9fe3a0fb3304d749aeed2c3e2e5787eb
62deab0e5d61d6bf9e0ba83d9e1d7e2b
86b607fe63c76b3d808f84969cb1a781
f62182cf0ab94b3c97b0261547dfc6cf
504182aaa5575bb38bf584839beb6d51
d79a21970cad03e22440ea66bd85931f

相关域名

nethostnet[.]com
hostsvcnet[.]com
etcrem[.]net
movieultimate[.]com
newfilmts[.]com
fastdataexchange[.]org
liveweatherview[.]com
analyticsbar[.]org
analyticstest[.]net
lifeofmentalservice[.]com
meteost[.]com
righttopregnantpower[.]com
kiteim[.]org
adobe-flash-updates[.]org
generalsecurityscan[.]com
globalresearching[.]org
lvueton[.]com
audiwheel[.]com
online-reggi[.]com
fsportal[.]net
netcorpscanprotect[.]com
mvband[.]net
mvtband[.]net
viters[.]org
treepastwillingmoment[.]com
sendmevideo[.]org
satellitedeluxpanorama[.]com
ppcodecs[.]com
encoder-info[.]tk
wmdmediacodecs[.]com
postlkwarn[.]com
shcserv[.]com
versiontask[.]com
webcdelivery[.]com
miropc[.]org
securityprotectingcorp[.]com
uniquecorpind[.]com
appexsrv[.]net
adobeupgradeflash[.]com
(完)