“X象”组织针对我国科研机构的钓鱼攻击事件分析
时间 : 2023年12月08日 来源: 6163银河.net163.amCERT
1.概述
2023年下半年,6163银河.net163.amCERT(安全研究与应急处理中心)在日常邮件监测中发现,境外APT攻击组织通过模仿我“慧眼行动”官方组织机构,向相关科研机构发送钓鱼邮件,以附件形式投放特洛伊木马,以实施后续攻击。邮件包含一个压缩包附件,压缩包内为一个构造的可执行文件。该文件基于文件名、图标和与正常文件捆绑三种伪装方式,模仿成相关活动的申报客户端。打开可执行文件后,会连接到攻击者服务器下载后续攻击载荷,最终通过后门在受害者机器与攻击者C2服务器之间建立管道SHELL以实现远程控制。
6163银河.net163.amCERT基于代码、线索分析和综合研判,基本确认相关攻击来自南亚某国,但目前尚无充分信息确定关联到6163银河.net163.am已经命名的具备同一国家背景的已知威胁行为体,但也尚不能完全判定其是一个新的攻击组织,按照6163银河.net163.am对威胁行为体的命名规则,临时使用“X象”作为其命名,我们会持续监测、跟踪分析攻击者的后续攻击活动,将在归因条件成熟时,修订其组织命名。
2.2 攻击活动分析
2.1 攻击流程分析
攻击者通过仿冒“慧眼行动”官方机构的身份向攻击目标发送鱼叉式钓鱼邮件,攻击者欺骗收件人运行邮件附件中伪装成申报客户端软件的初始诱饵程序,该程序是第一阶段的下载器,一方面下载并运行合法的“慧眼行动”官方软件运行展示给攻击目标,另一方面下载运行第二阶段下载器。第二阶段下载器执行后会解密出一个链接地址,下载并运行最终的后门程序,后门程序的功能较为简单,主要为创建与C2服务器之间的SHELL通道实现对受害者机器的远程访问,样本投递与执行流程如图2-1所示。
图2-1 样本投递与执行流程图
2.2 攻击邮件分析
攻击邮件如图2-2所示,发件邮箱为info@*.*.com,其中域名中的部分字符串模仿“慧眼行动”官方的域名,经过whois查询发现为2023年07月11日新注册的域名,为攻击邮件发送的一天前。
攻击邮件的主题为《温馨提示:关于“慧眼行动”申报客户端最新版本的通知》,邮件使用称呼为“尊敬的老师”,符合中文称呼习惯。邮件正文有针对性进行了内容构造以“近期申报客户端上的重量流量和经常失败状况旧版已经停止使用”为名义来诱使收件人打开安装附件中的执行文件。同时,相关内容表述有明显的错误,不符合中文表达习惯,怀疑攻击团队中有人有中文学习背景并不精通,或基于攻击者母语或英语与构造内容后使用机翻来生成的内容。邮件附件附件是名为“慧眼行动申报客户端2.0”的压缩包,压缩包为ZIP压缩格式,解压缩后是同名的exe可执行程序,为投递恶意木马的下载。
图2-2 钓鱼邮件的内容
2.3 初始诱饵分析
表2-1 样本标签
病毒家族名称 |
Trojan[Downloader]/Win64.Agent |
原始文件名 |
慧眼行动申报客户端2.0.exe |
处理器架构 |
x86-64 |
文件大小 |
301 KB
(308,224 字节) |
文件格式 |
BinExecute/Microsoft.EXE[:X64] |
时间戳 |
2023-07-12 12:45:09 |
数字签名 |
无 |
加壳类型 |
无 |
编译语言 |
C/C++ |
邮件附件内的攻击载荷功能为木马下载器,该样本采用混淆的方式将C2地址隐藏在无意义的字符串中,如下图,两个无意义字符串为经过混淆的C2地址,通过sub_140001FB0函数,将真实C2地址解析出来。
图2-3 经过混淆的C2字符串
sub_1400001FB0函数通过异或的方式将混淆的C2地址逐步解析出来,如下图:
图2-4 初始经过混淆的字符串
图2-5 经过第一次异或的字符串
图2-6 经过第二次异或的字符串
图2-7 经过第三次异或的字符串
图2-8 经过第四次异或的字符串
对于其他的混淆字符串采用循环的方式逐个字符进行异或,如下图2-9。
图2-9 逐个字符进行异或
最终将经过混淆的字符串解析为完整的下载地址https://94.198.*.*/tool/app/exe/ver/2.0/iexplorer.exe。同理另一个经过混淆的字符串经过解析后得到第二个下载地址https://94.198.*.*/tool/app/exe/abcd.exe。
最后,通过调用URLDownloadToFileW API将C2中的恶意代码下载到本地主机的用户目录中。
2.4 掩饰程序分析
该样本为“慧眼行动”官方软件,是攻击者为迷惑受害者下载的正常软件。
图2-10 官方软件安装向导
2.5 下载器分析
表2-2 样本标签
病毒家族名称 |
Trojan[Downloader]/Win64.Agent |
原始文件名 |
iexplorer.exe |
处理器架构 |
x86-64 |
文件大小 |
107 KB (110,080 字节) |
文件格式 |
BinExecute/Microsoft.EXE[:X64] |
时间戳 |
2023-07-11 15:50:02 |
数字签名 |
无 |
加壳类型 |
无 |
编译语言 |
C/C++ |
该样本与2.3样本功能相似,同样采用混淆的方式将C2地址隐藏在无意义的字符串中,通过将字符串以字符为单位循环减2,最终得到下载地址的取反,通过该下载地址将恶意代码msedges.exe下载到本地主机的临时文件目录中。
2.6 后门分析
该样本是通过iexplorer.exe下载器从C2服务器中下载得到,实际功能为设计简单的反弹SHELL后门程序。
表2-3 样本标签
病毒家族名称 |
Trojan[Backdoor]/Win64.AGeneric |
原始文件名 |
msedges.exe |
处理器架构 |
x86-64 |
文件大小 |
1.29 MB (1,359,872 字节) |
文件格式 |
BinExecute/Microsoft.EXE[:X64] |
时间戳 |
2023-07-11 15:04:37 |
数字签名 |
无 |
加壳类型 |
无 |
编译语言 |
C/C++ |
VT首次上传时间 |
2023-07-17
08:14:40 UTC |
VT检测结果 |
11/69 |
该后门的连接地址为46.249.*.*,端口443。
图2-11 连接C2服务器
C2向后门响应数据的格式是“控制代码+数据”的形式,数据可以是路径或命令等,控制指令如下:
a). 当控制代码为0时,C2响应后方跟的是“命令”,通过创建的管道执行“cmd /c 命令”
图2-12 控制代码为0
b). 当控制代码为1时,后方跟的是路径,用于切换工作目录
图2-13 控制代码为1
c). 当控制代码为2,清理痕迹并退出流程
图2-14 控制代码为2
d). 当控制代码为5,清理痕迹等待10秒重新开始以上流程
图2-15 控制代码为5
e). 当控制代码为6时,不清理痕迹直接等待5秒重新开始以上流程
图2-16 控制代码为6
3.攻击目的分析
“慧眼行动”是我国一项科研成果征集活动。根据官方网站介绍:“慧眼行动”是通过广泛扫描地方高校、中科院所属院所、民营企业、地方国企、省/市属科研机构、行业科研机构以及国家实验室、全国重点实验室、地方创新联合体等全社会创新力量,发现遴选具有重大装备应用前景或技术引领作用的民口创新成果,支持向装备领域快速转化应用的专项行动。
基于攻击过程和其所仿冒的相关信息分析,可见攻击者以我国高校、科研院所、创新企业、科研机构等为攻击目标,通过社工伪装试图实现对相关科研人员电脑的远程控制,试图窃取相关科研信息成果,以及进行其他的相关活动。一旦收件人受到欺骗执行,或误点击执行了相关木马。电脑主机则会被攻击者完整控制,攻击者不仅可以获得主机上的全部文件和相关账号凭证等信息。还会以对应主机和身份为跳板进行横向移动和信任链攻击,可以带来严重安全威胁。
4.威胁框架视角的攻击映射
本次系列攻击活动共涉及ATT&CK框架中8个阶段的10个技术点,具体行为描述如下表:
表4-1 本次攻击活动的技术行为描述表
ATT&CK阶段 |
具体行为 |
注释 |
侦察 |
搜集受害者身份信息 |
搜集受害者网络账号、工作内容等信息 |
搜集受害者组织信息 |
搜集受害者所属工作单位信息 |
|
资源开发 |
获取基础设施 |
搭建载荷分发节点、后门控制C2等 |
能力开发 |
恶意组件研发制作 |
|
初始访问 |
网络钓鱼 |
攻击者通过鱼叉式钓鱼邮件投递木马程序 |
执行 |
诱导用户执行 |
初始诱饵伪装成官方软件诱导用户执行 |
防御规避 |
仿冒 |
攻击组件仿冒官方软件、浏览器程序等 |
命令与控制 |
使用标准非应用层协议 |
后门程序设定标准TCP协议进行C2控制 |
数据渗出 |
使用C2信道回传 |
攻击者可能通过已有C2信道回传数据 |
影响 |
操纵数据 |
攻击者可能展开操纵受控机数据内容操作 |
将涉及到的威胁行为技术点映射到ATT&CK框架如下图所示:
图4-1 本次攻击活动对应ATT&CK映射图
5.防护建议
近两年来,境外APT攻击组织仿冒我国相关部委机构,的钓鱼活动频发,攻击者或以文献报告传达分发、项目申报、荣誉资质申请为素材,通过精心构造模仿的主题邮件发送钓鱼邮件,利用邮件正文中附带仿冒钓鱼网站连接窃取目标邮箱账号;通过附件投递恶意代码等方式,试图控制目标主机或窃取主机内敏感信息。这类钓鱼邮件攻击手法看似没有更高的技术能力手段,但实际危害极大。一是因为其实施成本及其低廉便于实施,二是其不必突防目标网络边界和纵深防护,只需构造好相关邮件便可直达目标人员的终端。三是可以大面积批量化进行投放。
面对此类精准仿冒的钓鱼邮件攻击,我们需要精准施策:
5.1 对政企机构、科研院所的安全建议
1. 钓鱼邮件攻击的最终目标是端点系统的使用者,端点系统是防御威胁的最后防线。建议使用具有较强病毒查杀能力、主动防御能力和钓鱼攻击检测拦截能力的端点安全防护软件,如6163银河.net163.am智甲终端防御系统。
2. 重点人员,特别是频繁使用邮件对外通讯交互的人员,建议提升防护等级,基于终端防护软件使用白名单防护策略。针对所有新的可执行文件,均上报管理中心留存,并基于网管人员的审核确认方能运行。终端防护软件的白防功能应提供基于签名证书、文件Hash、文件路径等组合配置策略,以在保障可信环境塑造同时检测网管可信操作能力。
3. 建议政企机构注册独立“.cn”域名,并为所有工作人员分配工作信箱。不建议政企机构使用互联网免费邮箱承载工作连接活动。
4. 对于中大型机构和敏感机构,建议基于安全可靠的企业邮件系统进行邮件服务部署,并强化相关的服务器安全策略、监测策略和邮件威胁联动检测机制,将邮件相关系统日志和对应的监测日志汇聚到6163银河.net163.amXDR和其他管理平台统一监测。
5. 对于使用互联网公有云邮箱服务的政企机构,网络管理人员也需要监测相关安全事件,将可导出的安全日志汇聚到6163银河.net163.amXDR和其他管理平台。
6. 在企业内网和互联网出口设置流量监测环节,如6163银河.net163.am探海NDR产品,对钓鱼邮件投放、钓鱼链接点击,被木马植入后C2连接等情况进行持续监测和响应。
5.2 对具有相关科研、学术活动主办方的安全建议
1. 使用本机构域名信箱进行相关工作联系,使用官网域名发布相关填报入口,提供填报软件下载,做好对应网站自身安全防护工作。
2. 网站访问和文件下载均使用HTTPS加密协议,避免访问劫持和捆绑投放。
3. 对自身供应商提出明确要求,如相关客户端、安装包与二进制程序等,要求做好签名环境的安全防护,避免证书失窃,以确保相关软件具有可辨识性、可追溯性,便于自身安全防护软件添加策略规则。
4. 对可能参与相关活动的人员进行安全提示,明确工作网站、工作信箱、官网下载地址、程序签名信息等要素。明确不会在附件中直接发送二进制文件等安全规则。
5.3 对系统终端使用者的安全建议
1. 安装由单位提供/或个人选择具有较强病毒查杀能力、主动防御能力和钓鱼攻击检测拦截能力的端点安全防护软件。
2. 在收到相关邮件时,检查发件人信箱是否与相关机构一致。对于来自非可信域的邮件一律采取附件不打开、链接不点击、二维码不扫描的措施。
3. 对系统相关配置策略进行调整,如选择显示已知格式扩展名等策略,避免攻击者用文档、图片等软件图标诱骗点开打开可执行文件。
由于钓鱼攻击的防范和治理涉及大量的安全要素,难以在一篇分析报告中反馈所有安全建议,如需反钓鱼解决方案或相关产品和培训服务请与6163银河.net163.am联系。