背景

　　UNC1151是疑似具有東歐國(guó)家背景的APT團(tuán)伙，該APT組織與“Ghostwriter”攻擊活動(dòng)相關(guān)。2020年，國(guó)外安全廠商Mandiant（前身為FireEye）披露“Ghostwriter”攻擊活動(dòng)[1]。該活動(dòng)至少自 2017 年 3 月開始，行動(dòng)主要針對(duì)立陶宛、拉脫維亞和波蘭等國(guó)，攻擊者在這些國(guó)家散播具有反北約組織（NATO）立場(chǎng)觀點(diǎn)的內(nèi)容，攻擊者通常借助網(wǎng)站入侵和偽造電子郵件賬號(hào)傳播虛假內(nèi)容，偽造的內(nèi)容還包括來(lái)自軍方官員的虛假信件。此后，Mandiant觀察到UNC1151組織發(fā)起與“Ghostwriter”相似的攻擊活動(dòng)，攻擊活動(dòng)涉及波蘭官員和德國(guó)政客，Mandiant認(rèn)為UNC1151組織為一個(gè)新的APT組織[2]。2021年11月，Mandiant發(fā)布報(bào)告將該組織歸屬于東歐某國(guó)政府[3]。

　　2022年2月，俄烏沖突爆發(fā)后，烏克蘭計(jì)算機(jī)應(yīng)急響應(yīng)小組（CERT-UA）和烏克蘭國(guó)家特殊通訊和信息保護(hù)局（SSSCIP Ukraine）發(fā)布釣魚郵件警報(bào)，警報(bào)涉及 UNC1151針對(duì)烏克蘭武裝部隊(duì)成員的私人電子郵件賬戶的廣泛網(wǎng)絡(luò)釣魚活動(dòng)。3月1日，Proofpoint披露攻擊者利用疑似被竊取的烏克蘭軍隊(duì)人員郵箱，向參與管理逃離烏克蘭的難民后勤工作的歐洲政府人員發(fā)起釣魚攻擊[4]，攻擊手法與UNC1151此前攻擊活動(dòng)相似。

　　概述

　　近日，奇安信威脅情報(bào)中心紅雨滴團(tuán)隊(duì)在社交平臺(tái)上發(fā)現(xiàn)有安全研究員發(fā)布一個(gè)針對(duì)烏克蘭的攻擊樣本。

　　烏克蘭CERT也于3月7日發(fā)布通告，將該攻擊樣本歸屬為UNC1151[5]。該樣本使用的攻擊手法與UNC1151之前被披露的攻擊手法有些不同。經(jīng)過(guò)深入挖掘，我們發(fā)現(xiàn)此類攻擊樣本至少?gòu)?021年9月開始出現(xiàn)，攻擊目標(biāo)涉及烏克蘭、立陶宛等國(guó)，同時(shí)在早期樣本中發(fā)現(xiàn)了與UNC1151歷史攻擊活動(dòng)的相似之處。

　　樣本信息

　　本次獲取的初始樣本為дов？дка。zip，“дов？дка”是烏克蘭語(yǔ)“證書”的意思，壓縮包內(nèi)部為dovidka.chm，chm全稱Compiled Help Manual，是微軟新一代的幫助文件格式，利用HTML作源文，把幫助內(nèi)容以類似數(shù)據(jù)庫(kù)的形式編譯儲(chǔ)存，也就是被編譯并保存在一個(gè)壓縮的HTML格式。當(dāng)我們雙擊文件時(shí)，微軟默認(rèn)使用HTML幫助執(zhí)行程序打開并顯示相關(guān)內(nèi)容。

　　誘餌內(nèi)容為一張圖片，圖片頂部為烏克蘭總統(tǒng)辦公室，烏克蘭內(nèi)閣以及烏克蘭安全的標(biāo)志，標(biāo)題翻譯為中文為“我該怎么辦？。圖片中的具體內(nèi)容為”有關(guān)戰(zhàn)爭(zhēng)的一些安全建議“。當(dāng)我們打開此文件時(shí)會(huì)執(zhí)行HTML代碼，解壓縮dovidka.chm得到內(nèi)嵌的html代碼。

　　樣本分析

　　HTML

　　HTML中包含兩段代碼，一段為js代碼，用于顯示誘餌內(nèi)容，另一段為vbs代碼。vbs代碼經(jīng)過(guò)混淆，執(zhí)行的功能主要為釋放ignit.vbs并調(diào)用WScript.exe執(zhí)行。

　　VBS

　　釋放的ignit.vbs也經(jīng)過(guò)混淆，主要執(zhí)行三個(gè)函數(shù)，分別釋放core.dll, desktop.ini, Windows Prefetch.lnk。

　　desktop.ini調(diào)用”C:\Windows\Microsoft.NET\Framework\v4.0.30319\regasm.exe“加載core.dll

　　Windows Prefetch.lnk 用于持久化。

　　core.dll

　　core.dll為ConfuserEx加殼的C#程序，脫掉殼之后進(jìn)行反編譯得到代碼，RegisterClass與UnRegisterClass 功能相同，實(shí)現(xiàn)數(shù)據(jù)的內(nèi)存加載。

　　兩個(gè)數(shù)組存儲(chǔ)需要內(nèi)存加載的數(shù)據(jù)。

　　將數(shù)組中的數(shù)據(jù)解壓并寫入分配的可執(zhí)行內(nèi)存中。

　　然后創(chuàng)建線程執(zhí)行。

　　內(nèi)存加載的代碼主要分為兩個(gè)部分，第一部分為dll loader,用于加載第二部分的dll，dll為開源的后門程序MicroBackdoor[6]。后門首先從conf段中獲取到C2地址xbeta.online和端口（8443）并建立連接。

　　成功與服務(wù)器連接后獲取服務(wù)器下發(fā)的指令并執(zhí)行，指令包含獲取本機(jī)信息，執(zhí)行程序，反彈shell，上傳下載文件等常規(guī)遠(yuǎn)控功能，值得一提的是與原版程序的指令相比，此樣本添加了截屏的功能。

　　關(guān)聯(lián)分析

　　經(jīng)過(guò)深入挖掘，我們發(fā)現(xiàn)其他三個(gè)同源樣本，均為chm文件。

　　與此次針對(duì)烏克蘭的攻擊樣本一樣，chm文件中的js代碼加載顯示誘餌內(nèi)容，chm中的vbs代碼釋放后續(xù)vbs腳本并執(zhí)行，誘餌內(nèi)容分別如下。

　　樣本cert.chm顯示證書圖片。

　　樣本Isakymas_V-2701.chm顯示的內(nèi)容為立陶宛”對(duì)工人進(jìn)行 COVID-19 強(qiáng)制篩查提出了新要求?！?/p>

　　樣本Operativna_informacia.chm誘餌內(nèi)容為烏克蘭與COVID-19相關(guān)的信息。

　　這幾個(gè)樣本攻擊流程與前面分析的樣本基本一致：chm文件執(zhí)行釋放的vbs腳本，再由vbs腳本釋放作為L(zhǎng)oader的dll，并通過(guò)在開機(jī)啟動(dòng)目錄下創(chuàng)建鏈接文件實(shí)現(xiàn)持久化。釋放的dll是經(jīng)過(guò)Confuser加殼的C#文件，負(fù)責(zé)解密后門程序，并在內(nèi)存中加載并執(zhí)行后門。

　　在上面同源樣本中，cert.chm與Operativna_informacia.chm釋放的vbs腳本一樣。并且值得注意的是，dll加載的后門并不限于在此次攻擊樣本中所觀察到的Microbackdoor。在樣本Isakymas_V-2701.chm中，攻擊者使用的后門為Cobalt Strike的Beacon木馬，這意味著攻擊者有一套成熟的代碼框架適配不同的后門程序，以生成最終的攻擊樣本。

　　在早期樣本Operativna_informacia.chm里，chm包含的vbs代碼還沒(méi)有進(jìn)行混淆處理，我們得以發(fā)現(xiàn)這批攻擊樣本與UNC1151此前攻擊活動(dòng)的相似之處。Vbs代碼中有如下指令用于解碼并執(zhí)行釋放的vbs腳本。

　　而在此前Mandiant披露UNC1151針對(duì)烏克蘭的一次攻擊活動(dòng)中[2]，也出現(xiàn)了基本一樣的指令。

　　此外，這些攻擊樣本持久化所執(zhí)行的指令也與之前的攻擊活動(dòng)相同，均是通過(guò)wscript執(zhí)行vbs腳本，只是建立持久化的方式不同。樣本Operativna_informacia.chm在開機(jī)啟動(dòng)目錄下寫入鏈接文件”Network access center.lnk“，鏈接文件的指令如下，其中desktop.ini實(shí)際上是vbs腳本。

　　總結(jié)

　　APT組織攻擊一直以來(lái)對(duì)于國(guó)家和企業(yè)來(lái)說(shuō)都是一個(gè)巨大的網(wǎng)絡(luò)安全威脅，通常由某些人員精心策劃，針對(duì)特定的目標(biāo)。出于商業(yè)或政治動(dòng)機(jī)，針對(duì)特定組織或國(guó)家，并要求在長(zhǎng)時(shí)間內(nèi)保持高隱蔽性進(jìn)行攻擊。

　　奇安信紅雨滴團(tuán)隊(duì)預(yù)測(cè)，未來(lái)會(huì)出現(xiàn)各種以俄烏熱點(diǎn)問(wèn)題為誘餌的惡意文件以及APT攻擊。因此，奇安信紅雨滴團(tuán)隊(duì)在此提醒廣大用戶，切勿打開社交媒體分享的來(lái)歷不明的鏈接，不點(diǎn)擊執(zhí)行未知來(lái)源的郵件附件，不運(yùn)行標(biāo)題夸張的未知文件，不安裝非正規(guī)途徑來(lái)源的APP。做到及時(shí)備份重要文件，更新安裝補(bǔ)丁。

　　若需運(yùn)行，安裝來(lái)歷不明的應(yīng)用，可先通過(guò)奇安信威脅情報(bào)文件深度分析平臺(tái)（https://sandbox.ti.qianxin.com/sandbox/page）進(jìn)行判別。目前已支持包括Windows、安卓平臺(tái)在內(nèi)的多種格式文件深度分析。

　　目前，基于奇安信威脅情報(bào)中心的威脅情報(bào)數(shù)據(jù)的全線產(chǎn)品，包括奇安信威脅情報(bào)平臺(tái)（TIP）、天擎、天眼高級(jí)威脅檢測(cè)系統(tǒng)、奇安信NGSOC、奇安信態(tài)勢(shì)感知等，都已經(jīng)支持對(duì)此類攻擊的精確檢測(cè)。