万圣节前夜的狂欢 – 作者:Viswing

-美国政府机构首次明确将ComRAT和Zebrocy与俄罗斯的APT组织和网络间谍部门建立联系

美国政府官方披露俄罗斯APT组织恶意软件

在2020年万圣节前夜(10月30日),CYBERCOM,CISA和FBI的联合警报的推特账号,公开披露了俄罗斯2个APT组织的最新恶意软件,在万圣节向俄罗斯黑客致以诚挚地“问候”,而且这并不是他们第一次在公共假日披露与网络攻击相关的消息。

此次美国官方披露了Turla常用的恶意软件ComRAT的变种以及APT28常用的恶意软件Zebrocy,但是并未将恶意软件与特定的活动相关联。此次披露是美国政府机构首次明确将ComRAT和Zebrocy与俄罗斯的APT组织和网络间谍部门建立联系,此前仅在安全厂商发布的报告中将上述恶意软件与对应APT组织关联。

1604570561_5fa3cdc1ea19db6d2d5e1.png!small

早在2020年10月29日,美国网络司令部就通过virustotal披露了7个样本,其中5个样本是Turla使用的 ComRAT恶意软件变种,另外两个是APT28使用的Zebrocy恶意软件变种。同一时间,美国网络安全基础设施安全局(CISA)发布《Malware Alasysis Report AR20-303A》与《Malware alasysis Report AR20-303B》,分别针对上述样本进行了详细功能分析,请参考本文附录。

《Malware Alasysis Report AR20-303A》报告披露Turla在执行阶段采用了Powershell脚本化方式,该脚本加载ComRAT V4版本的64位DLL到资源管理器中。该DLL将其他两个作为通信模块的32位和64位DLL注入到受害系统的默认浏览器中。ComRATv4恶意程序和通信模块采用命名管道相互通信,命名管道用于发送HTTP请求,以及从通信模块接收指令或HTTP响应。ComRAT v4采用两种不同的C2通信方式,一种是基于HTTP协议,另一种是利用Gmail 电子邮件。在第二种方式下,恶意程序使用配置中存储的cookie

连接到Gmail网络界面,来检查收件箱并下载包含加密命令的特定邮件附件。为了防止溯源,攻击者会借助免费电子邮件地址来发送包含加密命令的邮件。ComRAT v4版本的详细功能可以参考ESET在2020年5月发布的分析报告《FROM AGENT.BTZ TO COMRAT V4》。

《Malware alasysis Report AR20-303B》报告披露APT28使用了Golang语言编写的Zebrocy后门软件变种,收集受害者信息并上传C2。

1604570579_5fa3cdd3a38008090e6f8.png!small

1604570584_5fa3cdd8a6928528215bc.png!small

1604570588_5fa3cddc03a2cc095ad53.png!small

2 IoCs

Hash

Turla:

00352afc7e7863530e4d68be35ae8b60261fc57560167645697b7bfc0ac0e93d (Communication_module_32.dll)

134919151466c9292bdcb7c24c32c841a5183d880072b0ad5e8b3a3a830afef8

(corrected.ps1)

166b1fb3d34b32f1807c710aaa435d181aedbded1e7b4539ffa931c2b2cdd405 (Communication_module_64.dll)

44d6d67b5328a4d73f72d8a0f9d39fe4bb6539609f90f169483936a8b3b88316

(ComRATv4.exe)

a3170c32c09fc85cdda778a5c20a3dab144b6d1dd9996ba8340866e0081c7642 (Decode_PowerShell.ps1)

APT28:

0be114fe30ef5042890c17033b63d7c9e0363972fcc15a61433c598dd33f49d1

(smqft_exe)

2631f95e9a46c821a701269a76b15bb065764cc15a0b268a4d1eac045975c9b8

(sespmw_exe)

域名

Turla:

branter.tk

bronerg.tk

crusider.tk

duke6.tk

sanitar.ml

wekanda.tk

3 附录:样本功能分析概述

Turla的ComRat v4样本功能概述

样本HASH

样本名称(类型)

样本功能

134919151466c9292bdcb7c24c32c841a5183d880072b0ad5e8b3a3a830afef8

corrected.psl(dropper)

该文件是经过严格编码的恶意PowerShell脚本。此恶意脚本将PowerShell脚本(a3170c32c09fc85cdda778a5c20a3dab144b6d1dd9996ba8340866e0081c7642)安装到“WsqmCons”注册表项中。

a3170c32c09fc85cdda778a5c20a3dab144b6d1dd9996ba8340866e0081c7642

Decode_PowerShell.ps1(trojan)

解码并加载一个恶意DLL,标识为ComRatv4(44d6d67b5328a4d73f72d8a0f9d39fe4bb6539609f90f169483936a8b3b88316)。

44d6d67b5328a4d73f72d8a0f9d39fe4bb6539609f90f169483936a8b3b88316

ComRATv4.exe(trojan DLL)

该恶意软件是恶意的32位的DLL,是ComRAT v4的模块,通过PowerShell脚本被加载到Windows资源管理器中。执行后,它将检查受害者的系统日期/时间,并在周一至周五的上午9点至下午5点之间执行代码,将通信模块(00352afc7e7863530e4d68be35ae8b60261fc57560167645697b7bfc0ac0e93d)或(166b1fb3d34b32f1807c710aaa435d181aedbded1e7b4539ffa931c2b2cddd405)注入到受害系统,并进行通讯请求。

00352afc7e7863530e4d68be35ae8b60261fc57560167645697b7bfc0ac0e93d

Communication_module_32.dll(backdoor downloader loader trojan)

该恶意软件是32位的DLL,是注入受害者系统默认浏览器的通信模块,使用HTTP协议连接到以下C2:

bronerg.tk、crusider.tk、duke6.tk、
sanitar.ml、wekanda.tk、branter.tk。

该模块另一种通信方式使用配置中的cookie登录Gmail网络界面,并下载攻击者发送的包含加密命令邮件附件。

166b1fb3d34b32f1807c710aaa435d181aedbded1e7b4539ffa931c2b2cdd405

Communication_module_64.dll(trojan)

该恶意软件是64位的DLL,是注入受害者系统默认浏览器的通信模块。与32位通信模块功能相似。

APT28的Zebrocy样本功能概述

样本HASH

样本名称(类型)

样本功能

0be114fe30ef5042890c17033b63d7c9e0363972fcc15a61433c598dd33f49d1

smqft_exe(backdoor)

该恶意软件是使用Golang编程语言编写的32位Windows可执行文件,是Zebrocy后门的新变种。执行后收集受害者信息并将这些信息发送给C2。

2631f95e9a46c821a701269a76b15bb065764cc15a0b268a4d1eac045975c9b8

sespmw_exe(backdoor)

与0be114fe30ef5042890c17033b63d7c9e0363972fcc15a61433c598dd33f49d1具有相似功能。

4 白泽安全实验室

原文地址:https://mp.weixin.qq.com/s/OzZrmZeToNChaDZzNevk-g

来源:freebuf.com 2020-11-05 18:18:48 by: Viswing

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论