Karkoff 2020:一项新的APT34间谍活动涉及黎巴嫩政府

介绍

2018年11月,思科Talos的研究人员针对黎巴嫩和阿联酋的目标进行了跟踪和详细的“ DNSEspionage ”活动。在撰写本报告时,威胁行为者通过将DNS流量从黎巴嫩政府拥有的域名重定向到黎巴嫩进行了一次网络间谍活动。目标 国家中的实体。

在2019年4月,思科Talos发现了APT34(代码名称 螺旋小猫或 石油钻机)和“ DNSEspionage”操作。塔罗斯分析师发现了攻击者使用的基础架构中的一些重叠之处,并确定了常见的TTP。他们追踪了这种新样本“ Karkoff”。

Cybaze的专家/ 洋井作为普通威胁情报活动的一部分,Zlab发现了一个新样品,他们认为这是Karkoff样本的更新。可以证明APT34仍然处于活动状态,威胁参与者在撰写本文时似乎仍处于活动状态的新活动中使用了它。APT小组在技术,战术和程序上进行了一些更改,但目标是黎巴嫩政府。

在此活动中,APT小组可能入侵了属于黎巴嫩政府实体的Microsoft Exchange Server,实际上,我们在通信逻辑中发现了一些证据。

这种新的样本与过去活动中涉及的Karkoff样本有一些相似之处,包括:

  • 相似的宏结构
  • 具有类似逻辑的.NET模块化
  • 利用Microsoft Exchange Server作为通信渠道

此外,新的Karkoff样本实现了新的侦察逻辑,以便仅将最终的有效负载分配到特定目标,收集系统信息,域名,主机名和正在运行的操作系统。

技术分析

杂凑59cbc7e788425120c2dde50f037afbf3b1d2108c0b7e27540e924cad2463fe5b
威胁APT34 Karkoff宏加载程序
简要描述;简介恶意Excel宏
深潜24576:zLNkxqHOPi1K5sLMKd2rVIehO / KBhjPyVuVX / + 2PPbK:wl4E

表1.样本信息

恶意软件是嵌入了恶意宏的Excel文档。下图(图1)显示了所提取代码的重点。 

图。1。恶意宏:删除并执行monitor.exe

宏从文件的主体中提取自定义的base64代码,并在执行解码例程之后,将可执行文件下载到以下路径“ C:\ Users \ public \ .Monitor \ monitor.exe”中。通过计划名为SystemExchangeService的新任务可以确保持久性。下图显示了任务的普遍性。 

图2. SystemExchangeService的持久性

提取的有效载荷总结如下:

卡科夫

图3. monitor.exe的静态详细信息

提取的有效载荷完全没有被混淆。这进行了简单而快速的分析。

如上图所示,创建日期为

卡科夫

图4。受损的邮件交换服务器参数的详细信息

第一步,如图4所示,该示例尝试连接到自己的命令和控制服务器,该服务器恰好是属于黎巴嫩政府的Exchange邮件服务器。连接后,C2会以回复的电子邮件的形式将可用命令列表作为附件进行回复。图5显示了GetList函数,从中我们可以欣赏到电子邮件主体解码过程。从主体开始,对自定义编码的字符串进行解码,然后将其解释为命令。

图5。 详情 负责获取可用命令列表作为邮件附件的GetList函数

经过分析,我们注意到该恶意软件试图来回连接至其C2以获得授权并共享有关受感染系统的详细信息。它使用了交换客户端的“ UserAgent”。图6显示了从受害者那边劫持的东西的详细信息。

卡科夫

图6。 细节 的信息被盗 受害者的机器

另一个证据是第二个命令控件的域注册:它已经在1月27日注册,可能表明了新攻击开始的日期。

图7。域名注册godoycrus [.com]的详细信息

结论

APT34仍然很活跃,这次针对黎巴嫩政府的运动证明了这一点。Karkoff恶意软件的新版本表明,与伊朗有关联的APT34网络间谍组织继续改善其武器库。此活动所涉及的示例实现了新的侦察功能,它通过使用Microsoft Exchange协议实现了隐蔽且有效的C2通信渠道。

该集团可能利用其武库中的另一种工具JASON工具来利用或强加一个与黎巴嫩有关的邮件帐户。Jason工具于2019年底泄露,攻击者可能会使用它对交换服务器进行暴力攻击。

0 0 vote
Article Rating

未经允许不得转载:x-sec » Karkoff 2020:一项新的APT34间谍活动涉及黎巴嫩政府

赞 (0) 打赏
Subscribe
Notify of
guest

This site uses Akismet to reduce spam. Learn how your comment data is processed.

0 Comments
Inline Feedbacks
View all comments

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

微信扫一扫打赏

0
Would love your thoughts, please comment.x
()
x