介绍
2018年11月,思科Talos的研究人员针对黎巴嫩和阿联酋的目标进行了跟踪和详细的“ DNSEspionage ” 活动。在撰写本报告时,威胁行动者通过将DNS流量从黎巴嫩政府拥有的域重定向到该国的目标实体,进行了网络间谍活动。
在2019年4月, 思科Talos 发现了APT34(代号Helix Kitten或OilRig)与“ DNSEspionage”操作之间存在关联的证据。Talos分析师发现了攻击者使用的基础架构中的一些重叠之处,并确定了常见的TTP。他们追踪了这种新的植入物“ Karkoff”。
来自Cybaze / Yoroi Zlab的专家作为普通威胁情报活动的一部分,发现了一个新样品,他们认为这是Karkoff植入物的更新。可以证明APT34仍然处于活动状态,威胁参与者在撰写本文时似乎仍处于活动状态的新活动中使用了它。APT小组在技术,战术和程序上进行了一些更改,但目标是黎巴嫩政府。
在此活动中,APT小组可能已入侵属于黎巴嫩政府实体的Microsoft Exchange Server,实际上,我们在通信逻辑中发现了一些证据。
这种新的植入物与过去活动中涉及的Karkoff样本有一些相似之处,包括:
- 相似的宏结构
- 具有类似逻辑的.NET模块化植入物
- 利用Microsoft Exchange Server作为通信渠道
此外,新的Karkoff植入物实现了新的侦察逻辑,以便将最终的有效负载仅丢弃到特定目标,收集系统信息,域名,主机名和正在运行的操作系统。
更新资料
在此报告被公开披露前几个小时,意大利网络安全公司Telsy的恶意软件研究人员还发布了他们的分析。
两种报告都与同一样品有关,但我建议阅读这两项分析,以清晰了解威胁因素和与植入物有关的所有技术细节。Telsy发布的报告可从以下链接获得: LINK。
技术分析
杂凑 | 926e29f9242feb3e11c532616f7c90c5d7acab115d38ebf748cabaaa6a2a3667 |
威胁 | APT34 Karkoff宏加载程序 |
简要描述;简介 | 恶意Excel宏 |
深潜 | 24576:zLNkxqHOPi1K5sLMKd2rVIehO / KBhjPyVuVX / + 2PPbK:wl4E |
表1.样本信息
恶意软件是嵌入了恶意宏的Excel文档。下图(图1)显示了所提取代码的重点。

图。1。恶意宏:删除并执行monitor.exe
宏从文件的主体中提取自定义的base64代码,并在执行解码例程之后,将可执行文件下载到以下路径“ C:\ Users \ public \ .Monitor \ monitor.exe”中。通过计划名为SystemExchangeService的新任务可以确保持久性。

图2. SystemExchangeService的持久性
提取的有效载荷总结如下:

图3. monitor.exe的静态详细信息
负载完全没有被混淆。这进行了简单而快速的分析。
如上图所示,创建日期为2月29日,这表明该植入物的近期构建。此外,较小的文件大小(1.13MB)允许快速下载和执行恶意内容。

图4。受损的邮件交换服务器参数的详细信息
第一步,如图4所示,该示例尝试连接到自己的命令和控制服务器,该服务器恰好是属于黎巴嫩政府的Exchange邮件服务器。连接后,C2会以回复的电子邮件的形式将可用命令列表作为附件进行回复。图5显示了GetList函数,从中我们可以欣赏到电子邮件正文解码过程。从主体开始,对自定义编码的字符串进行解码,然后将其解释为命令。

图5。GetList函数的详细信息,该函数负责获取可用命令的列表作为邮件附件
经过分析,我们注意到该恶意软件试图来回连接至其C2以获得授权并共享有关受感染系统的详细信息。它使用了交换客户端的“ UserAgent”。图6显示了从受害者那边劫持的东西的详细信息。

图6。受害人机器上被盗信息的详细信息
另一个证据是第二个命令控件的域注册:它已经在1月27日注册,可能表明了新攻击开始的日期。

图7。域名注册godoycrus [.com]的详细信息
结论
APT34仍然很活跃,这次针对黎巴嫩政府的运动证明了这一点。Karkoff恶意软件的新版本表明,与伊朗有联系的APT34网络间谍组织继续改善其武器库。此活动所涉及的示例实现了新的侦察功能,它通过使用Microsoft Exchange协议实现了隐蔽且有效的C2通信渠道。
该集团可能利用其武库中的另一种工具JASON 工具来利用或强行利用与黎巴嫩有关的一个邮件帐户 。Jason工具于2019年底泄露,攻击者可能会使用它对交换服务器进行暴力攻击。
妥协指标
- 散列
- 59cbc7e788425120c2dde50f037afbf3b1d2108c0b7e27540e924cad2463fe5b
- 26995a1cd99a5c70fd7bfa925cb0bbbdbd419bedc2d664dffd3b7c57ad07de66
- 1b2c5354eb567132a341c1b15ad5cc71c3f5ba8e2788b67c0fbc0e7993beb1d2
- ebae23be2e24139245cc32ceda4b05c77ba393442482109cc69a6cecc6ad1393
- 678d59bcd469e4cf236c7af7517c54ab9ad643523383875bd875131d7130941f
- C2
- godoycrus [.com
- 坚持不懈
- 设置任务计划程序
Yara规则
rule Karkoff_Attack_2020_Excel_macro {
meta:
description = "Yara Rule for new APT34 Karkoff campaign excel malicious macro"
author = "Cybaze Zlab_Yoroi"
last_updated = "2020-03-02"
tlp = "white"
category = "informational"
strings:
$a1 = "EncodedData0"
$a2 = "NewTask9"
$a3 = "EAAMYEKwUAAEsEWQUAAMYEnQUAAMYEqAUAAJwSrgU"
$a4 = "TVqQAAMAAAAEAAAA"
condition:
all of them
}
rule Karkoff_Campaign_2020 {
meta:
description = "Yara Rule for new APT34 Karkoff campaign"
author = "Cybaze Zlab_Yoroi"
last_updated = "2020-03-02"
tlp = "white"
category = "informational"
strings:
$a1 = "SystemExchangeService" ascii wide
$a2 = "getWindowsVersion" ascii wide
$a3 = "GetCommands" ascii wide
$s1 = {0A 7A 1E 02 7B 9C 12 00 04 2A}
condition:
uint16(0) == 0x5A4D and all of them
}
未经允许不得转载:x-sec » Karkoff 2020:一项新的APT34间谍活动涉及黎巴嫩政府