Karkoff 2020:一项新的APT34间谍活动涉及黎巴嫩政府

介绍

2018年11月,思科Talos的研究人员针对黎巴嫩和阿联酋的目标进行了跟踪和详细的“ DNSEspionage ” 活动。在撰写本报告时,威胁行动者通过将DNS流量从黎巴嫩政府拥有的域重定向到该国的目标实体,进行了网络间谍活动。

在2019年4月, 思科Talos  发现了APT34(代号Helix Kitten或OilRig)与“ DNSEspionage”操作之间存在关联的证据。Talos分析师发现了攻击者使用的基础架构中的一些重叠之处,并确定了常见的TTP。他们追踪了这种新的植入物“ Karkoff”。

来自Cybaze / Yoroi Zlab的专家作为普通威胁情报活动的一部分,发现了一个新样品,他们认为这是Karkoff植入物的更新。可以证明APT34仍然处于活动状态,威胁参与者在撰写本文时似乎仍处于活动状态的新活动中使用了它。APT小组在技术,战术和程序上进行了一些更改,但目标是黎巴嫩政府。

在此活动中,APT小组可能已入侵属于黎巴嫩政府实体的Microsoft Exchange Server,实际上,我们在通信逻辑中发现了一些证据。

这种新的植入物与过去活动中涉及的Karkoff样本有一些相似之处,包括:

  • 相似的宏结构
  • 具有类似逻辑的.NET模块化植入物
  • 利用Microsoft Exchange Server作为通信渠道

此外,新的Karkoff植入物实现了新的侦察逻辑,以便将最终的有效负载仅丢弃到特定目标,收集系统信息,域名,主机名和正在运行的操作系统。

更新资料

在此报告被公开披露前几个小时,意大利网络安全公司Telsy的恶意软件研究人员还发布了他们的分析。

两种报告都与同一样品有关,但我建议阅读这两项分析,以清晰了解威胁因素和与植入物有关的所有技术细节。Telsy发布的报告可从以下链接获得:  LINK

技术分析

杂凑926e29f9242feb3e11c532616f7c90c5d7acab115d38ebf748cabaaa6a2a3667
威胁APT34 Karkoff宏加载程序
简要描述;简介恶意Excel宏 
深潜24576:zLNkxqHOPi1K5sLMKd2rVIehO / KBhjPyVuVX / + 2PPbK:wl4E

表1.样本信息

恶意软件是嵌入了恶意宏的Excel文档。下图(图1)显示了所提取代码的重点。 

图。1。恶意宏:删除并执行monitor.exe

宏从文件的主体中提取自定义的base64代码,并在执行解码例程之后,将可执行文件下载到以下路径“ C:\ Users \ public \ .Monitor \ monitor.exe”中。通过计划名为SystemExchangeService的新任务可以确保持久性。 

图2. SystemExchangeService的持久性

提取的有效载荷总结如下:

图3. monitor.exe的静态详细信息

负载完全没有被混淆。这进行了简单而快速的分析。

如上图所示,创建日期为2月29日,这表明该植入物的近期构建。此外,较小的文件大小(1.13MB)允许快速下载和执行恶意内容。

图4。受损的邮件交换服务器参数的详细信息

第一步,如图4所示,该示例尝试连接到自己的命令和控制服务器,该服务器恰好是属于黎巴嫩政府的Exchange邮件服务器。连接后,C2会以回复的电子邮件的形式将可用命令列表作为附件进行回复。图5显示了GetList函数,从中我们可以欣赏到电子邮件正文解码过程。从主体开始,对自定义编码的字符串进行解码,然后将其解释为命令。

图5。GetList函数的详细信息,该函数负责获取可用命令的列表作为邮件附件

经过分析,我们注意到该恶意软件试图来回连接至其C2以获得授权并共享有关受感染系统的详细信息。它使用了交换客户端的“ UserAgent”。图6显示了从受害者那边劫持的东西的详细信息。

图6。受害人机器上被盗信息的详细信息

另一个证据是第二个命令控件的域注册:它已经在1月27日注册,可能表明了新攻击开始的日期。

图7。域名注册godoycrus [.com]的详细信息

结论

APT34仍然很活跃,这次针对黎巴嫩政府的运动证明了这一点。Karkoff恶意软件的新版本表明,与伊朗有联系的APT34网络间谍组织继续改善其武器库。此活动所涉及的示例实现了新的侦察功能,它通过使用Microsoft Exchange协议实现了隐蔽且有效的C2通信渠道。

该集团可能利用其武库中的另一种工具JASON  工具来利用或强行利用与黎巴嫩有关的一个邮件帐户  。Jason工具于2019年底泄露,攻击者可能会使用它对交换服务器进行暴力攻击。

妥协指标

  • 散列
    • 59cbc7e788425120c2dde50f037afbf3b1d2108c0b7e27540e924cad2463fe5b
    • 26995a1cd99a5c70fd7bfa925cb0bbbdbd419bedc2d664dffd3b7c57ad07de66
    • 1b2c5354eb567132a341c1b15ad5cc71c3f5ba8e2788b67c0fbc0e7993beb1d2
    • ebae23be2e24139245cc32ceda4b05c77ba393442482109cc69a6cecc6ad1393
    • 678d59bcd469e4cf236c7af7517c54ab9ad643523383875bd875131d7130941f
  • C2
    • godoycrus [.com
  • 坚持不懈
    • 设置任务计划程序

Yara规则

rule Karkoff_Attack_2020_Excel_macro {
	meta:
  	description = "Yara Rule for new APT34 Karkoff campaign excel malicious macro"
  	author = "Cybaze Zlab_Yoroi"
  	last_updated = "2020-03-02"
  	tlp = "white"
  	category = "informational"

	strings:
	
	   $a1 = "EncodedData0"
	   $a2 = "NewTask9"
	   $a3 = "EAAMYEKwUAAEsEWQUAAMYEnQUAAMYEqAUAAJwSrgU"
	   $a4 = "TVqQAAMAAAAEAAAA"
    condition:
	all of them

}


rule Karkoff_Campaign_2020 {
	meta:
		description = "Yara Rule for new APT34 Karkoff campaign"
		author = "Cybaze Zlab_Yoroi"
		last_updated = "2020-03-02"
		tlp = "white"
		category = "informational"

	strings:
	
	   $a1 = "SystemExchangeService" ascii wide
	   $a2 = "getWindowsVersion" ascii wide
	   $a3 = "GetCommands" ascii wide
	   $s1 = {0A 7A 1E 02 7B 9C 12 00 04 2A}

    condition:
	uint16(0) == 0x5A4D and all of them

}
0 0 vote
Article Rating

未经允许不得转载:x-sec » Karkoff 2020:一项新的APT34间谍活动涉及黎巴嫩政府

赞 (1) 打赏
Subscribe
Notify of
guest

This site uses Akismet to reduce spam. Learn how your comment data is processed.

0 Comments
Inline Feedbacks
View all comments

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

微信扫一扫打赏

0
Would love your thoughts, please comment.x
()
x