Karkoff 2020：一项新的APT34间谍活动涉及黎巴嫩政府

介绍

2018年11月，思科Talos的研究人员针对黎巴嫩和阿联酋的目标进行了跟踪和详细的“ DNSEspionage ” 活动。在撰写本报告时，威胁行动者通过将DNS流量从黎巴嫩政府拥有的域重定向到该国的目标实体，进行了网络间谍活动。

在2019年4月， 思科Talos  发现了APT34（代号Helix Kitten或OilRig）与“ DNSEspionage”操作之间存在关联的证据。Talos分析师发现了攻击者使用的基础架构中的一些重叠之处，并确定了常见的TTP。他们追踪了这种新的植入物“ Karkoff”。

来自Cybaze / Yoroi Zlab的专家作为普通威胁情报活动的一部分，发现了一个新样品，他们认为这是Karkoff植入物的更新。可以证明APT34仍然处于活动状态，威胁参与者在撰写本文时似乎仍处于活动状态的新活动中使用了它。APT小组在技术，战术和程序上进行了一些更改，但目标是黎巴嫩政府。

在此活动中，APT小组可能已入侵属于黎巴嫩政府实体的Microsoft Exchange Server，实际上，我们在通信逻辑中发现了一些证据。

这种新的植入物与过去活动中涉及的Karkoff样本有一些相似之处，包括：

• 相似的宏结构
• 具有类似逻辑的.NET模块化植入物
• 利用Microsoft Exchange Server作为通信渠道

此外，新的Karkoff植入物实现了新的侦察逻辑，以便将最终的有效负载仅丢弃到特定目标，收集系统信息，域名，主机名和正在运行的操作系统。

更新资料

在此报告被公开披露前几个小时，意大利网络安全公司Telsy的恶意软件研究人员还发布了他们的分析。

两种报告都与同一样品有关，但我建议阅读这两项分析，以清晰了解威胁因素和与植入物有关的所有技术细节。Telsy发布的报告可从以下链接获得：  LINK。

技术分析

表1.样本信息

恶意软件是嵌入了恶意宏的Excel文档。下图（图1）显示了所提取代码的重点。 

图。1。恶意宏：删除并执行monitor.exe

宏从文件的主体中提取自定义的base64代码，并在执行解码例程之后，将可执行文件下载到以下路径“ C：\ Users \ public \ .Monitor \ monitor.exe”中。通过计划名为SystemExchangeService的新任务可以确保持久性。 

图2. SystemExchangeService的持久性

提取的有效载荷总结如下：

图3. monitor.exe的静态详细信息

负载完全没有被混淆。这进行了简单而快速的分析。

如上图所示，创建日期为2月29日，这表明该植入物的近期构建。此外，较小的文件大小（1.13MB）允许快速下载和执行恶意内容。

图4。受损的邮件交换服务器参数的详细信息

第一步，如图4所示，该示例尝试连接到自己的命令和控制服务器，该服务器恰好是属于黎巴嫩政府的Exchange邮件服务器。连接后，C2会以回复的电子邮件的形式将可用命令列表作为附件进行回复。图5显示了GetList函数，从中我们可以欣赏到电子邮件正文解码过程。从主体开始，对自定义编码的字符串进行解码，然后将其解释为命令。

图5。GetList函数的详细信息，该函数负责获取可用命令的列表作为邮件附件

经过分析，我们注意到该恶意软件试图来回连接至其C2以获得授权并共享有关受感染系统的详细信息。它使用了交换客户端的“ UserAgent”。图6显示了从受害者那边劫持的东西的详细信息。

图6。受害人机器上被盗信息的详细信息

另一个证据是第二个命令控件的域注册：它已经在1月27日注册，可能表明了新攻击开始的日期。

图7。域名注册godoycrus [.com]的详细信息

结论

APT34仍然很活跃，这次针对黎巴嫩政府的运动证明了这一点。Karkoff恶意软件的新版本表明，与伊朗有联系的APT34网络间谍组织继续改善其武器库。此活动所涉及的示例实现了新的侦察功能，它通过使用Microsoft Exchange协议实现了隐蔽且有效的C2通信渠道。

该集团可能利用其武库中的另一种工具JASON  工具来利用或强行利用与黎巴嫩有关的一个邮件帐户  。Jason工具于2019年底泄露，攻击者可能会使用它对交换服务器进行暴力攻击。

妥协指标

• 散列
  • 59cbc7e788425120c2dde50f037afbf3b1d2108c0b7e27540e924cad2463fe5b
  • 26995a1cd99a5c70fd7bfa925cb0bbbdbd419bedc2d664dffd3b7c57ad07de66
  • 1b2c5354eb567132a341c1b15ad5cc71c3f5ba8e2788b67c0fbc0e7993beb1d2
  • ebae23be2e24139245cc32ceda4b05c77ba393442482109cc69a6cecc6ad1393
  • 678d59bcd469e4cf236c7af7517c54ab9ad643523383875bd875131d7130941f
• C2
  • godoycrus [.com
• 坚持不懈
  • 设置任务计划程序

Yara规则

rule Karkoff_Attack_2020_Excel_macro {
	meta:
  	description = "Yara Rule for new APT34 Karkoff campaign excel malicious macro"
  	author = "Cybaze Zlab_Yoroi"
  	last_updated = "2020-03-02"
  	tlp = "white"
  	category = "informational"

	strings:
	
	   $a1 = "EncodedData0"
	   $a2 = "NewTask9"
	   $a3 = "EAAMYEKwUAAEsEWQUAAMYEnQUAAMYEqAUAAJwSrgU"
	   $a4 = "TVqQAAMAAAAEAAAA"
    condition:
	all of them

}


rule Karkoff_Campaign_2020 {
	meta:
		description = "Yara Rule for new APT34 Karkoff campaign"
		author = "Cybaze Zlab_Yoroi"
		last_updated = "2020-03-02"
		tlp = "white"
		category = "informational"

	strings:
	
	   $a1 = "SystemExchangeService" ascii wide
	   $a2 = "getWindowsVersion" ascii wide
	   $a3 = "GetCommands" ascii wide
	   $s1 = {0A 7A 1E 02 7B 9C 12 00 04 2A}

    condition:
	uint16(0) == 0x5A4D and all of them

}

未经允许不得转载：x-sec » Karkoff 2020：一项新的APT34间谍活动涉及黎巴嫩政府