TA410:针对美国公用事业部门的“回溯”攻击背后的组织再次出现了新的恶意软件

在2019年8月,Proofpoint研究人员报告说,LookBack恶意软件在2019年7月至2019年8月之间针对美国(美国)公用事业部门。然后,我们继续分析了在2019年8月21日至29日之间展开的其他LookBack活动。这些活动利用了恶意宏。载有大量文件的文件,以便将模块化恶意软件传递给美国各地的目标公用事业提供商。与此同时,Proofpoint研究人员发现了一个名为FlowCloud的新的,附加的恶意软件家族,该家族也正在交付给美国公用事业提供商。

像LookBack这样的FlowCloud恶意软件使攻击者可以完全控制受感染的系统。它的远程访问木马(RAT)功能包括访问已安装的应用程序,键盘,鼠标,屏幕,文件,服务和进程的能力,并可以通过命令和控制来泄露信息。

我们分析了2019年7月至11月之间的网络钓鱼活动,并确定LookBack和FlowCloud恶意软件都可以归因于我们称为TA410的单个威胁参与者。该结论基于威胁参与者对共享附件宏,恶意软件安装技术和重叠交付基础结构的使用。

此外,我们的分析发现TA410和TA429(APT10)交付策略之间存在相似之处。具体来说,我们已经看到了两个参与者共同的附件宏。2019年11月检测到的TA410活动包括网络钓鱼附件传递宏中使用的与TA429(APT10)相关的基础结构。但是,Proofpoint分析师认为,威胁行为者可能故意重用广为宣传的TA429(APT10)技术和基础架构,以制造虚假标记。因此,在进行研究时,我们不会将LookBack和FlowCloud活动归因于TA429(APT10)。Proofpoint当前独立于TA410活动跟踪TA429(APT10)。

下面的图1显示了所标识的LookBack和FlowCloud活动的时间表。

FlowCloud_1_1

图1回溯和FlowCloud Campaign时间线

交货

Proofpoint的研究人员观察到了从2019年7月10日开始的网络钓鱼活动,该网络针对的美国公用事业提供商具有便携式可执行(PE)附件,并使用了诸如PowerSafe能源教育课程(30天试用期)之类的主题行。这些活动一直持续到2019年9月。

我们对这些网络钓鱼活动的分析确定,PE附件传递了一种模块化的恶意软件,开发人员在程序数据库(“ PDB”)路径中将其称为“ FlowCloud”。因此,基于这些活动所传递的恶意软件系列,我们将其称为“ FlowCloud”。值得注意的是,这些FlowCloud广告活动与Proofpoint先前记录的LookBack广告活动同时发生。FlowCloud和LookBack广告系列均针对美国的公用事业提供商。两者都使用了培训和以认证为主题的诱饵。两者都使用了威胁参与者控制的域进行交付。在某些情况下,FlowCloud和LookBack广告系列不仅针对相同的公司,而且针对相同的收件人。

传递FlowCloud恶意软件的电子邮件的发件人利用了威胁者控制的域来进行传递,以模仿能源行业的培训服务,并利用了包含“工程师”一词的子域。

从2019年11月进行攻击开始,我们观察到FlowCloud交付策略的显着变化。美国公用事业公司的目标保持不变,但威胁参与者从PE附件转移到了恶意的,载有大量宏的Microsoft Word文档,这些文档与相同的交付和安装非常相似LookBack恶意软件活动中使用的宏。

此外,威胁参与者在11月开始使用发件人域asce [.email]来传递这些附件。该域于2019年6月首次注册到IP 103.253.41 [。] 75,在先前的LookBack活动中用作登台和侦察IP。在2019年10月29日,该域名解析为IP 134.209.99 [。] 169,该域名还托管了多个能源认证和教育主题域名。这些域中的许多域还与2019年7月和8月FlowCloud网络钓鱼活动中先前观察到的传递域共享SSL证书。该SSL证书中的数据已显示在图2中。该图演示了参与者将单个SSL证书用于多个能量和训练主题领域。参与者在“备用名称”字段中列出了由证书签名的域,从而可以标识其他相关基础结构。FlowCloud活动中使用了许多此类域。

FlowCloud_2_2

图2用于powersafetraining [。] org和相关能源主题域的被动SSL证书总数。

下表显示了TA410分段IP,它们在首次被观察时,与它们关联的注册域以及源自这些域的电子邮件所传递的恶意软件。

知识产权首次观察注册域名恶意软件已交付
103.253.41 [。] 752019/06/23交付域:Nceess [。] com全球能源认证[。] com 注册域名:Nerc [。]电子邮件Asce [。]电子邮件回望
134.209.99 [。] 16910/29/2019交付域:Asce [。]电子邮件 注册域名:Powersafetraining [。] net 与SSL证书相关的域:mails.energysemi [。] compowersafetrainings [。] orgwww.mails.energysemi [。] comwww.powersafetraining [。] net www.powersafetrainings [。] org流云
101.99.74 [。] 2342019/07/02交付域www.powersafetrainings [。] org流云

2019年11月活动中的电子邮件内容冒充了美国土木工程师学会,并被伪装成合法的域asce [.org]。该电子邮件的结构与为在2019年7月模拟NCEES和全球能源认证而构造的LookBack传递电子邮件非常相似。图3和图4包含了这些电子邮件的示例。

FlowCloud_3_3

图3以ASCE为主题的网络钓鱼电子邮件传递FlowCloud恶意软件2019年11月

FlowCloud_4_4

图4以NCEES为主题的网络钓鱼电子邮件传递LookBack恶意软件2019年7月

开发-安装宏

如上所述,经过长时间使用PE附件在活动中交付FlowCloud之后,FlowCloud背后的威胁参与者在2019年11月开始转向使用带有恶意宏的Microsoft Word文档.Word文档附件和交付FlowCloud的宏具有关键的相似之处通过Word文档附件和宏,我们确定在2019年7月和8月交付了LookBack。

与LookBack所使用的方法相同,FlowCloud宏使用了增强隐私的邮件(“ .pem”)文件,这些文件随后被重命名为文本文件“ pense1.txt”。接下来,将此文件另存为名为“ gup.exe”的可移植可执行文件,并使用名为“ Temptcm.tmp”的certutil.exe工具版本执行。

为了进行比较,用于安装FlowCloud恶意软件的2019年11月5日宏显示了用于安装FlowCloud的宏,而用于安装LookBack恶意软件的2019年8月6日宏显示了用于安装LookBack的宏。

FlowCloud_5_5

图2019年11月5日用于安装FlowCloud恶意软件的宏

FlowCloud_6_6

图2019年8月6日用于安装LookBack恶意软件的宏

我们的博客 LookBack恶意软件中的“利用”部分针对具有网络钓鱼攻击的美国公用事业部门,模拟工程许可委员会对LookBack使用的这种方法进行了更深入的说明。FlowCloud使用完全相同的宏连接代码的相同方法。

尽管我们发现两个宏版本的LookBack Gup代理工具和FlowCloud恶意软件的最终执行方法相同,但我们发现FlowCloud宏引入了一种新的恶意软件传递方法。

宏的早期LookBack版本将有效负载包含在许多隐私增强的电子邮件(“ .pem”)文件中,这些文件在用户执行附件文件时被删除。宏的FlowCloud版本利用以前未观察到的宏部分从DropBox URL下载有效负载。下载有效负载后,以.pem文件形式的FlowCloud恶意软件PE保存为变量“ Pense1.txt”。图7 FlowCloud恶意软件宏传递代码显示了FlowCloud宏,其中的传递部分已被调出。

FlowCloud_7_7

图7 FlowCloud恶意软件宏传递代码

FlowCloud宏还包含一个奇怪的try…catch语句,该语句最初尝试从DropBox URL下载FlowCloud负载,作为try语句的一部分。但是,如果无法从该资源中检索有效负载,则一条与try语句几乎相同的catch语句试图从URL http://ffca.caibi379 [。] com / rwjh / qtinfo检索恶意软件资源。文本文件”。”。图8 FlowCloud Malware Catch语句宏代码显示了有问题的catch语句。

FlowCloud_8_8

图8 FlowCloud Malware Catch语句宏代码

try…catch序列很重要,因为catch语句和恶意软件资源中的URL之前在enSilo于2019年5月的博客中提到过,标题为“ APT10 揭示新活动 ””。该博客声称该URL提供了修改后的Quasar RAT有效载荷,其中包括添加了SharpSploit(一种开源的后利用工具)。在FlowCloud广告系列投放的同一天进行分析时,此URL和资源不可用,而DropBox URL成功交付了FlowCloud .pem文件。尽管Proofpoint尚未独立验证其他研究人员针对参考的Quasar RAT样本所作的这些归因声明,但使用此URL表示与公开报告的归因于TA429(APT10)的折衷指标之前未公开。虽然从表面上看,该域可能暗示链接到TA429(APT10),但我们已经发现了与域注册信息和URL的非活动性质有关的若干异常,并将在本博客的稍后部分详细讨论它们。

FlowCloud恶意软件

我们对FlowCloud恶意软件的分析确定,它是一个多阶段有效负载,由使用C ++编写的大型代码库组成。该代码展示了一定程度的复杂性,其中包括许多组件,大量的面向对象的编程以及使用合法的和模仿的QQ文件进行初始和后期执行。我们在整个FlowCloud执行过程中使用的几个模块中发现了QQ组件的进一步模仿。恶意软件名称“ FlowCloud”取自在许多恶意软件组件中观察到的独特的PDB路径。这些值已包含在此博客末尾的“ IOC”部分中。

FlowCloud恶意软件能够根据其可用命令(包括访问剪贴板,已安装的应用程序,键盘,鼠标,屏幕,文件,服务和进程)提供可用命令的RAT功能,并能够通过命令和控制来泄露信息。此外,所分析的恶意软件变体具有几个独特的特征,这些特征表明,至少自2016年7月以来,恶意软件可能一直在威胁环境中处于活动状态。

除了针对更新的Windows版本构建的组件之外,FlowCloud示例还删除了仅与Windows版本6(Windows Vista)及更低版本兼容的32位模块。该二进制文件的过时性质以及恶意软件代码的可扩展性质表明,FlowCloud代码库已经开发了很多年。公开报告有关FlowCloud恶意软件组件和相关安装目录路径的信息表明,最早可能于2016年7月在野外观察到该恶意软件的版本。此外,围绕合法QQ文件开发了该恶意软件,并确定了日本从日本上传到VirusTotal的恶意软件样本。来自台湾的2018年12月和今年年初表明,该恶意软件在针对美国公用事业部门出现之前可能已经在亚洲活跃了一段时间。

图9下面的FlowCloud Loader功能流程图概述了FlowCloud的加载程序功能。

FlowCloud_9

图9 FlowCloud Loader功能流程图

  • 恶意软件首先由恶意宏执行Gup.exe,然后由宏执行文件EhStorAuthn.exe。
  • EhStorAuthn.exe提取后续的有效负载文件组件,并将它们安装到目录C:\ Windows \ Media \ SystemPCAXD \ ado \ fc。该文件还将设置存储注册表记录器驱动程序和恶意软件配置的注册表项值作为“ KEY_LOCAL_MACHINE \ SYSTEM \ Setup \ PrintResponsor \ <2-4>”值。
  • EhStorAuthn.exe是QQ使用的合法可移植可执行文件,其初始名称为QQSetupEx.exe。此文件用于加载文件dlcore.dll,这是其自然下载程序的一部分。
  • Dlcore.dll是由威胁参与者精心制作的DLL,其充当shellcode注入程序,从名为rebare.dat的文件中提取shellcode。该文件模仿了合法的QQ组件。
     当执行rebare.dat中的shellcode时,它将依次执行一个名为rescure.dat的RAT安装程序文件。
  •  Rescure.dat是XOR加密的DLL文件,它安装了基于RAT的应用程序responsor.dat,该应用程序安装了键盘记录程序驱动程序并管理RAT功能。
  • Responsor.dat将几个模块(rescure86.dat或rescure64.dat)解压缩到注册表%TEMP%\ {0d47c9bc-7b04-4d81-9ad8-b2e00681de8e}”,并将解压缩后的文件作为名为“ FSFilter Activity Monitor”或“ FltMgr”。
  • 最后,当调用rescure.dat函数“ startModule”时,Responsor.dat启动RAT。
  • 该恶意软件还使用了几个合法的Microsoft Windows文件进行线程注入。
  • EhStorAuthn_shadow.exe(hhw.exe)使用Microsoft HTML帮助研讨会文件作为线程注入的占位符。
  • Hha.dll是Microsoft HTML帮助研讨会的组件,并且是运行EhStorAuthn_shadow.exe所必需的。

恶意软件将其配置与恶意软件的按键记录程序组件所利用的驱动程序一起存储在注册表中。生成了几个其他不同的注册表项,这些注册表项指示恶意软件在主机上的当前执行阶段。下表中包含其中一些键。

注册表项原始组件描述
HKEY_LOCAL_MACHINE \ SYSTEM \ Setup \ PrintResponsor \ 2Gup.exe32位驱动程序,键盘记录器
HKEY_LOCAL_MACHINE \ SYSTEM \ Setup \ PrintResponsor \ 3Gup.exe64位驱动程序,键盘记录器
HKEY_LOCAL_MACHINE \ SYSTEM \ Setup \ PrintResponsor \ 4Gup.exeRAT配置
HKEY_LOCAL_MACHINE \ HARDWARE \ {2DB80286-1784-48b5-A751-B6ED1F490303}Dlcore.dll执行阶段执行dlcore.dll
HKEY_LOCAL_MACHINE \ HARDWARE \ {804423C2-F490-4ac3-BFA5-13DEDE63A71A}修复日期执行阶段安装键盘记录程序驱动程序
HKEY_LOCAL_MACHINE \硬件\ {A5124AF5-DF23-49bf-B0ED-A18ED3DEA027}修复日期执行阶段 RAT已完全安装。

FlowCloud配置

FlowCloud加载程序组件EhStorAuthn.exe在安装链的早期将恶意软件配置存储在注册表中,并在上表中进行了表示。注册表数据由多个加密的标头(使用XOR和ROR)组成,并且使用修改(或损坏)的AES算法对数据进行加密。纯文本数据使用ZLIB压缩,并使用Google的协议缓冲区进行序列化。10图10显示了FlowCloud调试日志显示的配置示例:

FlowCloud_10

图10调试日志显示的配置示例

命令与控制

FlowCloud恶意软件利用自定义二进制C2协议将配置更新,文件扩散和命令作为独立线程处理。我们将这些独立线程识别为广泛的命令处理功能的一部分,并且每个命令都具有不同的命令管理器。我们分析的样本使用端口55555进行文件渗透,使用端口55556进行所有其他数据。我们确定了IP 188.131.233 [。] 27的FlowCloud通信。请求和响应由多个加密头(使用XOR和ROR)和TEA加密数据组成,其中TEA加密数据使用包含随机编码的硬编码字符串和MD5哈希的密钥生成方案。纯文本数据使用ZLIB压缩,并使用Google的协议缓冲区序列化。

FlowCloud_11

图11 FlowCloud解析初始C2信标的示例

比较公共TA429(APT10)指标和TA410活动

FireEye和EnSilo关于TA429(APT10)运动的出版物包含后来出现在TA410运动中的指示器。在我们对该研究的回顾性分析中,我们确定TA429(APT10)使用了网络钓鱼宏,后来又被LookBack和FlowCloud恶意软件所使用。此外,我们确定了11月份FlowCloud宏使用的Quasar RAT传递URL hxxp://ffca.caibi379 [。] com / rwjh / qtinfo.txt,该URL已发布在enSilo报告中,可用于TA410活动的可观察的武器化之前。

有趣的是,2019年7月使用的多个LookBack恶意软件模块的编译日期为2018年9月14日。其中包括以前关于LookBack恶意软件的Proofpoint博客中介绍的SodomMain和SodomNormal模块。该日期仅在FireEye于2018年9月13日发布对日本使用的类似TA429(APT10)宏的初步分析之后的一天。

尽管直到2019年6月才在野外观察到LookBack恶意软件样本,但2018年9月的编译日期表明编译和交付之间存在很大的滞后时间。这可能表明威胁者操纵了编译时间,但尚未最终确定。

TA410在参与者控制的基础结构上首次确定的服务器安装是在2018年12月进行的。LookBack和FlowCloud活动的大多数域注册(武器化)分别于2019年5月和2019年6月开始。这些事件是在FireEye于2018年9月首次发布之后。

此外,enSilo于2019年5月24日发布了有关可能与TA429(APT10)相关的Quasar RAT样本的出版物。直到2019年11月第二周,非活动URL才被纳入网络钓鱼宏中,作为针对美国的FlowCloud活动的一部分实用程序。WHOIS记录和ffca.caibi379 [。] com的被动DNS信息表明,该域的注册人电子邮件和地址字段已于2019年6月7日更新。该域的A记录已于2019年9月9日更新。解析为Google拥有的ASN中包含的IP 34.80.27 [。] 200。从2019年1月2日开始的前八个月,包括enSilo讨论的活动期间,该域托管在APNIC Hostmaster拥有的ASN中的几个IP上。放弃由APNIC拥有的IP基础设施意味着在enSilo发布之后以及在TA410针对美国公用事业的战役的武器化时期之内,威胁参与者基础设施托管策略的出现已大为改变。尽管这项研究不是结论性的,但它表明,在TA410战役开始之前,公开观察到的所有TA429(APT10)相似性和折衷指标都可以公开获得。因此,尽管从当前分析中不能得出结论,但仍有可能这些重叠表示TA410威胁行为者的虚假标志活动。基于此分析,Proofpoint分析师目前将TA410视为与TA429(APT10)不同的威胁参与者。

结论

LookBack和FlowCloud恶意软件活动在2019年11月的融合展示了TA410参与者在针对美国公用事业提供商的单个持续活动中明显利用多种工具的能力。这两个恶意软件家族在概念和开发上都表现出一定的成熟水平,而FlowCloud恶意软件的可扩展代码库表明,该组可能早在2016年就已开始运作。广告系列,并热衷于在非常有针对性的目标领域内进行合理的社会工程。目前尚不清楚该小组是否制定了与TA429(APT10)共享的战术和指标的性质,或者是从这些活动之前的现有技术报告中剔除出来的。这些重叠可能仍然是故意的虚假标志,以掩盖这些犯罪者的身份,同时他们针对美国能源供应商的关键和地缘政治敏感部门。无论演员的意图是什么,TA410都已将自己定位为积极的演员,并拥有成熟的工具集,可针对高度重要且地理位置集中的目标集开展长期运动。这些重叠可能仍然是故意的虚假标志,以掩盖这些犯罪者的身份,同时他们针对美国能源供应商的关键和地缘政治敏感部门。无论演员的意图是什么,TA410都已将自己定位为积极的演员,并拥有成熟的工具集,可针对高度重要且地理位置集中的目标集开展长期运动。这些重叠可能仍然是故意的虚假标志,以掩盖这些犯罪者的身份,同时他们针对美国能源供应商的关键和地缘政治敏感部门。无论演员的意图是什么,TA410都已将自己定位为积极的演员,并拥有成熟的工具集,可针对高度重要且地理位置集中的目标集开展长期运动。

IOCS:

国际奥委会国际奥委会类型描述
faa80e0692ba120e38924ccd46f6be3c25b8edf7cddaa8960fe9ea632dc4a045SHA256PE附件-我们的基础架构提供ann‮cod.exe
b7960d1f40b727bbea18a0e5c62bafcb54c9ec73be3e69e787b7ddafd2aae364SHA256PE附件-Powersafe课程ann‮cod.exe
26eb8a1f0bdde626601d039ea0f2c92a7921152371bafe5e811c6a1831f071ceSHA256FlowCloud MS Word宏附件-个人Invitation.doc
cd8f877c9a1c31179b633fd74bd5050e4d48eda29244230348c6f84878d0c33cSHA256删除的文件-Cert.pem
e4ad5d3213425c58778d8a0244df4cd99c748f58852d8ac71b46326efd5b3220SHA256删除的文件-pense1.txt
589229e2bd93100049909edf9825dce24ff963a0c465d969027db34e2eb878b4SHA256删除的文件-Temptcm.tmp
1334c742f2aec7e8412d76ba228b99935a49dc96a1e8e1f3446d9f61247ae47eSHA256删除的文件-EhStorAuthn.exe
de30929ef958211f9315e27a7aa45ef061726a76990ddc6b9d9f189b9fbdd45aSHA256删除的文件-dlcore.dll
0b013ccd9e10d7589994629aed18ffe2388cbd745b5b28ab39c07835295a1ca9SHA256删除的文件-rebare.dat
479954b9e7d5c5f7086a2a1ff1dba99de2eab2e1b1bc75ad8f3b211088eb4ee9SHA256删除的文件-rescure.dat
d5191327a984fab990bfb0e811688e65e9aaa751c3d93fa92487e8a95cb2eea8SHA256删除的文件-responsor.dat
0701cc7eb1af616294e90cbb35c99fa2b29d2aada9fcbdcdaf578b3fcf9b56c7SHA256删除的文件-EhStorAuthn_shadow.exe
27f5df1d35744cf283702fce384ce8cfb2f240bae5d725335ca1b90d6128bd40SHA256删除的文件-rescure64.dat
13e761f459c87c921dfb985cbc6489060eb86b4200c4dd99692d6936de8df5baSHA256删除的文件-rescure86.dat
2481fd08abac0bfefe8d8b1fa3beb70f8f9424a1601aa08e195c0c14e1547c27SHA256删除的文件-hha.dll
188.131.233 [。] 27知识产权C&C IP
118.25.97 [。] 43知识产权发件人IP
34.80.27 [。] 200知识产权发件人IP
134.209.99 [。] 169知识产权暂存IP
101.99.74 [。] 234知识产权暂存IP
Asce [。]电子邮件网络钓鱼域
powersafetrainings [。] org网络钓鱼域
mails.daveengineer [。] com网络钓鱼域
powersafetraining [。] net相关基础设施
mails.energysemi [。] com相关基础设施
www.mails.energysemi [。] com相关基础设施
www.powersafetraining [。] net相关基础设施
www.powersafetrainings [。] org相关基础设施
ffca.caibi379 [。] com宏域
http://ffca.caibi379 [。] com / rwjh / qtinfo.txt网址FlowCloud宏传递URL无效
https://www.dropbox [。] com:443 / s / ddgifm4ityqwx60 / Cert.pem?dl = 1网址FlowCloud宏交付URL
HKEY_LOCAL_MACHINE \ SYSTEM \ Setup \ PrintResponsor \ 2注册表项FlowCloud注册表项
HKEY_LOCAL_MACHINE \ SYSTEM \ Setup \ PrintResponsor \ 3注册表项FlowCloud注册表项
HKEY_LOCAL_MACHINE \ SYSTEM \ Setup \ PrintResponsor \ 4注册表项FlowCloud注册表项
HKEY_LOCAL_MACHINE \ HARDWARE \ {2DB80286-1784-48b5-A751-B6ED1F490303}注册表项FlowCloud注册表项
HKEY_LOCAL_MACHINE \ HARDWARE \ {804423C2-F490-4ac3-BFA5-13DEDE63A71A}注册表项FlowCloud注册表项
HKEY_LOCAL_MACHINE \硬件\ {A5124AF5-DF23-49bf-B0ED-A18ED3DEA027}注册表项FlowCloud注册表项
G:\ FlowCloud \ trunk \ Dev \ src \ fcClient \ Release \ QQSetupEx_func.pdb文件路径FlowCloud PDB路径
g:\ FlowCloud \ trunk \ Dev \ src \ fcClient \ Release \ fcClientDll.pdb文件路径FlowCloud PDB路径
F:\ FlowCloud \ trunk \ Dev \ src \ fcClient \ kmspy \ Driver \ Release \ Driver.pdb文件路径FlowCloud PDB路径
F:\ FlowCloud \ trunk \ Dev \ src \ fcClient \ kmspy \ Driver \ x64 \ Release \ Driver.pdb文件路径FlowCloud PDB路径

ET和ETPRO Suricata / SNORT签名

2837783 ETPRO TROJAN Win32 / LookBack CnC活动

关键字:

描述:

来源网站名:

来源地址:

在2019年8月,Proofpoint研究人员报告说,LookBack恶意软件在2019年7月至2019年8月之间针对美国(美国)公用事业部门。然后,我们继续分析了在2019年8月21日至29日之间展开的其他LookBack活动。这些活动利用了恶意宏。载有大量文件的文件,以便将模块化恶意软件传递给美国各地的目标公用事业提供商。与此同时,Proofpoint研究人员发现了一个名为FlowCloud的新的,附加的恶意软件家族,该家族也正在交付给美国公用事业提供商。

像LookBack这样的FlowCloud恶意软件使攻击者可以完全控制受感染的系统。它的远程访问木马(RAT)功能包括访问已安装的应用程序,键盘,鼠标,屏幕,文件,服务和进程的能力,并可以通过命令和控制来泄露信息。

我们分析了2019年7月至11月之间的网络钓鱼活动,并确定LookBack和FlowCloud恶意软件都可以归因于我们称为TA410的单个威胁参与者。该结论基于威胁参与者对共享附件宏,恶意软件安装技术和重叠交付基础结构的使用。

此外,我们的分析发现TA410和TA429(APT10)交付策略之间存在相似之处。具体来说,我们已经看到了两个参与者共同的附件宏。2019年11月检测到的TA410活动包括网络钓鱼附件传递宏中使用的与TA429(APT10)相关的基础结构。但是,Proofpoint分析师认为,威胁行为者可能故意重用广为宣传的TA429(APT10)技术和基础架构,以制造虚假标记。因此,在进行研究时,我们不会将LookBack和FlowCloud活动归因于TA429(APT10)。Proofpoint当前独立于TA410活动跟踪TA429(APT10)。

下面的图1显示了所标识的LookBack和FlowCloud活动的时间表。

FlowCloud_1_1

图1回溯和FlowCloud Campaign时间线

交货

Proofpoint的研究人员观察到了从2019年7月10日开始的网络钓鱼活动,该网络针对的美国公用事业提供商具有便携式可执行(PE)附件,并使用了诸如PowerSafe能源教育课程(30天试用期)之类的主题行。这些活动一直持续到2019年9月。

我们对这些网络钓鱼活动的分析确定,PE附件传递了一种模块化的恶意软件,开发人员在程序数据库(“ PDB”)路径中将其称为“ FlowCloud”。因此,基于这些活动所传递的恶意软件系列,我们将其称为“ FlowCloud”。值得注意的是,这些FlowCloud广告活动与Proofpoint先前记录的LookBack广告活动同时发生。FlowCloud和LookBack广告系列均针对美国的公用事业提供商。两者都使用了培训和以认证为主题的诱饵。两者都使用了威胁参与者控制的域进行交付。在某些情况下,FlowCloud和LookBack广告系列不仅针对相同的公司,而且针对相同的收件人。

传递FlowCloud恶意软件的电子邮件的发件人利用了威胁者控制的域来进行传递,以模仿能源行业的培训服务,并利用了包含“工程师”一词的子域。

从2019年11月进行攻击开始,我们观察到FlowCloud交付策略的显着变化。美国公用事业公司的目标保持不变,但威胁参与者从PE附件转移到了恶意的,载有大量宏的Microsoft Word文档,这些文档与相同的交付和安装非常相似LookBack恶意软件活动中使用的宏。

此外,威胁参与者在11月开始使用发件人域asce [.email]来传递这些附件。该域于2019年6月首次注册到IP 103.253.41 [。] 75,在先前的LookBack活动中用作登台和侦察IP。在2019年10月29日,该域名解析为IP 134.209.99 [。] 169,该域名还托管了多个能源认证和教育主题域名。这些域中的许多域还与2019年7月和8月FlowCloud网络钓鱼活动中先前观察到的传递域共享SSL证书。该SSL证书中的数据已显示在图2中。该图演示了参与者将单个SSL证书用于多个能量和训练主题领域。参与者在“备用名称”字段中列出了由证书签名的域,从而可以标识其他相关基础结构。FlowCloud活动中使用了许多此类域。

FlowCloud_2_2

图2用于powersafetraining [。] org和相关能源主题域的被动SSL证书总数。

下表显示了TA410分段IP,它们在首次被观察时,与它们关联的注册域以及源自这些域的电子邮件所传递的恶意软件。

知识产权首次观察注册域名恶意软件已交付
103.253.41 [。] 752019/06/23交付域:Nceess [。] com全球能源认证[。] com 注册域名:Nerc [。]电子邮件Asce [。]电子邮件回望
134.209.99 [。] 16910/29/2019交付域:Asce [。]电子邮件 注册域名:Powersafetraining [。] net 与SSL证书相关的域:mails.energysemi [。] compowersafetrainings [。] orgwww.mails.energysemi [。] comwww.powersafetraining [。] net www.powersafetrainings [。] org流云
101.99.74 [。] 2342019/07/02交付域www.powersafetrainings [。] org流云

2019年11月活动中的电子邮件内容冒充了美国土木工程师学会,并被伪装成合法的域asce [.org]。该电子邮件的结构与为在2019年7月模拟NCEES和全球能源认证而构造的LookBack传递电子邮件非常相似。图3和图4包含了这些电子邮件的示例。

FlowCloud_3_3

图3以ASCE为主题的网络钓鱼电子邮件传递FlowCloud恶意软件2019年11月

FlowCloud_4_4

图4以NCEES为主题的网络钓鱼电子邮件传递LookBack恶意软件2019年7月

开发-安装宏

如上所述,经过长时间使用PE附件在活动中交付FlowCloud之后,FlowCloud背后的威胁参与者在2019年11月开始转向使用带有恶意宏的Microsoft Word文档.Word文档附件和交付FlowCloud的宏具有关键的相似之处通过Word文档附件和宏,我们确定在2019年7月和8月交付了LookBack。

与LookBack所使用的方法相同,FlowCloud宏使用了增强隐私的邮件(“ .pem”)文件,这些文件随后被重命名为文本文件“ pense1.txt”。接下来,将此文件另存为名为“ gup.exe”的可移植可执行文件,并使用名为“ Temptcm.tmp”的certutil.exe工具版本执行。

为了进行比较,用于安装FlowCloud恶意软件的2019年11月5日宏显示了用于安装FlowCloud的宏,而用于安装LookBack恶意软件的2019年8月6日宏显示了用于安装LookBack的宏。

FlowCloud_5_5

图2019年11月5日用于安装FlowCloud恶意软件的宏

FlowCloud_6_6

图2019年8月6日用于安装LookBack恶意软件的宏

我们的博客 LookBack恶意软件中的“利用”部分针对具有网络钓鱼攻击的美国公用事业部门,模拟工程许可委员会对LookBack使用的这种方法进行了更深入的说明。FlowCloud使用完全相同的宏连接代码的相同方法。

尽管我们发现两个宏版本的LookBack Gup代理工具和FlowCloud恶意软件的最终执行方法相同,但我们发现FlowCloud宏引入了一种新的恶意软件传递方法。

宏的早期LookBack版本将有效负载包含在许多隐私增强的电子邮件(“ .pem”)文件中,这些文件在用户执行附件文件时被删除。宏的FlowCloud版本利用以前未观察到的宏部分从DropBox URL下载有效负载。下载有效负载后,以.pem文件形式的FlowCloud恶意软件PE保存为变量“ Pense1.txt”。图7 FlowCloud恶意软件宏传递代码显示了FlowCloud宏,其中的传递部分已被调出。

FlowCloud_7_7

图7 FlowCloud恶意软件宏传递代码

FlowCloud宏还包含一个奇怪的try…catch语句,该语句最初尝试从DropBox URL下载FlowCloud负载,作为try语句的一部分。但是,如果无法从该资源中检索有效负载,则一条与try语句几乎相同的catch语句试图从URL http://ffca.caibi379 [。] com / rwjh / qtinfo检索恶意软件资源。文本文件”。”。图8 FlowCloud Malware Catch语句宏代码显示了有问题的catch语句。

FlowCloud_8_8

图8 FlowCloud Malware Catch语句宏代码

try…catch序列很重要,因为catch语句和恶意软件资源中的URL之前在enSilo于2019年5月的博客中提到过,标题为“ APT10 揭示新活动 ””。该博客声称该URL提供了修改后的Quasar RAT有效载荷,其中包括添加了SharpSploit(一种开源的后利用工具)。在FlowCloud广告系列投放的同一天进行分析时,此URL和资源不可用,而DropBox URL成功交付了FlowCloud .pem文件。尽管Proofpoint尚未独立验证其他研究人员针对参考的Quasar RAT样本所作的这些归因声明,但使用此URL表示与公开报告的归因于TA429(APT10)的折衷指标之前未公开。虽然从表面上看,该域可能暗示链接到TA429(APT10),但我们已经发现了与域注册信息和URL的非活动性质有关的若干异常,并将在本博客的稍后部分详细讨论它们。

FlowCloud恶意软件

我们对FlowCloud恶意软件的分析确定,它是一个多阶段有效负载,由使用C ++编写的大型代码库组成。该代码展示了一定程度的复杂性,其中包括许多组件,大量的面向对象的编程以及使用合法的和模仿的QQ文件进行初始和后期执行。我们在整个FlowCloud执行过程中使用的几个模块中发现了QQ组件的进一步模仿。恶意软件名称“ FlowCloud”取自在许多恶意软件组件中观察到的独特的PDB路径。这些值已包含在此博客末尾的“ IOC”部分中。

FlowCloud恶意软件能够根据其可用命令(包括访问剪贴板,已安装的应用程序,键盘,鼠标,屏幕,文件,服务和进程)提供可用命令的RAT功能,并能够通过命令和控制来泄露信息。此外,所分析的恶意软件变体具有几个独特的特征,这些特征表明,至少自2016年7月以来,恶意软件可能一直在威胁环境中处于活动状态。

除了针对更新的Windows版本构建的组件之外,FlowCloud示例还删除了仅与Windows版本6(Windows Vista)及更低版本兼容的32位模块。该二进制文件的过时性质以及恶意软件代码的可扩展性质表明,FlowCloud代码库已经开发了很多年。公开报告有关FlowCloud恶意软件组件和相关安装目录路径的信息表明,最早可能于2016年7月在野外观察到该恶意软件的版本。此外,围绕合法QQ文件开发了该恶意软件,并确定了日本从日本上传到VirusTotal的恶意软件样本。来自台湾的2018年12月和今年年初表明,该恶意软件在针对美国公用事业部门出现之前可能已经在亚洲活跃了一段时间。

图9下面的FlowCloud Loader功能流程图概述了FlowCloud的加载程序功能。

FlowCloud_9

图9 FlowCloud Loader功能流程图

  • 恶意软件首先由恶意宏执行Gup.exe,然后由宏执行文件EhStorAuthn.exe。
  • EhStorAuthn.exe提取后续的有效负载文件组件,并将它们安装到目录C:\ Windows \ Media \ SystemPCAXD \ ado \ fc。该文件还将设置存储注册表记录器驱动程序和恶意软件配置的注册表项值作为“ KEY_LOCAL_MACHINE \ SYSTEM \ Setup \ PrintResponsor \ <2-4>”值。
  • EhStorAuthn.exe是QQ使用的合法可移植可执行文件,其初始名称为QQSetupEx.exe。此文件用于加载文件dlcore.dll,这是其自然下载程序的一部分。
  • Dlcore.dll是由威胁参与者精心制作的DLL,其充当shellcode注入程序,从名为rebare.dat的文件中提取shellcode。该文件模仿了合法的QQ组件。
     当执行rebare.dat中的shellcode时,它将依次执行一个名为rescure.dat的RAT安装程序文件。
  •  Rescure.dat是XOR加密的DLL文件,它安装了基于RAT的应用程序responsor.dat,该应用程序安装了键盘记录程序驱动程序并管理RAT功能。
  • Responsor.dat将几个模块(rescure86.dat或rescure64.dat)解压缩到注册表%TEMP%\ {0d47c9bc-7b04-4d81-9ad8-b2e00681de8e}”,并将解压缩后的文件作为名为“ FSFilter Activity Monitor”或“ FltMgr”。
  • 最后,当调用rescure.dat函数“ startModule”时,Responsor.dat启动RAT。
  • 该恶意软件还使用了几个合法的Microsoft Windows文件进行线程注入。
  • EhStorAuthn_shadow.exe(hhw.exe)使用Microsoft HTML帮助研讨会文件作为线程注入的占位符。
  • Hha.dll是Microsoft HTML帮助研讨会的组件,并且是运行EhStorAuthn_shadow.exe所必需的。

恶意软件将其配置与恶意软件的按键记录程序组件所利用的驱动程序一起存储在注册表中。生成了几个其他不同的注册表项,这些注册表项指示恶意软件在主机上的当前执行阶段。下表中包含其中一些键。

注册表项原始组件描述
HKEY_LOCAL_MACHINE \ SYSTEM \ Setup \ PrintResponsor \ 2Gup.exe32位驱动程序,键盘记录器
HKEY_LOCAL_MACHINE \ SYSTEM \ Setup \ PrintResponsor \ 3Gup.exe64位驱动程序,键盘记录器
HKEY_LOCAL_MACHINE \ SYSTEM \ Setup \ PrintResponsor \ 4Gup.exeRAT配置
HKEY_LOCAL_MACHINE \ HARDWARE \ {2DB80286-1784-48b5-A751-B6ED1F490303}Dlcore.dll执行阶段执行dlcore.dll
HKEY_LOCAL_MACHINE \ HARDWARE \ {804423C2-F490-4ac3-BFA5-13DEDE63A71A}修复日期执行阶段安装键盘记录程序驱动程序
HKEY_LOCAL_MACHINE \硬件\ {A5124AF5-DF23-49bf-B0ED-A18ED3DEA027}修复日期执行阶段 RAT已完全安装。

FlowCloud配置

FlowCloud加载程序组件EhStorAuthn.exe在安装链的早期将恶意软件配置存储在注册表中,并在上表中进行了表示。注册表数据由多个加密的标头(使用XOR和ROR)组成,并且使用修改(或损坏)的AES算法对数据进行加密。纯文本数据使用ZLIB压缩,并使用Google的协议缓冲区进行序列化。10图10显示了FlowCloud调试日志显示的配置示例:

FlowCloud_10

图10调试日志显示的配置示例

命令与控制

FlowCloud恶意软件利用自定义二进制C2协议将配置更新,文件扩散和命令作为独立线程处理。我们将这些独立线程识别为广泛的命令处理功能的一部分,并且每个命令都具有不同的命令管理器。我们分析的样本使用端口55555进行文件渗透,使用端口55556进行所有其他数据。我们确定了IP 188.131.233 [。] 27的FlowCloud通信。请求和响应由多个加密头(使用XOR和ROR)和TEA加密数据组成,其中TEA加密数据使用包含随机编码的硬编码字符串和MD5哈希的密钥生成方案。纯文本数据使用ZLIB压缩,并使用Google的协议缓冲区序列化。

FlowCloud_11

图11 FlowCloud解析初始C2信标的示例

比较公共TA429(APT10)指标和TA410活动

FireEye和EnSilo关于TA429(APT10)运动的出版物包含后来出现在TA410运动中的指示器。在我们对该研究的回顾性分析中,我们确定TA429(APT10)使用了网络钓鱼宏,后来又被LookBack和FlowCloud恶意软件所使用。此外,我们确定了11月份FlowCloud宏使用的Quasar RAT传递URL hxxp://ffca.caibi379 [。] com / rwjh / qtinfo.txt,该URL已发布在enSilo报告中,可用于TA410活动的可观察的武器化之前。

有趣的是,2019年7月使用的多个LookBack恶意软件模块的编译日期为2018年9月14日。其中包括以前关于LookBack恶意软件的Proofpoint博客中介绍的SodomMain和SodomNormal模块。该日期仅在FireEye于2018年9月13日发布对日本使用的类似TA429(APT10)宏的初步分析之后的一天。

尽管直到2019年6月才在野外观察到LookBack恶意软件样本,但2018年9月的编译日期表明编译和交付之间存在很大的滞后时间。这可能表明威胁者操纵了编译时间,但尚未最终确定。

TA410在参与者控制的基础结构上首次确定的服务器安装是在2018年12月进行的。LookBack和FlowCloud活动的大多数域注册(武器化)分别于2019年5月和2019年6月开始。这些事件是在FireEye于2018年9月首次发布之后。

此外,enSilo于2019年5月24日发布了有关可能与TA429(APT10)相关的Quasar RAT样本的出版物。直到2019年11月第二周,非活动URL才被纳入网络钓鱼宏中,作为针对美国的FlowCloud活动的一部分实用程序。WHOIS记录和ffca.caibi379 [。] com的被动DNS信息表明,该域的注册人电子邮件和地址字段已于2019年6月7日更新。该域的A记录已于2019年9月9日更新。解析为Google拥有的ASN中包含的IP 34.80.27 [。] 200。从2019年1月2日开始的前八个月,包括enSilo讨论的活动期间,该域托管在APNIC Hostmaster拥有的ASN中的几个IP上。放弃由APNIC拥有的IP基础设施意味着在enSilo发布之后以及在TA410针对美国公用事业的战役的武器化时期之内,威胁参与者基础设施托管策略的出现已大为改变。尽管这项研究不是结论性的,但它表明,在TA410战役开始之前,公开观察到的所有TA429(APT10)相似性和折衷指标都可以公开获得。因此,尽管从当前分析中不能得出结论,但仍有可能这些重叠表示TA410威胁行为者的虚假标志活动。基于此分析,Proofpoint分析师目前将TA410视为与TA429(APT10)不同的威胁参与者。

结论

LookBack和FlowCloud恶意软件活动在2019年11月的融合展示了TA410参与者在针对美国公用事业提供商的单个持续活动中明显利用多种工具的能力。这两个恶意软件家族在概念和开发上都表现出一定的成熟水平,而FlowCloud恶意软件的可扩展代码库表明,该组可能早在2016年就已开始运作。广告系列,并热衷于在非常有针对性的目标领域内进行合理的社会工程。目前尚不清楚该小组是否制定了与TA429(APT10)共享的战术和指标的性质,或者是从这些活动之前的现有技术报告中剔除出来的。这些重叠可能仍然是故意的虚假标志,以掩盖这些犯罪者的身份,同时他们针对美国能源供应商的关键和地缘政治敏感部门。无论演员的意图是什么,TA410都已将自己定位为积极的演员,并拥有成熟的工具集,可针对高度重要且地理位置集中的目标集开展长期运动。这些重叠可能仍然是故意的虚假标志,以掩盖这些犯罪者的身份,同时他们针对美国能源供应商的关键和地缘政治敏感部门。无论演员的意图是什么,TA410都已将自己定位为积极的演员,并拥有成熟的工具集,可针对高度重要且地理位置集中的目标集开展长期运动。这些重叠可能仍然是故意的虚假标志,以掩盖这些犯罪者的身份,同时他们针对美国能源供应商的关键和地缘政治敏感部门。无论演员的意图是什么,TA410都已将自己定位为积极的演员,并拥有成熟的工具集,可针对高度重要且地理位置集中的目标集开展长期运动。

IOCS:

国际奥委会国际奥委会类型描述
faa80e0692ba120e38924ccd46f6be3c25b8edf7cddaa8960fe9ea632dc4a045SHA256PE附件-我们的基础架构提供ann‮cod.exe
b7960d1f40b727bbea18a0e5c62bafcb54c9ec73be3e69e787b7ddafd2aae364SHA256PE附件-Powersafe课程ann‮cod.exe
26eb8a1f0bdde626601d039ea0f2c92a7921152371bafe5e811c6a1831f071ceSHA256FlowCloud MS Word宏附件-个人Invitation.doc
cd8f877c9a1c31179b633fd74bd5050e4d48eda29244230348c6f84878d0c33cSHA256删除的文件-Cert.pem
e4ad5d3213425c58778d8a0244df4cd99c748f58852d8ac71b46326efd5b3220SHA256删除的文件-pense1.txt
589229e2bd93100049909edf9825dce24ff963a0c465d969027db34e2eb878b4SHA256删除的文件-Temptcm.tmp
1334c742f2aec7e8412d76ba228b99935a49dc96a1e8e1f3446d9f61247ae47eSHA256删除的文件-EhStorAuthn.exe
de30929ef958211f9315e27a7aa45ef061726a76990ddc6b9d9f189b9fbdd45aSHA256删除的文件-dlcore.dll
0b013ccd9e10d7589994629aed18ffe2388cbd745b5b28ab39c07835295a1ca9SHA256删除的文件-rebare.dat
479954b9e7d5c5f7086a2a1ff1dba99de2eab2e1b1bc75ad8f3b211088eb4ee9SHA256删除的文件-rescure.dat
d5191327a984fab990bfb0e811688e65e9aaa751c3d93fa92487e8a95cb2eea8SHA256删除的文件-responsor.dat
0701cc7eb1af616294e90cbb35c99fa2b29d2aada9fcbdcdaf578b3fcf9b56c7SHA256删除的文件-EhStorAuthn_shadow.exe
27f5df1d35744cf283702fce384ce8cfb2f240bae5d725335ca1b90d6128bd40SHA256删除的文件-rescure64.dat
13e761f459c87c921dfb985cbc6489060eb86b4200c4dd99692d6936de8df5baSHA256删除的文件-rescure86.dat
2481fd08abac0bfefe8d8b1fa3beb70f8f9424a1601aa08e195c0c14e1547c27SHA256删除的文件-hha.dll
188.131.233 [。] 27知识产权C&C IP
118.25.97 [。] 43知识产权发件人IP
34.80.27 [。] 200知识产权发件人IP
134.209.99 [。] 169知识产权暂存IP
101.99.74 [。] 234知识产权暂存IP
Asce [。]电子邮件网络钓鱼域
powersafetrainings [。] org网络钓鱼域
mails.daveengineer [。] com网络钓鱼域
powersafetraining [。] net相关基础设施
mails.energysemi [。] com相关基础设施
www.mails.energysemi [。] com相关基础设施
www.powersafetraining [。] net相关基础设施
www.powersafetrainings [。] org相关基础设施
ffca.caibi379 [。] com宏域
http://ffca.caibi379 [。] com / rwjh / qtinfo.txt网址FlowCloud宏传递URL无效
https://www.dropbox [。] com:443 / s / ddgifm4ityqwx60 / Cert.pem?dl = 1网址FlowCloud宏交付URL
HKEY_LOCAL_MACHINE \ SYSTEM \ Setup \ PrintResponsor \ 2注册表项FlowCloud注册表项
HKEY_LOCAL_MACHINE \ SYSTEM \ Setup \ PrintResponsor \ 3注册表项FlowCloud注册表项
HKEY_LOCAL_MACHINE \ SYSTEM \ Setup \ PrintResponsor \ 4注册表项FlowCloud注册表项
HKEY_LOCAL_MACHINE \ HARDWARE \ {2DB80286-1784-48b5-A751-B6ED1F490303}注册表项FlowCloud注册表项
HKEY_LOCAL_MACHINE \ HARDWARE \ {804423C2-F490-4ac3-BFA5-13DEDE63A71A}注册表项FlowCloud注册表项
HKEY_LOCAL_MACHINE \硬件\ {A5124AF5-DF23-49bf-B0ED-A18ED3DEA027}注册表项FlowCloud注册表项
G:\ FlowCloud \ trunk \ Dev \ src \ fcClient \ Release \ QQSetupEx_func.pdb文件路径FlowCloud PDB路径
g:\ FlowCloud \ trunk \ Dev \ src \ fcClient \ Release \ fcClientDll.pdb文件路径FlowCloud PDB路径
F:\ FlowCloud \ trunk \ Dev \ src \ fcClient \ kmspy \ Driver \ Release \ Driver.pdb文件路径FlowCloud PDB路径
F:\ FlowCloud \ trunk \ Dev \ src \ fcClient \ kmspy \ Driver \ x64 \ Release \ Driver.pdb文件路径FlowCloud PDB路径

ET和ETPRO Suricata / SNORT签名

2837783 ETPRO TROJAN Win32 / LookBack CnC活动

0 0 vote
Article Rating

未经允许不得转载:x-sec » TA410:针对美国公用事业部门的“回溯”攻击背后的组织再次出现了新的恶意软件

赞 (7) 打赏

This site uses Akismet to reduce spam. Learn how your comment data is processed.

0 Comments
Inline Feedbacks
View all comments

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

微信扫一扫打赏

0
Would love your thoughts, please comment.x
()
x