正如我们在之前分析Cannon木马的文章中所提到的那样,Sofacy组织(又名Fancy Bear、APT28、STRONTIUM、Pawn Storm、Sednit)在今年10月中旬到11月中旬期间一直在忙于攻击世界各地的各种政府和私人组织。虽然其大部分攻击目标都位于北约盟国,但也有少部分位于前苏联国家。所有这些攻击大都旨在传播我们在之前已经分析过的Zebrocy木马变种,但ESET的报告显示,其中一些恶意文档也传播了Cannon或Zebrocy Delphi变种。自2015年年中开始追踪Zebrocy的使用情况以来,我们发现该木马的使用率一直呈上升趋势。相比其他与Sofacy组织相关的后门工具,Zebrocy在攻击行动中的使用率明显要高得多。
我们将在本文中详细介绍的所有攻击都有一个共同点——恶意文档使用的都是同一个作者名称:Joohn。最初引起我们注意的恶意文档样本被命名为“crash list(Lion Air Boeing 737).docx”,旨在传播Zebrocy木马。通过利用我们的AutoFocus威胁情报平台,以及从VirusTotal收集到的数据,我们基于这份文档的元数据和行为发现了Cannon木马,以及其他更多的恶意文档、payload和攻击目标。
需要说明的是,所有这些攻击的初始攻击媒介几乎全都是鱼叉式网络钓鱼电子邮件。另外,攻击使用的都是注册到合法电子邮件服务提供商的电子邮件帐户,而不是被黑的账户。这些帐户的名称看上去与合法政府组织的名称或其他受信任的第三方实体的名称十分相似。
此外,所有这些恶意文档在功能上几乎完全相同——利用Microsoft Word的远程模板下载功能从第一阶段C2检索恶意宏,加载并执行初始payload。大多数恶意文档都不包含任何文字内容,仅包含一张通用的诱饵图片,以诱使收件人启用宏。从这一点来看,攻击者似乎主要是想通过文件名来吸引受害者,而不是文档的内容。
总的来说,我们在2018年10月17日到2018年11月15日期间共捕获了9份不同的恶意文档,它们都使用了相同作者名(即Joohn),旨在传播Zebrocy或Cannon变种。我们收集到的数据显示,Dear Joohn行动的攻击目标横跨四大洲,从联邦层面的政府机构到地方政府机构。
此外,我们还利用收集到的数据创建了Dear Joohn行动的时间表,从而能够更加清晰地展示Sofacy组织是在何时向他们的目标发起了攻击,以及他们是如何利用自动化工具来实施攻击的。
攻击活动分析
从10月17日开始,我们一共捕获到了9份不同的恶意文档,它们被发送给了位于世界各地的多个组织。具体来说,攻击目标包括一个北美外交事务组织、几个欧洲外交事务组织以及几个前苏联国家政府实体。更多的证据表明,此次行动可能还针对了世界各地的执法机构,包括北美、澳大利亚和欧洲。另外,我们的遥测数据还显示,此次行动有可能也针对了一些非政府组织、营销公司以及医疗行业的组织。所有这些攻击的攻击媒介都是鱼叉式网络钓鱼电子邮件,且使用的都是注册到免费电子邮件服务提供商Seznam的电子邮件帐户。这里需要说明一下的是,Seznam是一家位于捷克的合法电子邮件服务提供商。图1展示的是一封钓鱼电子邮件示例。
图1.在Dear Joohn行动中发送的鱼叉式网络钓鱼电子邮件示例
在此次行动中,Sofacy组织似乎主要是想通过文件名来吸引受害者。文档的名称包括英国脱欧(Brexit)、狮航客机坠毁,以及最近在以色列发生的火箭袭击(完整的恶意文档列表见表1)。虽然文档名称似乎透露出攻击具有高度针对性,但文档的实际内容却大体一致,都仅包含一张通用的诱饵图片,如图2所示。
图2.通用的诱饵图片
到了11月份,Sofacy组织改变了其战术,开始为他们的恶意文档使用不同的诱饵内容。在这个月,我们一共捕获到了三份针对北约盟国的恶意文档样本,它们的内容均不相同,如图3所示。
图3.有针对性的诱饵内容
其中一份文档向收件人展示的内容是模糊不清的,但可以很明显地看到北约爆炸军械处理小组(EOD)的印章。实际上,恶意文档所包含的内容仍然仅是一张图片,只是经过了模糊处理,上面的内容与一个北约研讨会议有关。另外两份文档彼此之间非常相似,向收件人展示的内容都是一堆乱码,以及有关如何正确查看文档的说明。有趣的是,其中一份文档中的说明是采用俄文编写的,这可能表明其攻击目标位于一个讲俄语的国家。
无论实际内容如何,所有恶意文档均使用了相同的策略来实施攻击。在被打开之后,恶意文档首先会利用Microsoft Word自带的功能来尝试下载一个远程模板,然后加载恶意宏,如图4所示。
图4.Microsoft Word尝试下载远程模板
如果C2服务器在文档被打开时处于开启状态,那么下载将会成功,而恶意宏将被加载到同一Microsoft Word会话中。然后,收件人将看到一个“Enable Content(启用内容)”提示,如图5所示。但如果C2服务器处于关闭状态,那么下载将会失败,收件人将不会看到“Enable Content(启用内容)”提示,因为没有宏被下载。”
图5.下载的远程模板,提示收件人单击“Enable Content”以运行宏
恶意文档分析
我们在10月和11月期间捕获的所有恶意文档都存在大量相似之处(如表1所示),这使得我们可以将这些攻击联系起来。其中最明显的相似之处就是,文档作者的名字都是Joohn。不过,这种相似性在11月份出现了一个细微的偏差。虽然我们在该月捕获的三个样本仍然使用了Joohn这个名字,但它仅作为“最后一次保存者”出现,而“作者”属性改为了使用默认的“USER/user”。
散列值
文件名
作者
最后一次保存者
远程模版位置
远程模版散列值
c20e5d56b3..
1500029.docx
Joohn
Joohn
185.203.118[.]198
86bb3b00bc..
abfc14f7f7..
Passport.docx
Joohn
Joohn
185.203.118[.]198
86bb3b00bc..
40318f3593..
DN_325_170428_DEA Basic Narcotics Investigation Course invitation.docx
Joohn
Joohn
145.249.105[.]165
2da5a388b8..
5749eb9d7b..
2018_10_13_17_15_21.docx
Joohn
Joohn
145.249.105[.]165
0d7b945b9c..
2cfc4b3686..
crash list(Lion Air Boeing 737).docx
Joohn
Joohn
188.241.58[.]170
f1e2bceae8..
af77e845f1..
Заявление.docx
Joohn
Joohn
188.241.58[.]170
fc69fb278e..
34bdb5b364..
Rocket attacks on Israel.docx
user
Joohn
109.248.148[.]42
ed8f52cdfc..
79bd5f3486..
201811131257.docx
USER
Joohn
109.248.148[.]42
b9f3af84a6..
77ff53211b..
Brexit 15.11.2018.docx
DIP 89 OIC Condemns 14 Nov Attacks.docx
15.11 attacks.docx
USER
Joohn
109.248.148[.]42
<未知>
文章原文链接:https://www.anquanke.com/post/id/168154
