事件背景
近日,安恒威胁情报中心暗影狩猎实验室捕获到一个恶意攻击样本。通过追查样本
样本分析
分析的样本名称是
“2021-2022 . doc”(MD5:900 e 892 c 8151 f 0f 59 a 93 af 1206583 ce 6),使用的语言是格鲁吉亚语,意思是“2021-2022年境内流离失所者战略行动计划”。
打开示例后,内容因编码而出现乱码。但是,从少数没有乱码的部分可以看出,文件的内容是格鲁吉亚文。标题也与示例名称中使用的主题相同。这是2021年至2022年格鲁吉亚针对境内流离失所者的战略行动。
文档的元数据已损坏,无法还原为可读内容。
文档打开后,后续的恶意行为是通过执行宏代码来实现的。批处理文件ballDemocrat.bat将在目录“C:\Users\Public\Documents”中创建,下载后续有效负载的命令将被编写和执行。下载链接为“http://1221 [。] site/15858415841/0407.exe ",下载地址为“C:\ users \ public \ documents \ century article . exe”
获取有效载荷,md5为577df0d1 ebf de0c67cf6489d9a1974。
有效载荷将在运行中释放最终载荷,01033729316 e 2886515 a 15dc 93 ea 85 c 4。有效载荷由autoit脚本编译,反编译后可以看到脚本的内容。
主要行为是遍历并收集用户文件目录中的所有文件。
"*.doc*.pdf*.ppt*.圆点;*.XL;*.csv*.rtf*.圆点;*.mdb*.accdb*.锅;*.pps*.ppa*.rar*.zip*.焦油;* .7z*.txt "后缀文件
并返回45.146.165[。]91:8080.
联想分析
此次攻击中使用的TTP与国外安全厂商forti guard 5月份报告中披露的利用新冠肺炎主题钓鱼邮件攻击乌克兰政府的黑客团伙(https[://]www.fortinet.com/blog/threat-research/spear钓鱼-攻击-使用-covid-21-引诱-目标-乌克兰-政府)相同。
上图是攻击组织5月份攻击乌克兰政府时使用的文件收集脚本,下图是这次使用的脚本。和之前用的脚本相比,这次多了“*”的集合。txt "后缀的文件。
脚本中的一些字符串可能与2021年2月使用新冠肺炎主题攻击格鲁吉亚政府时使用的Saint Bot样本有关。圣Bot是一个小下载器。作为下载器,还不成熟,但是挺新颖的,正在积极开发中。
网络资产的延伸分析也可以和2月份的这次攻击联系起来,同时可以看到与格鲁吉亚其他主题相关的攻击样本,这说明格鲁吉亚是近期攻击者的目标。
除了office文档,攻击团伙还会使用cpl、pdf、lnk等格式的诱饵文件,如Georgia _ private _ sector _ poster _ inputs _ 06 _ 2021.pdf样本文件,诱导点击下载恶意文件Georgia _ private _ sector _ poster _ inputs _ 06 _ 2021 . CPL进行后续恶意操作。
攻击者使用的样本文档的编辑语言和有效载荷中使用的语言都是俄语,
用的很多域名的注册邮箱都是漫步者【的。]ru,俄罗斯最大的门户网站,此次使用的域名注册邮箱为fedyaimakar@rambler[。]ru。
多个链接域名的已解析IP资产的地理位置主要在俄罗斯。该黑客组织可能与一个讲俄语的国家有关。
摘要
从这个攻击样本可以看出,攻击者攻击的主要目的是收集信息,做出来的样本比较马虎,没有使用任何高级技能。然而,对于钓鱼攻击来说,攻击者使用的主题是否具有吸引力是决定钓鱼攻击成功与否的更关键因素。
因为样本的行为只是信息收集,第一次出现的时候查杀率不高。如果所使用的主题足够吸引人,攻击者往往能够成功。但信息收集后,往往随之而来的是更大规模的攻击。在相关性分析中,我们还发现攻击者有能力开发下载器和后续的后门。
预防建议
对于这种钓鱼攻击,企事业单位要注意培养人员的安全意识,不要轻易打开
安恒APT攻击预警平台可以发现已知或未知威胁,实时监控、捕获和分析恶意文件或程序的威胁,监测邮件发送、漏洞利用、安装植入、回调控制等各个阶段关联的木马等恶意样本。
同时,平台根据双向流量分析、智能机器学习、高效沙盒动态分析、丰富的特征库、全面的检测策略、海量威胁情报等对网络流量进行深度分析。检测能力完全覆盖整个APT攻击链,有效发现APT攻击、未知威胁和用户关心的网络安全事件。
PS:每天更新整理国内外威胁情报新闻,帮助威胁研究者及时了解和跟踪相关威胁事件。
关注微信微信官方账号:安恒威胁情报中心
获得第一手原始安全分析报告。
