趨勢科技隨時都在監控網路資安威脅情勢的發展,透過這樣的過程,我們就能進一步了解歹徒幕後的運作。這次我們深入追查了某個不知名的駭客集團與 Confucius、 Patchwork 及 Bahamut 等集團之間的可能關聯,看看他們之間有何相似之處。我們暫時將這個不知名的集團稱為「Urpage」。
Urpage 之所以引起我們注意,在於它攻擊的目標為一個烏爾都語與阿拉伯語專用的文書處理程式,叫做「InPage」。此外,歹徒也使用了一個 Delphi 後門元件 (這一點和 Confucius 及 Patchwork 相似),並且使用了一個和 Bahamut 類似的惡意程式,正是這樣才會讓人覺得 Urpage 與上述幾個知名駭客團體有所關聯。在我們之前的一篇文章當中,我們已探討過 Confucius 和 Patchwork 之間共通的 Delphi 元件。也稍微提到 Urpage 和兩者之間有所關聯。這一次我們將深入研究 Urpage 與這幾個團體有何共通之處。
與 Bahamut 的關聯性
假冒網站
Bahamut 與 Urpage 之間的關聯,最明顯的就是後者有多個 Android 應用程式樣本的程式碼與 Bahamut 的程式相同,但卻連接至 Urpage 的幕後操縱 (C&C) 網站。而且某些 C&C 網站同時也是網路釣魚網站,專門引誘使用者下載這些應用程式。歹徒建立這些假冒網站來介紹這些應用程式並提供連結讓使用者至 Google Play 商店下載,例如「pikrpro.eu」這個惡意網站就是一例,見下圖:
還有另一個網站也是模仿得跟原本的網站很像,只有在標誌和頁面上方的選項稍有不同。當然,假冒網站當中的連結都已經換成指向惡意 Android 應用程式的網址。
圖 1:原始網站 (上) 與假冒網站 (下)。
在撰寫了這篇文章之後,我們已和 Google 聯繫,確定這些 C&C 網站上所介紹的惡意應用程式都已經從 Google Play 商店下架。不過值得注意的是,並非所有 Urpage 的 C&C 網站都會廣告一些惡意應用程式。有些只是一些隨機的範本網頁,包含一些空的類別,似乎只是用來掩護其惡意行為而已。
針對 Android 平台
如同 Bahamut 應用程式一樣,其惡意程式一旦下載並執行,就會出現一些竊取資訊的行為。以下是其中一些可能出現的惡意行為:
- 從被感染的手機上蒐集一些基本資訊,例如網路資訊和 MAC 位址。
- 竊取簡訊內容。
- 竊取聯絡人。
- 錄音。
- 讀取 GPS 定位。
- 竊取某些副檔名的檔案,不過並非所有樣本都會竊取這些檔案。
| 檔案類型 | 副檔名 |
| 文件檔 | .txt、.csv、.doc、.docx、.xls、.xlsx、.pdf |
| WhatsApp 資料庫 | .db.crypt5 至 .db.crypt12 |
| 地理位置相關檔案 | .kml、.kmz、.gmx、.aqm |
| 音訊檔 | .mp3、.opus |
| 影片 | .mp4、.amr、.wmv、.3gp, |
| 圖片 | .jpeg、.jpg |
請注意,有某個應用程式的用途似乎與其他的不同,但這個應用程式與其他的 Urpage 應用程式有相同的加密程式碼。這程式並非直接竊取文件或圖片,而是利用一個修改過的 Threema 端對端加密即時通訊軟體,直接用抓圖方式來擷取其通訊畫面上的內容。
此應用程式的圖示和標籤都與正牌的 Threema 長得一模一樣。一旦啟動之後,就會在手機上植入一個修改過的 Threema 應用程式 APK 檔然後叫使用者安裝這個程式。接著,惡意程式會隱藏其圖示並在背後繼續執行,而修改過的 Threema 應用程式則運作起來與正常無異。但使用者不曉得的是,修改過的 Threema 應用程式每 10 秒就會擷取一次自己的畫面,並將這些畫面儲存在「location/sdcard/Android/data/ch.threema.app/DataData」目錄當中,好讓背後執行的惡意程式將這些螢幕抓圖上傳至 C&C 網站讓駭客讀取。
圖 2:正常的 Threema 程式碼 (左) 與被修改過的版本 (右)。
其他行為
上述網站有些除了當成 C&C 網站並散布類似 Bahamut 的惡意程式之外,還用來當成其他惡意文件的伺服器。這些其他行為更印證了 Urpage 和 Bahamut 以及其他駭客團體的關聯性。
以前述的「pikrpro.eu」為例,這個 C&C 網站不僅提供惡意的 Android 應用程式,還用來提供以下兩個惡意文件:
- 一個專門攻擊 CVE-2017-8750 漏洞的惡意 RTF 文件,會在系統植入一個 VB 後門程式,其 C&C 位於「appswonder.info」。
- 一個專門攻擊 CVE-2017-12824 漏洞的惡意 InPage 檔案,會在系統植入兩個檔案:一個為良性檔案,另一個則是 VB 後門程式,其 C&C 位於「referfile.com」。
Talos 最近通報了這兩個 C&C 網域,並指出其中一個會攻擊 iOS 平台並與 MDM 有關,另一個則是使用 VB 和 Delphi 後門程式。這讓我們聯想到它可能與 Confucius 及 Patchwork 有所關聯。
與 Confucius 的關聯
在我們先前的文章中已經指出 Confucius 使用了與 Urpage 相同的 Delphi 檔案竊取程式。在深入研究 Urpage 之後我們又發現了另一項關聯:有兩個攻擊不同漏洞的惡意 RTF 檔案,但其下載的卻是一個相似的腳本 (趨勢科技命名為「TROJ_POWLOAD.GAA」),內含兩個經過 base64 編碼的網址。其中一個網址指向誘餌文件,另一個則用來下載惡意檔案。
這兩個 RTF 檔案,其中一個亦曾出現在與 Confucius 相關的伺服器上 (f1a54dca2fdfe59ec3f537148460364fb5d046c9b4e7db5fc819a9732ae0e063,趨勢科技偵命名為「TROJ_CVE201711882.AG」)。另一個 RTF 檔案 (434d34c0502910c562f5c6840694737a2c82a8c44004fa58c7c457b08aac17bd,趨勢科技命名為「Mal_CVE20170199-2」) 則會下載一個 VB 後門程式,跟程式會利用 Ping 與「twitck.com」這個屬於 Confucius 的網域通訊。
與 Patchwork 的關聯
Patchwork 也和 Urpage 一樣會使用 Delphi 檔案竊取程式,意味著這三個團體確實有某種程度的關聯。不過我們還進一步發現一個程式碼與 Bahamut 相當雷同的 Android 應用程式,其 C&C 與 Patchwork 集團慣用的名稱註冊方式相符。此外也發現了一個與舊的 Patchwork 網域類似的 C&C 基礎架構。值得注意的是,其應用程式當中的 C&C 位址並未加密 (儘管該應用程式有著和其他樣本相同的加密程式碼)。Patchwork 最近也在其攻擊當中用到 Android 惡意程式,使用的是其客製化的 AndroRAT 版本。
總結
這麼多的雷同及關聯顯示,歹徒們並非單打獨鬥,而攻擊行動也會有相關淵源。這甚至意味著這些攻擊可能都是由單一開發團隊所執行,也有可能是某個團體專門開發工具和服務來賣給其他團體,而這些團體各有其目的和目標。我們將前述的發現整理成下表。
| Urpage | Bahamut | Confucius | Patchwork | |
| 「BioData」Delphi 後門程式與檔案竊取程式 | X | X | X | |
| VB 後門程式 | X | |||
| 類似 Bahamut 的 Android 惡意程式 | X | X | X | |
| 客製化 Android 惡意程式 | X | |||
| AndroRAT Android 惡意程式 | X | |||
| InPage 惡意文件 | X | X | ||
| 簡易加密編碼的 HTA 下載程式 | X | X | ||
| iOS 惡意程式 | X | |||
| Confucius 惡意程式 | X | |||
| 遠端存取 c3 後門程式 | X | |||
| Sneepy/Byebye 指令列 (Shell) 惡意程式 | X | |||
| Python 雲端檔案竊取程式 | X | |||
| AllaKore RAT | X | |||
| Badnews 惡意程式 | X | |||
| QuasarRAT | X | |||
| NDiskMonitor 惡意程式 | X |
攻擊目標
我們在監控的過程當中並未發現 Urpage 的受害者,這一點或許是因為這類攻擊都有相當的針對性。不過,Urpage 所使用的網域卻大致透漏了它的攻擊目標。
首先是「pikrpro.eu」這個網域和底下的子網域 「islamicfinderfeedback.pikrpro.eu」與「memrifilesforinfo.pikpro.eu」。後兩者假冒成兩個正派團體的網站,專門服務中東伊斯蘭教的信徒和使用者。
其次,Urpage 網域的許多檔案都是自動執行檔案,並且會在系統上植入 Delphi 或 VB 後門程式並開啟一個誘餌文件。這個誘餌文件可透露出不少關於 Urpage 可能攻擊對象的資訊,文件含取自喀什米爾地區相關文章的內容。下圖顯示某樣本文件的標頭。
這類文件有時是類似相關主題的圖片,如下圖所示:
有好幾個 Android 應用程式都進一步證實這樣的看法,因為這些應用程式很符合該區使用者的興趣。有的惡意應用程式跟宗教有關,有的則與該區的熱門運動項目有關。
圖 3:與齋戒月 (Ramadan) 相關的惡意應用程式。
圖 4:與板球相關的惡意應用程式。
解決與防範之道
了解了這些相似之處與關連之後,企業和一般使用者就更能有效防範 Urpage、Bahamut、Confucius 和 Patchwork 等團體的持續攻擊。從 Urpage 和其他三個駭客團體的關聯我們了解到,網路犯罪集團並非單打獨鬥,他們會彼此交流知識和技術並且互相幫忙,以便發展出各種不同的攻擊手法。在這樣的認知之下,企業必須更小心監控威脅,因為,一旦某個駭客團體有任何新的發展,其他團體也會隨後跟進。
企業可針對上述四個團體所使用的類似社交工程技巧來防範其攻擊。使用者必須對其社交工程技巧的特徵有所警覺。此外,在執行任何動作之前,仔細留意一下自己所在的網域名稱,也有助於防範威脅,包括專門針對特定受害者的 Urpage 威脅。
為了進一步防範日益普遍的行動惡意程式,企業和一般使用者皆可採用一套具備多層防護的行動資安軟體,例如趨勢科技行動安全防護 (請至 Google Play 商店下載)。針對企業機構,趨勢科技企業版行動安全防護可提供裝置、法規遵循與應用程式的管理,以及資料防護和組態配置,並可防止裝置遭到漏洞攻擊,避免存取未經授權的應用程式,同時還可偵測並攔截惡意程式和詐騙網站。
趨勢科技HYPERLINK “https://t.rend.tw/?i=NDIwMw==”Deep DiscoveryHYPERLINK “https://t.rend.tw/?i=NDIwMw==”進階網路安全防護 威脅防護平台可讓企業偵測、分析、回應今日的現代化威脅,例如:精密的惡意程式、針對性攻擊以及持續性滲透攻擊 (APT)。
HYPERLINK “https://www.trendmicro.tw/tw/business/complete-software-protection/index.html”趨勢科技 Smart Protection for Endpoints 採用了最強的 XGen™ 防護,在威脅防護技巧當中融入了高準度機器學習能力,能防止任何使用者活動與任何端點裝置所帶來的資安漏洞,提供最廣泛的進階攻擊防護。
這份附錄當中包含了上述各駭客團體相關的最新入侵指標 (IOC)。
原文出處:The Urpage Connection to Bahamut, Confucius and Patchwork 作者:Daniel Lunghi 和 Ecular Xu