APT 駭客集團利用 Covid19 新冠肺炎作為誘餌

Gamaredon是從2013年起就一直活躍的APT進階持續攻擊 駭客集團。它最知名的就是會針對烏克蘭的政府機構。研究人員們從2019年下半年到今年2月針對Gamaredon發表了數份報告,追踪此集團的活動。

趨勢科技在3月發現一封電子郵件夾帶了使用Gamaredon駭客集團手法的惡意附件。有些電子郵件用新冠狀病毒(COVID-19,俗稱武漢肺炎)疫情爆發當主旨來誘騙受害者開啟電子郵件和附件檔。

Gamaredon簡史

LookingGlass的研究人員在2015年發表了第一份關於Gamaredon的報告。根據該報告,早期活動使用的是Microsoft Word文件,分析後顯示最後的使用者名稱是Armagedon(拼寫錯誤的”Armageddon(世界末日)”),這名字也成為該集團命名的基礎。

該報告還描述了Gamaredon的政治起源,尤其是它與2014年烏克蘭革命的關聯。在革命之前,他們針對了烏克蘭政府官員、反對黨成員和新聞工作者。在革命之後,他們進一步針對了烏克蘭政府機構。在2018年,CERT-UA發表了針對惡意軟體Pterodo(據稱為該集團所用)的公告。

該集團一直保持活躍,並且在2020年2月有數個Gamaredon相關活動的回報。在3月,它們被確認是利用新冠病毒疫情爆發來誘騙目標的駭客集團之一

Gamaredon和Covid-19相關幌子的電子郵件

A screenshot of a cell phone

Description automatically generated
圖1. Gamaredon惡意活動感染鏈


趨勢科技所發現的案例是使用docx附件檔的針對性電子郵件。開啟文件會利用範本注入技術來從網路載入文件範本。下載的文件範本內包含了惡意巨集來執行VBScript(VBS)程式碼。我們找到了從C&C伺服器解密、執行和下載其他惡意檔案的方法。但在分析期間,C&C伺服器都無法連上,無法取得其他的惡意檔案。


目前所發現的攻擊都是透過針對性電子郵件(MITRE ATT&CK框架ID T1193),其中一個甚至用” 2019-nCoV”作為主旨。攻擊者利用社會議題來讓電子郵件和文件更具誘惑力是種常見的做法。使用新冠病毒相關主旨的郵件帶有附件檔。開啟檔案(MITRE ATT&CK框架ID T1204)會執行範本注入方法(MITRE ATT&CK框架ID T1221)。

A picture containing food

Description automatically generated
圖2. 下載帶有惡意巨集文件範本的程式碼


每次下載的文件範本(使用dot格式)都可能略有不同。但其Exif資訊或後設資料都保持一致,共用下列資訊:

  • 識別:Word 8.0
  • 語言:俄文
  • 系統:Windows
  • 作者:АДМИН(俄語中的”管理員”)
  • 字碼頁:Windows西里爾文
A screenshot of a cell phone

Description automatically generated
圖3. 被下載範本文件內的惡意巨集樣本


如前所述,範本內包含了惡意巨集(MITRE ATT&CK框架ID T1064),它會匯出VBS程式碼(MITRE ATT&CK框架ID T1064)來執行自己。具體地說,它會寫在巨集內部的VBS程式碼植入%USERPROFILE%\Documents\MediaPlayer\PlayList.vbs,然後用”wscript.exe //b %USERPROFILE%\Documents\MediaPlayer\PlayList.vbs”執行。

A screenshot of a cell phone

Description automatically generated
圖4. 惡意巨集所植入VBS的內容樣本

PlayList.vbs包含混淆過的程式碼(MITRE ATT&CK框架ID T1140),會在解混淆後執行。此行為與之前報導過的Gamaredon攻擊略有不同,之前的報告裡沒有使用此技術。

A screenshot of text

Description automatically generated
圖5. 被執行的VBS樣本

圖5顯示用Execute函式執行的VBS程式碼片段。下面列出了它的行為。

  1. 加入下列登錄鍵值好讓每次電腦啟動時都會執行VBS(MITRE ATT&CK框架ID T1060)
    1. 登錄檔:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\MediaPlayer wscript.exe //b %USERPROFILE%\Documents\MediaPlayer\PlayList.vbs
  2. 連到hxxp:// kristom[.]hopto[.]org /{computer name}_{hexadecimal volume serious number}/help_05_03[.]php(MITRE ATT&CK框架ID T1043T1071T1082
  3. 如果第一步裡下載的檔案大小超過10,485位元,該檔案會被存成%APPDATA%\\Microsoft\Windows\Cookies.txt(MITRE ATT&CK框架ID T1105
  4. 對第二步所儲存的檔案使用XOR處理,這裏會用自己十六進位卷序列號轉換的ASCII碼作為金鑰。解密結果會被儲存為%APPDATA%\\Microsoft\Windows\Cookies.exe(T1001
  5. 如果%APPDATA%\\Microsoft\Windows\Cookies.exe的大小超過4,485字元,則會執行該檔案。
  6. 接著“%APPDATA%\\Microsoft\Windows\Cookies.txt”和“%APPDATA%\\Microsoft\Windows\Cookies.exe”都會被刪除(MITRE ATT&CK框架ID T1107


在此VBS觀察到的行為與其他的Gamaredon報告相接近(如這份SentinelOne的報告)。但是此案例裡的巨集所產生VBS會經過混淆處理,這可能是額外的躲避策略。


有意思的是,我們在解碼VBS後發現攻擊者似乎出現程式撰寫上的錯誤。圖5內的第53和54行是用來關閉已下載和解碼的TXT和EXE檔案,這些檔案是在IF陳述之前定義的變量。但如果這些行未經過此IF陳述則會發生錯誤。這顯示出此惡意軟體沒有經過充分測試,可能仍在開發中。


我們的分析發現了數個用於範本注入和VBS的網址。將其解析成IP地址好了解其攻擊來源時,我們發現它們都連結到以下IP地址。

  • 關於範本注入:176[.]119[.]147[.]225
  • 關於VBS:176[.]57[.]215[.]115

這些IP地址來自俄羅斯網路託管公司。攻擊者很可能租用了虛擬專用伺服器(VPS)作為攻擊基地。他們給VBS的網址(如下所示)可能包含了進行攻擊時的資料。

  • hxxp://{FQDN}/{computer name}_{hexadecimal volume serial number}/help_{day}_{month}[.]php

結論

Gameradon並非第一個利用Covid-19作幌子的駭客集團。有些網路犯罪分子開始採取間接的獲利手段,如針對那些在企業轉向在家工作後越來越流行的通訊平台。而在此案例裡,他們利用Covid-19來掩護其較典型的APT行為。我們建議採取下列對策來防範將來可能的APT攻擊:

  • 在下載和開啟電子郵件附件檔前先檢查電子郵件寄件者、主旨和本文是否存在可疑內容。尤其要小心未知發件人不請自來的電子郵件。
  • 檢查附件檔的副檔名,並確認它是預期的檔案格式。
  • 避免為任何附加的Microsoft Office檔案啟用巨集,特別是那些只有圖片或沒有任何內容卻要求啟用巨集的電子郵件。
  • 開啟電子郵件前請注意郵件內可能的偽造網域。對常用網址的細微更動可能是惡意內容的一種指標。

除了這些動作,使用者還可以實施多層次防護並利用底下這些解決方案。

  • Smart Protection Network™Worry-Free Pro可以偵測惡意檔案和垃圾郵件並封鎖所有相關惡意網址來保護使用者和企業抵禦類似威脅。趨勢科技Deep Discovery進階網路安全防護 具備電子郵件檢查層,可以經由偵測惡意附件檔和網址來保護企業。
  • 趨勢科技的Hosted Email Security是一種無需維護的雲端解決方案,可持續地更新防護,在垃圾郵件、惡意軟體、魚叉式釣魚郵件、勒索病毒和進階針對性攻擊進入企業網路前先加以封鎖。它可以保護Microsoft Exchange,Microsoft Office 365,Google Apps和其他雲端或本地端電子郵件解決方案。
  • 具備趨勢科技的XGen安全防護技術端點安全防護技術的趨勢科技OfficeScan融合了高保真機器學習與其他偵測技術和全球威脅情報來做到全面性地防禦進階惡意軟體。
  • 趨勢科技全面偵測及回應(XDR)解決方案能夠有效地保護所連結的電子郵件、端點、伺服器、雲端工作負載和網路。趨勢科技XDR使用功能強大的人工智慧(AI)和專家安全分析來關聯資料,能夠提供數量更少卻有更高保真度的警報來進行早期威脅偵測。透過單一主控台提供對整體企業系統更全面的能見度,同時提供更加專注及最佳化的各種警報。

入侵指標(IoC)

DOCX檔案
SHA256 偵測名稱
0d90fe36866ee30eb5e4fd98583bc2fdb5b7da37e42692f390ac5f807a13f057 W97M_CVE20170199.ZYHC-A
036c2088cb48215f21d4f7d751d750b859d57018c04f6cadd45c0c4fee23a9f8 Trojan.W97M.CVE20170199.PG
19d03a25af5b71e859561ff8ccc0a073acb9c61b987bdb28395339f72baf46b4 Trojan.XML.PHISH.AE
62cf22f840fffd8d8781e52b492b03b4efc835571b48823b07535d52b182e861 W97M_CVE20170199.ZKHC-A
8310d39aa1cdd13ca82c769d61049310f8ddaea7cd2c3b940a8a3c248e5e7b06 Trojan.W97M.CVE20170199.PF
84e0b1d94a43c87de55c000e3acae17f4493a57badda3b27146ad8ed0f90c93e Trojan.W97M.CVE20170199.PG
85267e52016b6124e4e42f8b52e68475174c8a2bdf0bc0b501e058e2d388a819 Trojan.W97M.CVE20170199.PF
b6a94f565d482906be7da4d801153eb4dab46d92f43be3e1d59ddd2c7f328109 Trojan.W97M.CVE20170199.PF
cc775e3cf1a64effa55570715b73413c3ea3a6b47764a998b1272b5be059c25b Trojan.W97M.CVE20170199.PF
DOT檔案
SHA256 偵測名稱 TrendX
00b761bce25594da4c760574d224589daf01086c5637042982767a13a2f61bea Mal_OLEMAL-4 Downloader.VBA.TRX.XXVBAF01FF007
250b09f87fe506fbc6cedf9dbfcb594f7795ed0e02f982b5837334f09e8a184b Mal_OLEMAL-4
4b3ae36b04d6aba70089cb2099e6bc1ba16d16ea24bbf09992f23260151b9faf Mal_OLEMAL-4
946405e2f26e1cc0bd22bc7e12d403da939f02e9c4d8ddd012f049cf4bf1fda9 Mal_OLEMAL-4
9cd5fa89d579a664c28da16064057096a5703773cef0a079f228f21a4b7fd5d2 Mal_OLEMAL-4
c089ccd376c9a4d5e5bdd553181ab4821d2c26fefc299cce7a4f023a660484d5 Mal_OLEMAL-4
e888b5e657b41d45ef0b2ed939e27ff9ea3a11c46946e31372cf26d92361c012 W97M_VBSDOWNLDR.ZKHC-A
f577d2b97963b717981c01b535f257e03688ff4a918aa66352aa9cd31845b67d W97M_VBSDOWNLDR.ZYHC-A
SHA256 偵測名稱 TrendX
17161e0ab3907f637c2202a384de67fca49171c79b1b24db7c78a4680637e3d5 Trojan.X97M.CVE201711882.THCOCBO Downloader.VBA.TRX.XXVBAF01FF006
29367502e16bf1e2b788705014d0142d8bcb7fcc6a47d56fb82d7e333454e923 TrojanSpy.Win32.FAREIT.UHBAZCLIZ N/A
315e297ac510f3f2a60176f9c12fcf92681bbad758135767ba805cdea830b9ee Trojan.X97M.CVE201711882.THCOCBO Downloader.VBA.TRX.XXVBAF01FF006
3e6166a6961bc7c23d316ea9bca87d8287a4044865c3e73064054e805ef5ca1a Backdoor.Win32.REMCOS.USMANEAGFG Troj.Win32.TRX.XXPE50FFF034
3f40d4a0d0fe1eea58fa1c71308431b5c2ce6e381cacc7291e501f4eed57bfd2 Trojan.MSIL.AGENTTESLA.THCOCBO N/A
ab533d6ca0c2be8860a0f7fbfc7820ffd595edc63e540ff4c5991808da6a257d Trojan.X97M.CVE201711882.THCOCBO N/A
b78a3d21325d3db7470fbf1a6d254e23d349531fca4d7f458b33ca93c91e61cd Backdoor.Win32.REMCOS.USMANEAGFE Troj.Win32.TRX.XXPE50FFF034
c9c0180eba2a712f1aba1303b90cbf12c1117451ce13b68715931abc437b10cd TrojanSpy.Win32.FAREIT.UHBAZCLIZ Troj.Win32.TRX.XXPE50FFF034

C&C地址

  • Bambinos[.]bounceme[.]net
  • bbtt[.]site
  • bbtt[.]space
  • harpa[.]site
  • harpa[.]space
  • harpa[.]website
  • himym[.]site
  • kristoffer[.]hopto[.]org
  • kristom[.]hopto[.]org
  • miragena[.]site
  • miragena[.]xyz
  • papir[.]hopto[.]org
  • sabdja[.]3utilities[.]com
  • sakira[.]3utilities[.]com
  • seliconos[.]3utilities[.]com
  • solod[.]bounceme[.]net
  • sonik[.]hopto[.]org
  • tele[.]3utilities[.]com
  • violina[.]website
  • voyager[.]myftp[.]biz
  • voyaget[.]myftp[.]biz

MITRE ATT&CK框架

A screenshot of a social media post

Description automatically generated

@原文出處:Gamaredon APT Group Use Covid-19 Lure in Campaigns 作者:Hiroyuki Kakara和Erina Maruyama(趨勢科技