Inception Framework利用Office漏洞攻击欧洲

Inception Framework利用Office漏洞攻击欧洲

至少从2014年开始,网络间谍组织Inception Framework就一直处于活跃状态,安全公司Blue Coat和Symantec也曾报道过相关新闻。Inception Framework以前发起的攻击主要使用自定义恶意软件来攻击各种平台,其攻击的行业多种多样,目标主要集中在俄罗斯,但也攻击过其它国家。研究人员分析了2018年10月Inception Framework发起的针对欧洲的攻击,发现该组织利用存在一年之久的Office漏洞和新PowerShell后门(POWERSHOWER)来攻击欧洲政府。

远程模板是Microsoft Word的一项功能,它允许文档加载要使用的模板——此模板可以在文件共享或Internet上进行外部托管,然后在打开文档时加载模板。Inception Framework在恶意文本中使用此功能,如图1所示:

Inception Framework利用Office漏洞攻击欧洲

图1. 攻击示意图

以这种方式使用远程模板是该组织过去四年中的一贯风格,这样对攻击者而言有三个好处:

1.初始文件并不包含任何明显的恶意目标,它仅仅包含一个外部对象,这表明它可以绕过静态分析技术。图2是该方式的示例。

2.攻击者可以根据从受害者收集到的初始数据(如Microsoft Word版本和受害者的IP地址)有选择的分发恶意软件。

3.一旦攻击结束,托管远程模板的服务器就会关闭。由于远程内容对研究人员不可用,所以他们很难检测到这种攻击。

Inception Framework利用Office漏洞攻击欧洲

图2. Inception文档如何引用远程模板的示例

打开文档,文档会显示欺骗性内容并尝试通过HTTP获取恶意远程有效负载。欺骗性内容通常是从媒体报道中复制而来,通常是与受害者所在地区相关的政治性新闻。图3是研究人员发现的欺骗性内容示例,分别是国际会议邀请和克里米亚当前情况的新闻文章。第一个是2017年在Facebook上发送的VGOPAD邀请,第二个来自欧洲政策中心摘要。

Inception Framework利用Office漏洞攻击欧洲

图3.欺骗性内容示例

在大多数情况下,远程服务器并不会返还恶意模块,但研究人员最近发现了包含漏洞的两个恶意模块。这些漏洞是2017年披露和修补的Word漏洞。

漏洞的有效负载是OLE对象中的VBScript,VBScript解码并执行一个简单的PowerShell后门—-POWERSHOWER。

早前,研究人员发现以前的攻击是通过两个长矛网络钓鱼邮件进行的,第一个仅用于收集数据。然而在最近,研究人员发现只有一个文件发送给受害者,该文件集收集数据、漏洞利用和传递有效负载功能于一身。

POWERSHOWER充当初始数据搜集的立足点,也可以用来下载和执行功能更齐全的有效负载。只需要使用这个简单的后门建立立足点,攻击者就可以让后期阶段的复杂恶意软件不容易被发现。

简而言之,POWERSHOWER可以让攻击者:

1.收集计算机上的信息并将信息上传到初始C&C。

2.清除重要的取证证据。

3.如果攻击者认为目标计算机有攻击价值,则运行有效负载。

POWERSHOWER分析

POWERSHOWER首先将检查Microsoft Word是否正在运行,如果是,该恶意软件就会假定它是第一次运行恶意软件并执行以下操作:

1.将自己写入%AppData%\Microsoft\Word\log.ps1。

2.使用运行键将此文件设置为永久保存。

3.添加一个注册表项,以便powershell.exe默认在屏幕外生成。

4.使Microsoft Word无法运行。

5.删除在dropper过程中创建的所有文件,包括打开原始文档的证据、初始.VBS文件与在IE临时文件目录中检索远程模板时产生的所有临时文件。

  1. 删除在dropper进程中留下的所有注册表项。
  2. 收集受感染计算机上的系统信息并将其发送给C2。

8.退出。

如果Microsoft Word并未运行,恶意软件将进入其通信循环,按顺序执行以下操作,重新启动计算机后才能此循环:

  1. 收集系统信息并将其发送给C2。

2.运行GET请求。

3.根据GET的状态代码,执行不同的操作。

主C&C循环的代码如图4所示。

Inception Framework利用Office漏洞攻击欧洲

这个恶意软件虽然简单,但却十分有效,让攻击者可以选择如何运行下一个更复杂的有效负载。

Inception Framework依旧神秘低调,这份低调有部分原因是由于攻击者一直在尝试使其攻击更难检测的新方法。其持续性、隐秘性和全球影响力意味着该组织继续对企业机构带来风险,特别是在其感兴趣的领域,包括国防、航空航天、能源、政府、电信、媒体和金融。

原创文章,作者:M0tto1n,如若转载,请注明出处:http://www.mottoin.com/news/129405.html

发表评论

登录后才能评论

联系我们

021-62666911

在线咨询:点击这里给我发消息

邮件:root@mottoin.com

工作时间:周一至周五,9:30-18:30,节假日休息

QR code