APT28军火库再添新武器——Cannon下载器

APT28军火库再添新武器——Cannon下载器

在针对北美、欧洲和前苏联国家政府组织的鱼叉式网络钓鱼攻击中,俄罗斯黑客组织APT28使用了一个新的恶意软件样本,名为Cannon下载器。攻击者旨在吸引那些对10月下旬印尼航空公司Lion Air的一架载有189人的波音737 MAX坠机事件感兴趣的人,该钓鱼文件的主题为:“遇难者名单(Lion Air Boeing 737).docx。”

该组织最近的一次行动是在10月底和11月初被网络安全公司Palo Alto发现的,它依赖于Word文档执行攻击,其中加载了嵌入恶意宏代码的远程模板。

APT28——俄罗斯政府背景

该网络黑客组织又被称为Sofacy、Sednit、FancyBear、PawnStorm和TsarTeam,可能成立于2007年,攻击对象多为政府、军队及安全机构,特别是外高加索和北约组织国家。它是高级持续性威胁(Advanced Persistent Threat,即APT)攻击的典型代表。

网络安全公司CrowdStrike曾明确表示,它与俄罗斯军事情报机构——俄联邦军队总参情报总局(GRU)有关。有媒体报道称该组织通过帮助有利于外国政治候选人赢得选举来促进俄罗斯政府的政治利益(美国2016年总统选举期间,它泄露了希拉里·克林顿的电子邮件,从而间接帮助了唐纳德·特朗普)。

到目前为止,APT掺和的事件包括了叙利亚冲突、北约、乌克兰相关事件、欧盟难民与移民危机,2016奥林匹克运动会和残奥会俄罗斯运动会的兴奋剂丑闻等等。

APT28军火库再添新武器——Cannon下载器

APT28参与的部分攻击事件

Cannon下载器

Palo Alto的研究人员Robert Falcone和Bryan Lee发现APT28此次攻击中使用了一种全新的黑客工具——Cannon下载器。Cannon与该组织以往使用的木马下载器Zebrocy不同,因为它利用电子邮件协议进行C2通信,而非HTTP或HTTPS。其分发方法依赖于一种不常见的技术,由于所涉及的外部主机是合法的电子邮件服务提供商,所以有助于规避其在自动沙箱环境的检测:宏代码使用AutoClose函数,该函数允许Word延迟恶意代码的完整执行,直到用户关闭文档。

一旦用户尝试打开文档(初始样本是Microsoft Word文档,Microsoft Word会立即尝试从DOCX文档的settings.xml.rels文件中指定的位置加载包含恶意宏和有效负载的远程模板,如下图所示:

APT28军火库再添新武器——Cannon下载器

根据Palo Alto的分析,Cannon下载器使用电子邮件通信从命令和控制(C2)服务器中获取指令。

如果C2已经脱机,文档仍将打开,但Word将无法检索远程模板,因此Word将不会加载宏。在这种情况下,Word将向受害者呈现相同的诱饵文档,如图2所示,但无法通过“启用内容”按钮启用宏。假设C2仍然可以运行,Word会加载远程模板(SHA256:f1e2bceae81ccd54777f7862c616f22b581b47e0dda5cb02d0a722168ef194a5),并向用户显示如下图所示的页面:

APT28军火库再添新武器——Cannon下载器

引诱受害者使用宏

但与Zebrocy类似,它的功能列表包括添加持久性、创建唯一的系统标识符、收集系统详细信息、抓取桌面快照,并进一步下载其他恶意软件。此外,它还可以登录POP3电子邮件帐户以访问附件。

Cannon通过捷克服务提供商Seznam托管下的三个帐户发送钓鱼电子邮件。这些内容转移到电子邮件地址“sahro.bell[at]post.cz”上充当C2服务器联络点。通过登录Seznam托管的其他帐户“Trala[.]cosh2”,可以获得命令。“Cannon的最终目的是使用多个电子邮件帐户向威胁行为者发送受害者的系统数据(系统信息和屏幕截图等),并最终从这些电子邮件中下载有效恶意负载,”研究人员最后解释道。

妥协指标(IOC)

分发哈希值(Delivery Hashes):

2cfc4b3686511f959f14889d26d3d9a0d06e27ee2bb54c9afb1ada6b8205c55f
af77e845f1b0a3ae32cb5cfa53ff22cc9dae883f05200e18ad8e10d7a8106392

远程模板哈希值(Remote Template Hashes):

f1e2bceae81ccd54777f7862c616f22b581b47e0dda5cb02d0a722168ef194a5

fc69fb278e12fc7f9c49a020eff9f84c58b71e680a9e18f78d4e6540693f557d

Cannon电子邮件账户:

sahro.bella7[at]post.cz
trala.cosh2[at]post.cz
bishtr.cam47[at]post.cz
lobrek.chizh[at]post.cz
cervot.woprov[at]post.cz

原创文章,作者:Gump,如若转载,请注明出处:http://www.mottoin.com/news/132659.html

发表评论

登录后才能评论

联系我们

021-62666911

在线咨询:点击这里给我发消息

邮件:root@mottoin.com

工作时间:周一至周五,9:30-18:30,节假日休息

QR code