Zebrocy再进化,Sofacy野心勃勃要搞事!

Zebrocy再进化,Sofacy野心勃勃要搞事!

网络安全公司Palo Alto Networks的研究人员发现,与俄罗斯政府关系密切的Sofacy APT(又名APT28、Fancy Bear或Sednit)威胁组织使用Go编程语言编写了他们常用的Zebrocy工具的新版本。

Sofacy APT组织自2007年以来一直处于活跃状态,并以世界各地的政府、军队和安全机构为攻击目标。据悉,该组织还曾参与针对2016年美国总统选举事件的一系列攻击。

Zebrocy再进化,Sofacy野心勃勃要搞事!

“SofacyAPT一直使用他们的Zebrocy工具进行攻击。我们首先在博客中撰写了关于Zebrocy工具的文章,该文章讨论了SofacyAPT在2018年第一季度的攻击活动,以及最近在10月底和11月初的攻击活动。Zebrocy的开发人员再次使用不同的编程语言,特别是利用Go语言创建了一个新版本的特洛伊木马。使用不同的编程语言来创建功能类似的特洛伊木马对于这个组织来说并不陌生,因为过去Zebrocy的各变种已经陆续在AutoIt、Delphi、VB.NET、C#和Visual C ++等语言环境中开发出来。我们认为该威胁组织使用多种语言来创建特洛伊木马,使其在结构和视觉上有所不同,从而使检测工作变得更加困难,”Palo alto Networks发布的分析报告中写道。

新特洛伊木马出现

研究人员在今年4月分析了第一阶段的恶意软件,并观察到它在10月和11月的多次攻击中被使用。11月,Palo Alto Networks的研究人员注意到Sofacy APT在最新攻击活动中使用了新的特洛伊木马。

这起袭击事件发生在2018年10月11日,攻击者使用具有LNK附件的电子邮件(T1193)进行鱼叉式网络钓鱼攻击,内容是讨论美国制裁对俄罗斯经济的影响,该邮件将运行一系列PowerShell脚本来提取有效负载。发件人地址和签名为目标组织中的某个人姓名,而电子邮件中的收件人字段为空白,这使研究人员相信目标个人被包含在此电子邮件的“密件抄送”字段中。

Zebrocy再进化,Sofacy野心勃勃要搞事!

攻击中发送的恶意电子邮件

Zebrocy的“Go”变种也参与了 今年10月中旬到11月中旬之间的一系列攻击活动。 研究人员注意到,在所有攻击威胁中,攻击者都使用了同一开发者(名为Joohn)设计的诱饵文档。

Zebrocy再进化,Sofacy野心勃勃要搞事!

诱饵文档

Palo Alto Networks发布的分析报告表示,“10月和11月的攻击中使用的交付文件有大量相似之处,这使我们能够将这些活动归纳为一类事件。最值得注意的是,开发者Joohn  在每份交付文件中反复出现。”

Palo Alto Networks共确定了9份文件及相关的有效负载和攻击目标。

一旦打开文档,它将利用Microsoft Word检索远程模板,然后加载恶意宏文档。Zebrocy的“Go”变体最初收集受感染系统的数据信息,然后将其发送到命令和控制(C2)服务器。

恶意软件收集的数据信息包括正在运行的进程列表、通过“systeminfo”命令收集的信息、本地磁盘信息和桌面屏幕截图。恶意软件通过HTTP POST请求连接到C2。

特洛伊木马与其C2之间的C2通信具有以下结构:

Zebrocy再进化,Sofacy野心勃勃要搞事!

恶意软件还会尝试从C2下载并执行有效负载。该恶意软件展示了与其他Zebrocy变体在功能上的重叠:

使用ASCII十六进制混淆字符串;

使用卷序列号,不包括从VOL命令获得的连字符;

出站C2信标中使用“systeminfo”和“tasklist”输出;

C2信标中使用“PrgStart”字符串。

Zebrocy的“Go”变体通过HTTP POST请求将数据发送回C2,如果服务器以十六进制编码的有效负载响应,则恶意软件将其保存到磁盘,并创建自动运行注册表项以获得持久性。第二个有效负载是用Go语言编写的另一个特洛伊木马,它用于将其他工具下载到受感染的系统上。

Palo Alto Networks最好认为,“很明显,Sofacy APT将在多个不同的攻击活动中使用Zebrocy的这些新变种。”

妥协指标(IOCs)

Zebrocy的“Go”变种

fcf03bf5ef4babce577dd13483391344e957fd2c855624c9f0573880b8cba62e

93680d34d798a22c618c96dec724517829ec3aad71215213a2dcb1eb190ff9fa

“Go”变种C2服务器

hxxp://89.37.226[.]148/technet-support/library/online-service-description.php

89.37.226[.]148

hxxp://89.37.226[.]123/advance/portable_version/service.php

89.37.226[.]123

原创文章,作者:Gump,如若转载,请注明出处:http://www.mottoin.com/news/133652.html

发表评论

登录后才能评论

联系我们

021-62666911

在线咨询:点击这里给我发消息

邮件:root@mottoin.com

工作时间:周一至周五,9:30-18:30,节假日休息

QR code