一、概述
自2019年4月以来,奇安信APT实验室与奇安信威胁情报中心在日常威胁狩猎过程中监测到一批针对巴勒斯坦及加沙地区的有组织的、持续性的网络攻击行为,攻击面广、受害范围大,产生了严重的网络安全威胁,对此我们时刻保持高度关注并深入分析。
同时观察到近期部分安全厂商发布多篇定性为“拍拍熊”(APT-C-37)的最新活动报告,诸多报告内容与我们此次披露的“月光再临”行动存在高度重合。本着严谨、求实的研究态度,奇安信APT实验室与奇安信威胁情报中心对该批次攻击活动进行持续追踪跟进挖掘,最终研判结果指向了另一个在加沙地区活动多年,疑似与哈马斯武装力量存在关联的MoonLight组织。该组织经常使用钓鱼邮件攻击,其攻击手法和C|>分割
3.3 H-Worm后门介绍
H-WORM作者ID为Houdini,使用VBS编写以实现远控蠕虫功能,能够通过感染U盘传播,出现的时间最早可以追溯到2013年7月。因为其简洁有效的远控功能、非PE脚本易于免杀、便于修改等特性,一直被恶意组织所青睐且活跃至今,Fireeye曾在其博客中有过介绍[4],因此不再赘述。
4. 后门升级,全新版本
APT实验室分析人员通过对整体流程进行复盘,挖掘到曾被忽略的关键点:
在2019年8月的某样本中意外的存在两个脚本文件,其中包含了一个关键恶意URL:hxxp://fateh.aba.ae/xyzx.zip,该地址目前已经失效,通过对海量样本进行筛选挖掘,捕获到该文件。
图3.12 自解压参数
图3.13 down2.js
4.1 xyzx.zip分析
| 项 | 值 |
|---|---|
| 文件名 | xyzx |
| 文件大小 | 3755 KB |
| 文件类型 | JavaScript 文件 |
| MD5 | 1D3E3E419B174B2C52C7A5485AAAB7E4 |
| 加载方式 | SFX调用mstha启动 |
表3.2 xyzx.zip样本摘要
与其他脚本相比,该脚本十分庞大,并且执行流程更为复杂,经过多次循环解密后得到其最终后门脚本。最终程序将会设置注入的系统进程ctfmon.exe、释放路径(%temp%)、执行程序(Wscript)等。
图3.14 xyzx.js初始化部分
然后该程序将会在temp路径下创建IMG.DB文件,并调用regsv***程序对其注册:
图3.15 调用部分
通过对该文件的分析我们了解到该文件实为DynamicWrapperX文件,该文件由Yuri Popov于2008年编写[5],可以帮助脚本语言调用Windows API从而完成更多操作:
图3.16 IMG.DB注册信息
图3.17 DynamicWrapperX
在后续的代码中声明了CallWindowProcW和VirtualAll函数,也表明了其对该DLL的用法:
图3.18 xyzx函数声明
脚本两次调用VirtualAlloc函数shellcode写入内存,并在内存中声明CreatePorcessW、SetThreadContext等函数用作进程注入,最后调用CallWindowProcW函数跳转到第一个参数的Shellcode处继续执行程序:
图3.19 第一次VirtualAlloc中的内存
图3.20 执行CallWindowProcW函数跳转至shellcode
在对该手法溯源过程中我们发现了相关报告[6],其描述的攻击手法与该样本完全一致,都使用了H-Worm的“Beta”版本;此外文中提到的组织的整体攻击流程和目标与本次活动高度一致:中东、SFX、H-worm 。这些特点都为我们后续的溯源过程提供了佐证。
图3.21 SFX攻击载荷,同样针对中东
5. 本次攻击活动规律总结
| 初始调用程序 | 后续调用程序 | 脚本语言 | 落地方式 | |
|---|---|---|---|---|
| 第一阶段 | wscript | wscript | js内嵌Vbs | 压缩包释放脚本 |
| 第二阶段 | mstha | wscript | Vbs | 启动ink访问URL |
| 第三阶段 | mstha | powershell | JS内嵌Vbs | mstha访问URL |
表3.3 攻击武器特征
四、攻击组织溯源分析
1. 诱饵文档针对性
该组织的恶意载荷中都会包含一个单纯的诱饵,形式为文档或图片,而且其标题和内容都极具吸引力,且针对对象广泛:
图4.1 诱饵文档一:巴勒斯坦人民斗争阵线
图4.2 诱饵文档二:哈马斯问题
图4.3 诱饵文档三:埃及问题
2. 诱饵文档可能针对的目标
| 地区 |
|---|
| ***国家 |
| 加沙地区 |
| 北非 |
| 国家 |
| 埃及 |
| 巴勒斯坦 |
| 组织/人群 |
| 巴勒斯坦解放组织 |
| 法塔赫 |
| 巴勒斯坦人民斗争阵线(PSF) |
| 关注哈马斯的组织或人员 |
3. 诱饵文档作者信息
| 作者名 | 出现频次 |
|---|---|
| hh4 | 6次 |
| kk | 1次 |
| admin | 1次 |
| Hotmail support | 1次 |
| Canon MF8000C Series (佳能扫描设备) | 1次 |
表4.1 诱饵文档作者信息统计
4. 工作时区分析
通过对样本信息进行汇总,我们获取了一定数量的样本时间信息,后续对其归类发现该组织主要工作时间集中在北京时间UTC +8的(13:00—20:00)内,按照正常作息时间(早八晚五),基本可以确定此次攻击来自于(UTC +2---UTC+3)时区内:
图4.4 样本时间戳汇总
图4.5 世界时区
5. 域名相似性
根据本次活动相关的域名,我们也总结出了一定的规律:一方面该组织通常租用一些小型运营商的云主机作为回连域名,从而很好的保障组织的安全性;另一方面,该组织的云主机名一般命名为“国家 +news”,伪装成主流新闻媒体网址,从而误导受害者。
| 域名 | 疑似意义 | 所属区域 |
|---|---|---|
| adamnews.for.ug | adam新闻 | ug 乌干达 |
| martnews.aba.ae | 尼日利亚新闻 | ae 阿联酋 |
| fateh.aba.ae | 法塔赫 | ae 阿联酋 |
| israanews.zz.com.ve | ***新闻 | ve 委内瑞拉 |
表4.2域名特征
基于以上线索结合大量数据资料的搜集整理,关联到一个频繁活跃在中东数年之久的APT组织:MoonLight,该组织曾使用的域名也具有上述规律且所有攻击手法都与该批次攻击活动相似:
图4.6相似的域名规律
除此之外,在近期捕获的样本中,我们还发现了一份与MoonLight组织早期所使用的高度相似的诱饵文档。以上内容表现出太多的相似之处,我们不愿意相信这都是巧合,因此我们判断该批次攻击活动仍是MoonLight组织所为。
图4.7 相似的诱饵文档
五、总结
***古书中曾记载:“人间若有天堂,大马士革必在其中;天堂若在天空,大马士革必与之齐名。”而反观叙利亚的现状,或许说是“人间炼狱”也不为过,而这只是如今中东复杂局势下的一个小小缩影:宗教差异、政权斗争、大国势力干预等多方因素早已让曾经的富庶之地变得千疮百孔、人们颠沛流离,而网络空间攻击的到来更无异于雪上加霜。针对MoonLight组织发动的大规模网络攻击所用的武器及网络基础设施,我们予以分析研判形成此报告。
近期多个安全厂商发布了定性为“拍拍熊”组织的相关活动报告,其所发布的公开报告并未对攻击组织研判过程予以精确呈现。为了追寻“拍拍熊”的最初来源,我们只发现了某twitter用户的评论,而该用户也仅仅使用了“maybe”字样。
图5.1 APT-C-37引用来源
难题的答案或许只有一个,但是问题的选项或许可以由一百种。。我们不怕犯错,也不怕被批评,只希望能发出我们的声音,因为这将记录并证明我们的思考。在此也希望广大奋斗在网络安全一线战场的同志们能够坚定信念,不停探索,不忘初心。
六、参考文献
[2] https://securelist.com/gaza-cybergang-group1-operation-sneakypastes/90068/
[3] http://www.sohu.com/a/252565992_100166177
[4] https://www.fireeye.com/blog/threat-research/2013/09/now-you-see-me-h-worm-by-houdini.html
[5] https://www.script-coding.com/dynwrapx_eng.html
[6] https://www.vectra.ai/blogpost/moonlight-middle-east-targeted-attacks
七、IOCs
l MD5
75ea74251fa57750681c8e6f99696b1b
d38592133501622f7a649a2b16d0d1d6
74ef1c5905200ea664a603a67554422b
9130aa7170a3663cd781010c7261171d
0992b87c510d4cd135e02e432fcb492b
e2448384afff94f2cc825d0a6c285e35
bef000aa7ccfd79b76a645ed60462ed1
bf14b74f212cf642c83a34f633732b5d
95194b04018a200d1413f501ff31ecf1
6e62856152eb198b457487e1eed94d76
4fa306739fd3ecc75b0ee202a614061d
l C&C
hxxp://adamnews.for.ug/2020
hxxp://fateh.aba.ae/xyzx.zip
hxxp://fateh.aba.ae/abc.zip
hxxp://martnews.aba.ae/linkshw.txt
hxxp://192.119.111.4/xx/dv
hxxp://192.119.111.4/xx/f_Skoifa.vbs
hxxp://adamnews.for.ug/hwdownhww
hxxp://israanews.zz.com.ve/cr.zip
hxxp://72.21.245.117/files/hw.zip.zip
hxxp://192.119.111.4/xx/me325noew.zip
hxxp://192.119.111.4/xx/f_Skoifa.vbs?/
hxxp://192.119.111.4:4587/IS-enum-FAF
hxxp://192.119.111.4:4587/IS-enum-Driver
hxxp://192.119.111.4:4587/is-ready
hxxp://192.119.111.4/xx/
hxxp://mslove.mypressonline.com/linkshw.txt
new2019.mine.nu:4422
webhoptest.webhop.info:4433
mmksba100.linkpc.net/is-ready
mmksba100.linkpc.net:4424/is-ready
israanews.zz.com.ve/hw.zip.zip
mmksba.dyndns.org:4455/is-ready
adamnews.for.ug/303030.zip
94.102.56.143:22
192.119.111.4:4587
192.119.111.4:4521
72.21.245.117
85.17.26.65
附录一:关于奇安信APT实验室
奇安信APT实验室作为一支专注于国家级网络对抗的内部安全研究团队,长期耕植于APT现场应急取证回溯分析、攻击方组织定性、国家级APT攻击组织背景溯源等方向。此次借助威胁情报平台首次对外发声,希望有志之士加入我们的研究团队,携手服务于国家网络安全事业。也欢迎相关业务人员进行交流指导,共同提升APT领域的分析挖掘及背景溯源能力。
附录二:关于奇安信威胁情报中心
奇安信威胁情报中心是北京奇安信科技有限公司(奇安信集团)旗下的威胁情报整合专业机构。该中心以业界领先的安全大数据资源为基础,基于奇安信长期积累的核心安全技术,依托亚太地区顶级的安全人才团队,通过强大的大数据能力,实现全网威胁情报的即时、全面、深入的整合与分析,为企业和机构提供安全管理与防护的网络威胁预警与情报。
奇安信威胁情报中心对外服务平台网址为https://ti.qianxin.com/。服务平台以海量多维度网络空间安全数据为基础,为安全分析人员及各类企业用户提供基础数据的查询,攻击线索拓展,事件背景研判,攻击组织解析,研究报告下载等多种维度的威胁情报数据与威胁情报服务。
标签: 月光(MoonLight)
还木有评论哦,快来抢沙发吧~