一概述

XDSpy是ESET于2020年首次披露的APT组织，该组织最早活跃于2011年，主要针对东欧和塞尔维亚地区的政府、军队、外交部及私人公司进行窃密活动。2020年9月，该组织在攻击活动中使用Covid-19主题诱饵下发恶意Windows脚本文件（WSF）。

时隔两年，安恒猎影实验室再次捕获到该组织利用WSF文件针对俄罗斯国防部的攻击活动。活动包含如下特点：

1、此次攻击活动只针对特定用户名用户，非目标用户不会触发恶意代码执行；

2、样本中用于执行恶意行为的Windows API函数、DLL库、字符串等均被加密，且样本包含较为完整的反沙箱、反虚拟机、反杀软检测；

3、后续负载为模块化恶意软件，主要功能为执行C2回传的其他恶意组件。

二样本信息

本次捕获样本信息如下

运行后将释放伪装俄罗斯联邦国防部来源的传票文件。

三样本分析

1初始阶段Povestka_26-09-2022.wsf分析

样本运行后，首先尝试启动Internet Explorer并访问hxxp://best-downloader[.]com/Povestka_26-09-2022.pdf，展示诱饵文件以迷惑用户。

诱饵文件打开如下，其伪造俄罗斯联邦国防部来源以攻击相关目标。

恶意脚本中采用的字符串加密方式为：与指定字符串异或并转换成为对应的hex值。其中包含有大量的无效字符串以及无效函数调用。

接着脚本将获取本机用户名信息，并与预期攻击目标的用户名进行比对，若比对失败，则退出恶意脚本执行。可见该组织攻击范围极小，针对性较高。

获取C:\Program Files\以及C:\Program Files (x86)\目录下文件夹，检查是否存在Symantec、Norton Security或Bitdefender反病毒软件。

虚拟机环境检测：

若以上环境检测均通过，则解密后续负载AnalysisLinkManager.exe到本地%Temp%目录。

最后通过ShellWindows启动 CLSID: 9BA05972-F6A8-11CF-A442-00A0C90A8F39

2后续负载AnalysisLinkManager.exe分析

恶意负载运行后，首先通过注册表HARDWARE\DESCRIPTION\System\BIOS查询SystemProductName

遍历C:\Program Files\以及C:\Program Files (x86)\目录，并在之后的新线程中检查是否存在Kaspersky、ESET以及Avast反病毒软件。

判断当前文件运行路径是否在%Temp%目录中，若为%Temp%目录启动，则新建线程执行后续恶意操作。

获取计算机名、用户名、时区信息以及内置的恶意软件版本号进行拼接。

检测与VirtualBox关联的文件目录C:\Windows\DataManagerVBox\、管道信息\\.\pipe\VBoxTrayIPC等、BIOS固件信息，以判断恶意文件是否运行在VirtualBox、VMware或其他运行SeaBIOS的虚拟机。

与恶意脚本功能相似的是，后续恶意负载同样会判断目标用户名是否为John/WALKER/george/Frank/shelly/Harry Johnson，若非目标用户，则退出恶意负载执行。

若以上环境检测均通过，则在注册表HKEY_CURRENT_USER\Environment中添加环境变量UserInitMprLogonScript

新线程中，恶意负载将目标主机的操作系统版本、内部版本号、操作系统架构、恶意软件版本、主机名、用户名以"；"符拼接，与字符串“nirgrun895tg9nsvjnwiv12309ASHDbibvenibowrvREXVYBUNIiugycm898y42irwubuv94nabdRDU”进行异或，再进行Base64编码，将其中“+/=”符号分别替换为“%2B%2F%3D”，最后作为参数之一&sfin=的值以GET方式向C2发送请求。

查找本机%AppData%\AppInfoData\路径下是否存在配置文件2486348821LKolkijhkUIO.zxtu，若存在，则读取配置文件数据，以字符串“OP789hqedoevrn68f34byicw@#njsunodejwdn023ejcwfedwf3t5hbcuibwegv”作为密钥，使用RC4算法进行解密。

本机若不存在指定配置文件，则使用硬编码的C2地址进行通信。

其中配置文件的文件名2486348821LKolkijhkUIO的后半部分LKolkijhkUIO则为硬编码字符，前半部分2486348821则由v25286（恶意软件版本号）+ 89ceb3a8c98a（代理ID）+ hiuhgnywervg9837kjfbhnwuier（硬编码字符）经如下算法加密生成。

代理ID同样基于本机收集到的信息进行生成：

恶意负载在向C2发送请求时将传递以下3个参数：

● &sfin={主机信息} //WEdDXEVDXgACA0BcT1xGRFJYTD4%2Ffx8GdnwAGBgWWiE3JV4JDlk%3D

● &sduyviop={请求ID} //qXrcDNbACRG3

● hr&u={代理ID} //89ceb3a8c98a

作为响应，服务器将返回以下9种指令：

● rstpg：遍历由plug指令加载的库地址，并调用每个库的第二个导出函数。疑似为卸载插件指令

● watgh[ber：休眠1500毫秒（通过调用CreateEventW + WaitForSingleObject）

●56uhj544getr：内部计数器 +100

●r4g3rf：休眠1500毫秒（通过调用CreateSemaphoreW+WaitForSingleObject）

●bwtp：在内存中解密并执行后续

●sysinfo：收集系统信息，除前所述外还包括：Program Files和Program Files (x86) 的完整目录列表、驱动器信息、当前C2、代理 ID

●ccsv：更新C2和使用的协议（http/https）的信息并将其保存到文件中

●plug：新建线程，通过RC4算法解密并执行后续负载（插件）

●gfdfgdfgsfuilkyuj：获取用户名

四关联分析

在对持续跟踪的APT组织攻击手法进行排查后我们发现，此次捕获的攻击样本在如下方面与XDspy组织有较多重合：

01均收集C:\Program Files以及C:\Program Files (x86)目录下的文件夹信息

02均具有较强的针对性，即针对特定用户名目标进行攻击

03相同的资源访问方式，均通过InternetExplorer.Appplication对象的Navigate方法

04对杀软、虚拟机的检测

05最后均通过ShellWindows启动后续负载

根据样本特征，我们在视野范围内关联到XDSpy组织在2022年4-10月期间投放的其他攻击样本如下：

后续恶意负载分为3种变体，可根据文件名划分为Management Data Processing.exe、OptimizationInputDiagnosis.exe以及AnalysisLinkManager.exe。其中文件名为AnalysisLinkManager.exe的恶意负载流量特征如下图，且域名大多由3个英文单词组成。

基于关联到的样本信息，我们发现该组织于2022年4月下旬在俄罗斯联邦民防、紧急情况和救灾部以及白俄罗斯国家边境委员会的官方网站托管诱饵文件，相关部门疑似遭到入侵。

2022年10月，该组织使用仿冒俄罗斯联邦国防部的钓鱼邮件对未服兵役人员发送的法院传票信息，邮件中包含两个指向同一恶意负载的下载链接。

五总结 & 防范建议

本次捕获样本在攻击手法方面很大程度地延续了该组织2020年甚至更早以前的作风，相较之前有所更新的部分主要为规避沙箱检测以及引擎查杀，这也是众多APT组织代码升级的方向之一。猎影实验室将持续对全球APT组织进行持续跟踪，专注发现并披露各类威胁事件。