概述

近日，奇安信威胁情报中心红雨滴团队在日常的样本监测过程中，捕获一例针对乌克兰国家边防卫队伊斯梅尔支队的攻击样本， 该样本伪装成乌克兰国家财政局进行鱼叉邮件投递， 诱导受害者启用带有恶意宏代码的附件文档 。 一旦恶意 宏代码得以执行，便会在受害者机器上运行 PoshAdvisor 恶意 软件 ， 从而控制受害者计算机。

经溯源关联，该攻击文档疑似来自TA555组织 [1] ，TA555是国外安全组织 Proofpoint 追踪命名的黑客组织， 在以往的攻击活动中，该组织的目标通常为酒店、餐厅、电信行业，本次攻击活动是该组织第一次针对政府机构的活动 。

样本分析

诱饵文档

攻击者伪装为乌克兰财政部门以致领导人为主题进行鱼叉邮件投递

诱导受害者打开带有恶意宏代码的附件постанова_29_07_2019(2).doc（2019/7/29 决议）

恶意代码

一旦受害者启用宏，恶意宏代码便会执行powershell从远程https://23.227.194.58/（7位随机字符）.png获取恶意代码执行。

在分析该样本时，服务器已失效，无法获取后续，但奇安信威胁情报中心高对抗沙箱在捕获该样本时，已成功获取后续。

从远程服务器下载powershell执行，该段powershell继续从远程服务器https://23.227.194.58/（9位随机字符）.png获取后续执行

红雨滴团队高对抗沙箱获取后续如下：

PoshAdvisor

该段powershell首先加载c#dll到内存中，并调用其B6ILdR()函数

B6ILdR()获取系统版本号等信息

之后执行一段base64解码的powershell

此段powershell主要功能为获取系统信息上传，通过cmd命令获取系统信息

之后调用c#中的fqlw函数生成URL路径，该函数主要将B6ILdR()函数获取系统信新格式化后的字符经异或等处理后组成url路径，并在post方法后加上.asp后缀，其他方法加上.jpg后缀。

将通过cmd命令获取的系统信息上传到23.227.194.58/（urlpath）.asp

接着从注册表中获取outlook邮箱配置信息上传

截取当前屏幕上传

当此段powershell执行结束后，进入接受指令流程，从23.227.194.58/（urlpath）.jpg获取指令执行，当获取的数据长度大于等于48时，进入远控功能流程

获取数据的第一位为指令位，通过判断第一位的数据从而执行不同功能

远控指令功能如下表

溯源关联

经关联分析，红雨滴团队安全研究员发现本次攻击活动实现的后门与2018年proofpoint披露的TA555组织的PoshAdvisor后门基本一致，只是在功能上更加完善丰富，因此我们认定本次攻击活动幕后团伙是TA555的可能性极大。

诱饵文档对比

本次攻击活动的诱饵文档与之前TA505的文档基本一致，如下图

后门对比

本次攻击活动获取系统信息powershell代码与TA555基本一致

在功能代码上，本次攻击活动的后门功能较之TA555更加完善丰富

总结

从本次捕获TA555新样本来看，该团伙已开始转变攻击目标，从酒店餐厅等行业转变到政府机构，政治目的开始越发浓厚，其攻击武器功能也越发完善。奇安信威胁情报中心红雨滴团队将持续追踪该团伙的最新动态。

目前，基于 奇安信 威胁情报中心的威胁情报数据的全线产品，包括 奇安信 威胁情报平台（TIP）、天擎、天眼高级威胁检测系统、 奇安信 NGSOC等，都已经支持对此类攻击的精确检测。

IOC

样本MD5

4423c37da26868ec578baa5514b8308a
c5661d589ee98e8b370acaceb7f5445e
1d045444d74bc63c8b30d9089c8da24f
03580beba48ab744b1468459603e715d
87c6e0daabe6f71a86f3a9c24a090944
30bbf8a8d2c0ad4e2ffbfdc6c5ed476b
37457ea1d0f093145f8d645779c363ac
1e2b0f55562277fc4f3cfec340397f10

C&C地址

23.227.194.58

参考

[1] https://www.proofpoint.com/us/threat-insight/post/new-modular-downloaders-fingerprint-systems-part-2-advisorsbot

*本文作者：奇安信威胁情报中心，转载请注明来自FreeBuf.COM