官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
- 关注
-美国政府机构首次明确将ComRAT和Zebrocy与俄罗斯的APT组织和网络间谍部门建立联系
1 美国政府官方披露俄罗斯APT组织恶意软件
在2020年万圣节前夜(10月30日),CYBERCOM,CISA和FBI的联合警报的推特账号,公开披露了俄罗斯2个APT组织的最新恶意软件,在万圣节向俄罗斯黑客致以诚挚地“问候”,而且这并不是他们第一次在公共假日披露与网络攻击相关的消息。
此次美国官方披露了Turla常用的恶意软件ComRAT的变种以及APT28常用的恶意软件Zebrocy,但是并未将恶意软件与特定的活动相关联。此次披露是美国政府机构首次明确将ComRAT和Zebrocy与俄罗斯的APT组织和网络间谍部门建立联系,此前仅在安全厂商发布的报告中将上述恶意软件与对应APT组织关联。
早在2020年10月29日,美国网络司令部就通过virustotal披露了7个样本,其中5个样本是Turla使用的 ComRAT恶意软件变种,另外两个是APT28使用的Zebrocy恶意软件变种。同一时间,美国网络安全基础设施安全局(CISA)发布《Malware Alasysis Report AR20-303A》与《Malware alasysis Report AR20-303B》,分别针对上述样本进行了详细功能分析,请参考本文附录。
《Malware Alasysis Report AR20-303A》报告披露Turla在执行阶段采用了Powershell脚本化方式,该脚本加载ComRAT V4版本的64位DLL到资源管理器中。该DLL将其他两个作为通信模块的32位和64位DLL注入到受害系统的默认浏览器中。ComRATv4恶意程序和通信模块采用命名管道相互通信,命名管道用于发送HTTP请求,以及从通信模块接收指令或HTTP响应。ComRAT v4采用两种不同的C2通信方式,一种是基于HTTP协议,另一种是利用Gmail 电子邮件。在第二种方式下,恶意程序使用配置中存储的cookie
连接到Gmail网络界面,来检查收件箱并下载包含加密命令的特定邮件附件。为了防止溯源,攻击者会借助免费电子邮件地址来发送包含加密命令的邮件。ComRAT v4版本的详细功能可以参考ESET在2020年5月发布的分析报告《FROM AGENT.BTZ TO COMRAT V4》。
《Malware alasysis Report AR20-303B》报告披露APT28使用了Golang语言编写的Zebrocy后门软件变种,收集受害者信息并上传C2。
2 IoCs
Hash | Turla: 00352afc7e7863530e4d68be35ae8b60261fc57560167645697b7bfc0ac0e93d (Communication_module_32.dll) 134919151466c9292bdcb7c24c32c841a5183d880072b0ad5e8b3a3a830afef8 (corrected.ps1) 166b1fb3d34b32f1807c710aaa435d181aedbded1e7b4539ffa931c2b2cdd405 (Communication_module_64.dll) 44d6d67b5328a4d73f72d8a0f9d39fe4bb6539609f90f169483936a8b3b88316 (ComRATv4.exe) a3170c32c09fc85cdda778a5c20a3dab144b6d1dd9996ba8340866e0081c7642 (Decode_PowerShell.ps1) |
APT28: 0be114fe30ef5042890c17033b63d7c9e0363972fcc15a61433c598dd33f49d1 (smqft_exe) 2631f95e9a46c821a701269a76b15bb065764cc15a0b268a4d1eac045975c9b8 (sespmw_exe) | |
域名 | Turla: branter.tk bronerg.tk crusider.tk duke6.tk sanitar.ml wekanda.tk |
3 附录:样本功能分析概述
Turla的ComRat v4样本功能概述
样本HASH | 样本名称(类型) | 样本功能 |
134919151466c9292bdcb7c24c32c841a5183d880072b0ad5e8b3a3a830afef8 | corrected.psl(dropper) | 该文件是经过严格编码的恶意PowerShell脚本。此恶意脚本将PowerShell脚本(a3170c32c09fc85cdda778a5c20a3dab144b6d1dd9996ba8340866e0081c7642)安装到“WsqmCons”注册表项中。 |
a3170c32c09fc85cdda778a5c20a3dab144b6d1dd9996ba8340866e0081c7642 | Decode_PowerShell.ps1(trojan) | 解码并加载一个恶意DLL,标识为ComRatv4(44d6d67b5328a4d73f72d8a0f9d39fe4bb6539609f90f169483936a8b3b88316)。 |
44d6d67b5328a4d73f72d8a0f9d39fe4bb6539609f90f169483936a8b3b88316 | ComRATv4.exe(trojan DLL) | 该恶意软件是恶意的32位的DLL,是ComRAT v4的模块,通过PowerShell脚本被加载到Windows资源管理器中。执行后,它将检查受害者的系统日期/时间,并在周一至周五的上午9点至下午5点之间执行代码,将通信模块(00352afc7e7863530e4d68be35ae8b60261fc57560167645697b7bfc0ac0e93d)或(166b1fb3d34b32f1807c710aaa435d181aedbded1e7b4539ffa931c2b2cddd405)注入到受害系统,并进行通讯请求。 |
00352afc7e7863530e4d68be35ae8b60261fc57560167645697b7bfc0ac0e93d | Communication_module_32.dll(backdoor downloader loader trojan) | 该恶意软件是32位的DLL,是注入受害者系统默认浏览器的通信模块,使用HTTP协议连接到以下C2: bronerg.tk、crusider.tk、duke6.tk、 该模块另一种通信方式使用配置中的cookie登录Gmail网络界面,并下载攻击者发送的包含加密命令邮件附件。 |
166b1fb3d34b32f1807c710aaa435d181aedbded1e7b4539ffa931c2b2cdd405 | Communication_module_64.dll(trojan) | 该恶意软件是64位的DLL,是注入受害者系统默认浏览器的通信模块。与32位通信模块功能相似。 |
APT28的Zebrocy样本功能概述
样本HASH | 样本名称(类型) | 样本功能 |
0be114fe30ef5042890c17033b63d7c9e0363972fcc15a61433c598dd33f49d1 | smqft_exe(backdoor) | 该恶意软件是使用Golang编程语言编写的32位Windows可执行文件,是Zebrocy后门的新变种。执行后收集受害者信息并将这些信息发送给C2。 |
2631f95e9a46c821a701269a76b15bb065764cc15a0b268a4d1eac045975c9b8 | sespmw_exe(backdoor) | 与0be114fe30ef5042890c17033b63d7c9e0363972fcc15a61433c598dd33f49d1具有相似功能。 |
4 白泽安全实验室
原文地址:https://mp.weixin.qq.com/s/OzZrmZeToNChaDZzNevk-g
- 0 文章数
- 0 关注者