博客
关于我
强烈建议你试试无所不能的chatGPT,快点击我
外媒:中国TA459 APT组织利用CVE-2017-0199攻击顶级金融公司
阅读量:5871 次
发布时间:2019-06-19

本文共 2279 字,大约阅读时间需要 7 分钟。

本文讲的是
外媒:中国TA459 APT组织利用CVE-2017-0199攻击顶级金融公司

外媒:中国TA459 APT组织利用CVE-2017-0199攻击顶级金融公司

Proofpoint在4月20日发表了一项针对性的入侵报告,专注攻击俄罗斯和邻国的顶级金融公司工作的金融分析师。这些分析师与电信行业有所关联。这次的攻击非常类似于我们的“https://www.proofpoint.com/us/threat-insight/post/PlugX-in-Russia”博客中所描述的攻击,并且可能延续。然而,这次攻击者使用Microsoft word进行攻击,利用最近修补的CVE-2017-0199来执行ZeroT Trojan,后者又下载了PlugX(RAT)。

Proofpoint正在跟踪这些攻击者,如TA459,他们的攻击通常针对中亚国家,俄罗斯,白俄罗斯,蒙古等。TA549拥有多种恶意软件,包括PlugX,NetTraveler和ZeroT。在这个博客中,我们还记录了2017年其他的活动,包括他们使用的恶意软件PCrat / Gh0st。

分析

在这个活动中,攻击者使用了一个名为0721.doc的Microsoft Word文档,该文档利用了CVE-2017-0199漏洞。在攻击前这漏洞已经被纰漏了。

外媒:中国TA459 APT组织利用CVE-2017-0199攻击顶级金融公司

Microsoft Word文档0721.doc

该文档使用逻辑缺陷首先从http//122.9.52.215/news/power.rtf下载文件power.rtf。power.rtf这个文件实际上是HTML应用程序(HTA)文件,而不是RTF文档。

外媒:中国TA459 APT组织利用CVE-2017-0199攻击顶级金融公司

利用文件下载的第一个脚本是一个HTA文件

如上图所示,HTA中的VBScript会更改窗口大小和位置,然后使用PowerShell下载另一个脚本:power.ps1。power.ps1是一个下载并运行ZeroT远控的payload"cgi.exe"。

外媒:中国TA459 APT组织利用CVE-2017-0199攻击顶级金融公司

漏洞利用文档下载的第二个脚本是一个PowerShell脚本

外媒:中国TA459 APT组织利用CVE-2017-0199攻击顶级金融公司

ZeroT等有效载荷

自上次分析以来,攻击者对ZeroT进行了改进。虽然它们仍然使用RAR SFX格式作为初始有效载荷,但是ZeroT现在使用名为mcut.exe的合法McAfee实用程序(SHA256 3124fcb79da0bdf9d0d1995e37b06f7929d83c1c4b60e38c104743be71170efe),而不是像过去一样进行侧向加载的Norman Safeground AS。

加密的ZeroT有效载荷(称为Mctl.mui)在存储器中被解码,显示出类似篡改的PE标题,并且与之前分析的ZeroT有效载荷相比,只有稍微修改的代码。

一旦ZeroT运行,我们观察到,请求中使用的user-anget从“Mozilla/6.0 (compatible; MSIE 10.0; Windows NT 6.2; Tzcdrnt/6.0)” 变成“Mozilla/6.0 (compatible; MSIE 11.0; Windows NT 6.2)”,删除了以前版本中的”Tzcdrnt“错字。将index.php的初始信息更改为index.txt,但是ZeroT仍然使用静态密钥进行RC4加密的响应:“(* ^ GF(9042&*”)。

外媒:中国TA459 APT组织利用CVE-2017-0199攻击顶级金融公司

上图是通过HTTP请求URL配置的ZeroT初始信息

接下来,ZeroT使用HTTP将感染系统的信息传输到命令和控制(C&C)。所有的都是加密的,跟上次分析的一样,第一个POST还是未加密的。之后,仍使用LSB隐写术来隐藏真实payload的位图(BMP)图像来检索第2阶段的payload。这些图像在图像查看器中显示正常。

外媒:中国TA459 APT组织利用CVE-2017-0199攻击顶级金融公司

第2阶段的payload是插入PlugX的C&C服务器。

外媒:中国TA459 APT组织利用CVE-2017-0199攻击顶级金融公司

ZeroT和PlugX HTTP网络活动外媒:中国TA459 APT组织利用CVE-2017-0199攻击顶级金融公司

TA459额外的活动

在2017年,我们观察到这个组织还在积极的用各种恶意软件来攻击。ZeroT仍然是第一阶段的有效载荷,但是第二阶段的载荷有所变化。一个这样有趣的例子是“ПЛАНРЕАЛИЗАЦИИПРОЕКТА.rar”(SHA256 b5c208e4fb8ba255883f771d384ca85566c7be8adcf5c87114a62efb53b73fda)。该文件由俄文翻译成“PROJECT REALIZATION PLAN”,包含一个压缩的.scr可执行文件。 该ZeroT可执行文件与PlugX的C&C域www.kz-inf.net以及另一个与PCRat/ Gh0stC&C域www.ruvim.net进行通信。

另一个有趣的ZeroT样本(SHA256 bc2246813d7267608e1a80a04dac32da9115a15b1550b0c4842b9d6e2e7de374)包含在RAR SFX存档中的可执行文件0228.exe和诱饵文件0228.doc中。Proofpoint认为,捆绑诱饵文件是该组织的常用方法。执行恶意payload时,RAR SFX 指令用于显示诱饵。

诱饵文件

外媒:中国TA459 APT组织利用CVE-2017-0199攻击顶级金融公司

诱导文件中的文字信息来源

外媒:中国TA459 APT组织利用CVE-2017-0199攻击顶级金融公司

结论

TA459这样的黑客组织一直在进行持续攻击,且利用较为传统的攻击方式,使用网络钓鱼活动以及社交工程等手段瞄准从事特定研究工作并拥有专业知识的相关专家。

TA459以攻击俄罗斯及邻国国家闻名。从他们的攻击中, 我们应该了解到强大的防御方案中,必须包含邮件网关,并且及时修复系统及软件漏洞。
原文发布时间为:2017年5月8日
本文作者:愣娃
本文来自云栖社区合作伙伴嘶吼,了解相关信息可以关注嘶吼网站。

转载地址:http://kjanx.baihongyu.com/

你可能感兴趣的文章
触动人心:如何设计优秀的iPhone应用
查看>>
Java之反转排序
查看>>
6. ZigZag Conversion
查看>>
电网SVG简介
查看>>
CDays–4 习题一至四及相关内容解析。
查看>>
迭代器、生成器、面向过程编程
查看>>
使用JQuery的全屏背景图片,自动适应各种屏幕和浏览器
查看>>
Codeforces 294D - Shaass and Painter Robot
查看>>
12LaTeX学习系列之---LaTex的图片插入
查看>>
[原创]存储过程里面的递归
查看>>
在Windows将VBS文件恢复到默认运行方式的方法
查看>>
hdu2005
查看>>
get和post的区别
查看>>
Python中_,__,__xx__的区别
查看>>
移动端的几个面试小问题
查看>>
asp.net MVC4在Action间跳转 RedirectToAction 传值参数问题
查看>>
POJ 3281 (最大流+匹配+拆点)
查看>>
Greenplum记录(一):主体结构、master、segments节点、interconnect、performance monitor...
查看>>
L3.十一.匿名函数和map方法
查看>>
C#中的委托(Delegate)和事件(Event)
查看>>