APT29小组针对美国的攻击中使用的恶意软件分析

iso60001  2224天前

来自Cybaze ZLab-Yoroi团队的恶意软件研究人员已经发现了一种新的恶意软件代码,这种代码似乎与APT29小组(和俄罗斯关系密切)发动的新一轮攻击有关。

Yoroi ZLab的研究人员于11月16日发现了一款APT29组织新的恶意软件,该软件似乎与最近针对许多美国重要单位的网络攻击有关,这些单位包括军事机构、执法机构、国防承包商、媒体公司和制药公司。

“政府意识到最近发生的一系列网络安全事件和美国网络安全公司FireEye报道的一起冒充政府部门员工的事件有关。目前还未发现任何部门的内部网络受到此次攻击的影响。”政府部门表示到。

许多专家和媒体将这次袭击归咎于俄罗斯APT集团。

威胁行为者使用鱼叉钓鱼攻击,假装成美国国务院官员试图欺骗这些目标,这些攻击手段类似于与俄罗斯有关APT29组织所使用的攻击方式(又名公爵,可爱熊,可爱公爵)。

APT29隶属于APT28网络间谍组织,一起参与了针对2016年美国总统选举的民主党全国委员会的网络攻击浪潮。

此外,许多独立的安全研究人员在Twitter上发布了这一消息,目前他们正忙于分析这一威胁。

查看(据称)#APT29 LNK文件的哈希 2cea2a1f53dac3f4fff156eacc2ecc8e98b1a64f0f5b5ee1c42c69d9a226c55c - 多普通人来说这玩意简单,但有效,刚刚从虚拟机抓到这个软件等,马上测试运行这东西。pic.twitter.com/rpuHZnQ3F6

 -Joe Slowik (@jfslowik) 2018年11月16日


伟大的作品 @jfslowik https://t.co/9ZXf8yfFYa

 -Drunk Binary (@DrunkBinary) 2018年11月16日

攻击者通过散播包含恶意文件的ZIP文件来进行鱼叉钓鱼攻击。这个文件只包含一个具有非凡能力的链接(.LNK)文件。

当受害者双击链接文件时,会启动不同的系统操作:

1.它会运行一个Powershell命令,从LNK文件的隐藏部分中提取另一个Powershell脚本。这payload占据了位置0x0005E2BE到位置0x0000623B6。

22.png

2.第二个脚本会创建两个新文件:一个合法的pdf文档(ds7002.pdf)和一个可能包含实际有效payload的dll文件(cyzfc.dat)。

33.png

PDF文档会写入位置“%APPDATA%LocalTemp”,如果受攻击系统中安装了PDF阅读器,则会自动恶意软件打开。这个动作似乎是一个烟雾弹,目的是迷惑用户,而恶意软件执行一些其他恶意活动。

3.DLL文件会被写入路径“%APPDATA%\Local”,并通过第二个Powershell命令启动。它试图连接“pandorasong.com”地址,并使用HTTPS协议与这个站点交互。该网站目前处于瘫痪状态,因此恶意软件无法继续通信。然而,ZLAB的研究人员截获了对其发送的请求,如下图所示:

44.png

截止到目前为止,因为无法与控制端通信,所以还不清楚恶意软件的真正目的。此外,它似乎没有利用任何技术来获得持久性的后门。

专家将在未来几周发布恶意DLL文件的详细分析。

敬请期待!

恶意软件相关信息

IP:95.216.59.92

网址:pandorasong.com

HASH:

  • cea2a1f53dac3f4fff156eacc2ecc8e98b1a64f0f5b5ee1c42c69d9a226c55c
  • b77ff307ea74a3ab41c92036aea4a049b3c2e69b12a857d26910e535544dfb05
  • b1c811d3f0e930b0096a9e785f730ba4d92458bd6dcfbdff4cf7a1e247ef20d1

文件名:

  • ds7002.lnk
  • %APPDATA%\Local\cyzfc.dat
  • %APPDATA%\Local\Temp\ds7002.pdf
原文链接:https://securityaffairs.co/wordpress/78195/apt/apt29-malware-analysis.html

最新评论

昵称
邮箱
提交评论