安天针对绿斑组织近期APT攻击活动的分析报告

概述

近期,安天CERT在梳理安全事件时,发现一批针对我国政府、科研等机构的鱼叉邮件攻击活动。经分析,这批攻击活动的手法和代码与2019年的绿斑组织活动基本一致。鱼叉邮件中多数为钓鱼链接,目的是钓取目标邮箱账户和密码信息,钓取成功后转向一个下载页面,下载到的均为看似来自官方的正常文件。另有少数邮件带有压缩包附件,里面包含的恶意文件负责释放后续的窃密程序。我们基于已掌握的数据进行汇总、梳理、分析并形成本篇报告。

通过溯源分析发现,存在部分邮件、文档的正文和钓鱼网页的源码包含有繁体中文字,多封邮件的发件IP位于中国台湾地区,邮件字体的格式为台湾地区特有的“新細明體”,这些痕迹意味这批活动背后的攻击者可能来自中国台湾。相关攻击活动特征总结如下:

表1-1 攻击活动特征

鱼叉邮件分析

目前观测到的鱼叉邮件主要有两种模式:正文投递钓鱼网站链接、附件投递木马文件。攻击者注册了多个163邮箱,伪装成民间智库项目经理、猎头顾问、采访者、产业联盟主任等身份发送针对性攻击邮件,在正文的末尾附上以“从QQ邮箱发来的超大附件”、“微云的文件”或“从网易163邮箱发来的云附件”等为标题的钓鱼链接,欺骗攻击目标点击打开,或者直接发送包含恶意代码的RAR附件,欺骗攻击目标下载打开。

图2-1投递钓鱼链接的邮件

图2-2投递恶意压缩包的邮件

钓鱼网站分析

根据安天的监测,这些大规模的邮箱钓鱼攻击活动至少开始于2018年,页面非常具有欺骗性。攻击者在获取受害者输入的账号密码后,一般很快会使用代理(有时用Opera浏览器自带VPN)做登录验证,后续可能会翻阅邮件提取价值,监测受害者动向,以至借此账号向其他目标发送攻击邮件。目前发现的钓鱼网站绝大多数使用动态域名,服务器基本购买自VPS提供商Vultr,按照钓鱼网页的形式主要分为两类:

1.伪装成常用邮箱的“云附件”登录页面,窃取受害者输入的凭证后,跳转至无毒文件的下载页面。

2.伪装成目标单位的官方邮箱网站。

钓鱼类型1

类型1钓鱼页面:例如网页伪装成“QQ邮箱中转站文件”,弹出窗口提示受害者输入常用邮箱的账号和密码,点击“验证下载”后跳转至文件下载页面,受害者可以下载到一份貌似来自官方的无毒文件,让整个过程看起来较为真实。

图3-1 类型1钓鱼案例

图3 2 跳转至网盘下载无毒文件

图3-3 下载到的白文档内容

实际上“邮箱帐号安全验证”是个盗号窗口,该窗口由“qqframe.html”实现,受害者输入的帐号密码会被发送到钓鱼网站本地的“login.php”,最终到达攻击者手中。

图3-4 盗号窗口

图3-5 钓鱼源码

此外,还有主题伪装成“网易云附件下载”的钓鱼网站,同QQ邮箱钓鱼手法一样,受害者输入网易邮箱的账号密码点击“登录”后,跳转至文件下载页面,也能下载到一份貌似来自官方的无毒压缩包。

图3-6 类型1钓鱼案例

图3-7 跳转至网盘下载无毒文件

图3-8 下载到的白压缩包内容

这里的盗号窗口由“input.html”实现,用于向钓鱼网站本地的“login.php”发送受害者输入的帐号密码。

图3-9 钓鱼源码

统计观测到的多种钓鱼网站,可列举出以下文件名的附件,目前获取到的所有附件都不包含恶意代码,内容大多根据目标定制,看起来非常像官方文件,部分文件名列表如下:

表3-1 观察到的白文档

钓鱼类型2

类型2钓鱼页面:伪装成攻击目标的官方邮箱网站,受害者输入账号密码点击“登录”后,钓鱼网站跳转到真正的官方网站,刚才输入的账号密码已发往钓鱼网站本地的“castc.php”文件,最终被攻击者窃取。

图3-10 类型2钓鱼案例

图3-11 钓鱼源码

恶意附件分析

邮件的恶意附件是RAR格式的压缩包,包含一个白文档,一个恶意快捷方式和一个恶意RTF文档,以其中一个典型压缩包为例:

图4-1压缩包附件的内容

白文档(军转干部安置政策.docx)的内容根据攻击目标定制,使之看起来像来自于官方。

恶意LNK文件(军转干部的待遇总表.rtf.lnk)的执行对象指向mshta程序以运行远程的恶意HTA脚本,但目前该链接已失效,无法继续分析。

图4-2 恶意LNK的内容

RTF文件(军转干部的待遇规定.rtf)嵌入了一个窃密程序,当RTF被打开的时候会释放窃密程序到Windows临时目录(RTF里如果嵌入了文件, word在打开RTF文件的时候会把该文件释放到%temp%目录),但该窃密程序无法执行(即RTF文件非格式溢出漏洞),通过目前的分析推测,该窃密程序可能是通过恶意LNK文件执行的HTA脚本执行,脚本运行后打开RTF文件,随后执行临时目录下释放的窃密程序。

窃密程序使用VC++语言编写,编译时间为2019年12月12日,所属的木马家族至少从2019年开始活跃。程序运行后会利用SSE指令解密C2地址和端口,然后与C2建立连接、遍历磁盘,避开重要目录,搜索后缀名称为doc、docx、csv、lnk的文件(早期样本会搜寻更多:doc、docx、ppt、pptx、xls、xlsx、pdf、txt、jpg、rar、7z、zip),并将文件信息和内容异或加密后发送到C2。

表4-1 窃密样本标签

窃密样本分析:

1、样本使用SSE指令解密C2地址和端口,随后尝试连接。

图4-3 解密C2

图4-4 尝试连接

2、连接成功后,样本会向C2发送上线数据,发送的数据为10个0x00。

图4-5 发送数据

图4-6 发送的数据

3、样本判断返回的数据是否为“AUgO”,并根据结果执行相应指令。

图4-7 发送数据判断

4、如果返回的数据不为“AUgO”,样本会递归遍历磁盘,并避开系统及程序目录,在其他的目录中查找doc、docx、csv、lnk文件。

图4-8 查找文件类型

图4-9 避开目录查找文件

5、找到指定类型文件后,首先会判断文件的最后修改时间,如果最后修改时间是在一定时间内,会将文件名和文件大小以“LatsRo Beta:%s\\ BiSm:%ld”格式格式化后加密发送到C2中。

图4-10 发送文件名

6、文件名和文件大小格式化后的加密方式为与固定的key进行异或运算。key的长度为0xD2。

图4-11 加密方式

图4-12 key

7、文件信息发送到C2后,会将文件内容以每个包4k大小拆分后加密发送到C2。

图4-13 发送内容

8、发送的内容使用的加密方式与发送文件信息时使用的加密方式相同,也是与固定的key(长度为0xC),按字节异或操作,二者不同的地方在于使用的key不同。

图4-14 发送内容加密

9、发送文件后,样本会发送指定字符串到C2,字符串同样使用异或方式加密,密钥长度为0xD2。

图4-15 加密并发送

10、在未执行的分支部分,主要是对注册表的信息(软件安装列表)的读取。样本首先会发送另一个加密的字符串到C2,随后发送指定注册表项的键值,二者的加密方式相同,和发送文件名的加密方式也相同,按位异或0xD2长度的字符串。

图4-16 加密字符串并发送

图4-17 对注册表信息窃取加密并发送

溯源分析

通过溯源分析发现,这批攻击活动背后的攻击者可能来自中国台湾地区。

1. 钓鱼网站的网页源码存在繁体中文的注释,多例白文档的默认字体为“中国(台湾)”。

类型1钓鱼页面的网页源码中,存在以下繁体中文的注释:

图5-1 网页源码中的繁体中文字

图5-2 白文档的默认字体为中文(台湾)

2. 多封鱼叉邮件的发件源IP位于中国台湾地区。

目前已发现9封攻击邮件的发件源IP位于中国台湾地区台北市:

表5-1 中国台湾地区的发件IP

3. 部分邮件正文的简体字句中存在繁体字,字体格式为台湾地区特有的“新細明體”。

所有的攻击目标都位于中国大陆,因此攻击邮件的正文都写成简体中文字,但也有如“错别字”般的个别繁体字留落其中,例如将“附件档”写成“附件檔”,“中国”写成“中國”。

图5-3 简体字句中的繁体字

部分邮件的正文字体默认为“新細明體”,“新細明體”字体为台湾软件公司威锋数位制作,只为支持繁体中文的内容显示,集中使用于中国台湾地区。

图5-4 邮件正文字体为新細明體

4. 通过一段时间的分析与检测,我们发现疑似攻击者登陆该邮件确认账号密码有效性,登陆IP为77.111.***.***,经过分析得知,该IP在2019年迄今一直是作为Opera Mini浏览器自带VPN功能的官方代理IP。

图5-5 疑似攻击登陆陷阱邮箱记录

图5-6 登录IP为Opera浏览器官方VPN代理

威胁框架视角的攻击映射

本次系列攻击活动共涉及ATT&CK框架中的7个阶段19个技术点,具体行为描述如下表:

表6-1 近期绿斑攻击活动的技术行为描述表

将涉及到的威胁行为技术点映射到ATT&CK框架如下图所示:

图6-1 近期绿斑攻击活动对应的ATT&CK映射图

小结

绿斑攻击组织在长时间内表现出有坚定持续的攻击意志,是一个主要面向国防军工领域范围的APT攻击组织。和安天披露的其他攻击组织相比,该组织的特点是在漏洞积累方面资源较为贫乏,历史上除极少数利用的0day漏洞外,基本上以使用陈旧漏洞为主,但该组织的社会工程技巧能力非常强,善于运用邮件入口构造与收件人高相关性内容,依托社工技巧诱导被攻击者打开相关链接或载荷来实施攻击。

可以看到,整体上邮件系统作为一种高暴露的安全资产和入口,往往是APT攻击组织的一个重要的入口点,从目前来看暴露出了四个问题:第一,目前存在一些在公务和科研活动中使用个人信箱的情况;第二,在当前整个的邮件安全环节上,缺少有效的防护体系;第三,在端点上缺少能够有效对抗APT相关攻击的解决方案;第四,相应的防卫目标没有覆盖重要科研和相关人员的个人电脑和相关信息资产。因此,结合以上问题我们提出以下四点应对建议:

明确机构和个人邮件安全使用的边界和安全要求。

将安全感知和防护范围扩展到关键人员的个人设备和家庭信息环境中。