写在前面得话

Sednit机构，也被称作APT28、Fancy Bear、Sofacy或STRONTIUM，从2004年起该机构一直活跃性迄今，并且只需该机构参加的黑客攻击主题活动一般都大会上报刊今日头条。在2019年8月20日，该机构又启动了一波新的黑客攻击主题活动，而这一波进攻主题活动对于的也是Sednit机构的老“目标”：东欧其他国家和中亚地区的使馆和中国外交部。

下面，我们一起追随ESET的科学研究工作人员看一看，Sednit的攻击者们又往Zebrocy恶意手机软件大家族中增加了什么新式的进攻部件。

剖析简述

本次这一波新式的黑客攻击由一封包括了恶意配件的互联网钓鱼邮件做为进攻逐渐的起始点，在其中的恶意配件能够运行一系列恶意部件下载器，并最后做为侧门执行。科学研究工作人员现阶段早已在2019年8月22日向VirusTotal提交过一份恶意电子邮件样版了，Telsy TRT也对主题活动的进攻空间向量开展了剖析，很感兴趣同学们能够点一下【这儿】掌握大量。

如同别的科学研究工作人员预测分析的那般，Sednit机构在她们的恶意手机软件部件中增加了一种编程语言适用，更精确的而言，是她们对于恶意Payload下载器提升了Nim語言适用。但是，Sednit的攻击者仍在勤奋健全她们的Golang下载器，而且将以前选用Delphi开发设计的侧门用Golang重新构建。

繁杂的侵入主题活动

下面的图表明的攻击者一步一步完成取得成功侵入的全过程，即从一开始总体目标客户在发件箱中接到恶意电子邮箱，到最后在总体目标客户的机器设备上布署侧门：

当总体目标客户遭受Zebrocy感柒以后，全部攻击链会非常复杂，由于攻击者会在最后的Payload被执行以前，在总体目标机器设备上安裝最少六个恶意手机软件部件。因而，这类种类的进攻主题活动很容易被网络安全产品标识。

科学研究工作人员发觉，钓鱼邮件中带上的配件文档实际上是一份空缺文档，但这一恶意文档引入了一个代管在Dropbox上的远程控制模版：wordData.dotm。应用Word开启这一文档以后，它可能免费下载wordData.dotm，并将其合拼到有关文档的办公环境中，在其中还包含模版中掩藏的內容，详细情况如下图所显示：

wordData.dotm文档中还包括恶意宏，文档被开启后恶意宏也将被执行，但是实际将在于总体目标机器设备中Microsoft Word的版本号，有的版本号默认设置会禁止使用VBA宏作用，假如被禁止使用得话，恶意手机软件还会继续提醒客户启用宏作用。此外，恶意文档中还包括一个置入的ZIP压缩包（恶意宏在执行以后会对其开展缓解压力获取实际操作）。

如第一张截屏所显示，wordData.dotm中的宏会开启另一个文档：lmss.doc，而lmss.doc文档必须恶意宏从wordData.dotm中获取出去。lmss.doc中的恶意宏辉执行lmss.exe，也就是Zebrocy全新的Nim下载器，它一样是以wordData.dotm中获取出去的，并且wordData.dotm并不会立即执行下载器。

必须留意的是，lmss.doc中包括的VBA编码能够执行新式的Nim下载器，并且它还置入了一个Base64编号的可执行程序流程，依据其文档特性，lmss.doc建立于2019年1月份，而且在8月20日开展过改动，也就是本次进攻主题活动逐渐前的好多个钟头：

lmss.doc中置入的可执行程序流程是一个Autolt下载器（SHA-1: 6b300486d17d07a02365d36b673cd6638bd384f3），这一下载器在这儿没啥功效，也就是让文档越来越更大了些，很可能是由于攻击者忘记把它删除了，总之Sednit的人也常常干这类事儿。

下载器剖析

Sednit的攻击者曾应用过多种多样选用不一样語言开发设计的下载器，在本次主题活动中应用她们应用的是全新的一款，即选用Nim語言开发设计的下载器。她们在这个下载器中增加了2个特点，第一个便是反沙盒技术性，而且检验可执行文档的第一个英文字母（十六进制0x7c）是不是被伪造过。

另一个特点便是代码混淆，攻击者应用了代码混淆技术性来重新构建恶意部件的URL详细地址字符串数组，以提升静态数据分析工具的剖析难度系数：

接着，Nim下载器会从这当中获得动态链接库（DLL） Payload：ospsvc.dll，随后拷到“C:\\ProgramData\\Java\\Oracle\\”，最终根据regsv*** /s将其以服务项目的方式执行。

ospsvc.dll是一个选用Golang撰写的下载器，它跟先前Sednit应用过的下载器有非常大不一样。

Sednit以前应用的Golang下载器会搜集很多总体目标机器设备的信息内容，并将其发送到C2网络服务器。但这一个下载器在数据采集层面汽车轻量化了许多。它的main_init()涵数包括的库会复位下述涵数，下述涵数的作用和功效想来大伙儿能够立即看得出：

因为DLL Payload是以服务项目的方式运作的，因此 大家必须细心看一下main_DllRegisterServer()涵数：

在进攻的下一个环节，恶意手机软件会获得总体目标机器设备桌面上的屏幕截屏，并执行攻击者根据C2服务器发送回来的指令。截屏实际操作自下载器执行以后逐渐，每35秒截屏一次，随后以Base64编号方式发送到C2网络服务器。C2网络服务器的回应信息格式以下：