魔鼠行动(Operation TrickyMouse)-以新冠病毒为主题攻击乌克兰

魔鼠行动(Operation TrickyMouse)-以新冠病毒为主题攻击乌克兰

Hades组织至今没有一个非常明确的定论,根据已有披露的信息,一种被认为可能来自朝鲜,又有一种说法认为和俄罗斯组织APT28有关。该组织最早发现并披露是因为2017年12月22日对韩国平昌冬奥会的攻击,使用了命名为“Olympic Destroyer”的恶意软件。

后续国外友商又发现了几起Hades的攻击活动。攻击目标包括俄罗斯、乌克兰和其他几个欧洲国家,俄罗斯金融部门、欧洲和乌克兰的生物和化学威胁预防实验室等都是其瞄准的对象。

分析

近期,安恒威胁情报中心猎影实验室监测到一起以“COVID-19”(新型冠状病毒肺炎)为主题的恶意攻击,攻击目标指向乌克兰。

这次攻击采用了带有恶意宏代码的伪装文档。标题为“Коронавірусна інфекція COVID-19.doc”(冠状病毒感染COVID-19.doc)。文件内容仿制乌克兰卫生部公共卫生中心。

未启用宏,打开该文档为一个提示页面,

p1.png

启用宏后,显示出文档内容。

p2.png

恶意宏代码最终会在用户目录下释放“conhost.exe”恶意程序并执行。

process.png

恶意程序conhost.exe由C#编写,并硬编码了一个回连地址

  • https://cloud-security.ggpht[.]ml

C2.png

这个程序看上去是个远控程序,包含了一些功能如下:

  • 收集用户名、机器名、网络适配器等信息

baseinfo.png

  • 获取进程信息

procinfo.png

  • 键盘记录

keylog.png

  • 屏幕信息

screen.png

其它行为还有如注册表操作

  • “cmd.exe” /c REG ADD HKCU\Console\%SystemRoot^%_system32_cmd.exe /v CodePage /t REG_DWORD /d 65001 /f

似为解决编码问题

reg.png

  • Socks5指令,似使用socks5

socks5.png

  • Klg指令,似键盘记录功能的启动、停止和更新

klg.png

另外还发现了一串比较有意思的字符串

Trick: TrickyMouse

猜测可能为行动代号。

trickymouse.png

组织分析

经过一定的分析发现本次活动可能和Hades有一定的关联。具体分析如下。

宏的相似与关联

本次攻击的诱饵文档使用了恶意宏代码,

通过相似性分析可以发掘出一些相关样本,

MD5
e2e102291d259f054625cc85318b7ef5
cd15a7c3cb1725dc9d21160c26ab9c2e
0e7b32d23fbd6d62a593c234bafa2311
4247901eca6d87f5f3af7df8249ea825
e3487e2725f8c79d04ffda6de9612e25
1d0cf431e623b21aeae8f2b8414d2a73
e160ca75a0e8c4bc9177f412b09e7a29
7f327ae9b70d6a2bd48e20c897f7f726
5ba7ec869c7157efc1e52f5157705867

这几个样本都归属于Hades组织,并且使用的宏代码大同小异,基本一致。

以e2e102291d259f054625cc85318b7ef5样本为例,将该样本暂时命名为“Hades样本1”,来和本次攻击样本的宏代码进行比较。

在初步观察下可以发现本次攻击和Hades样本都使用了结构相似的随机的变量名,并且一些字符串都转成了十六进制字符串的形式。

m1.png

再看上图中,两个样本使用的函数,本次样本为

  • “documenT_oPen”

虽然是一个较通用的名称,但也稍作处理。

而Hades样本1中显示的为

  • “MultiPage1_Layout”

表现出明显的结构相似性,这一点也曾被作为Hades的一个重要指标之一。

并且宏的内容和函数行为表现出极大相似性。

再细看一点,Hades样本中将该函数的一部分单独提取出作为一个独立函数,而这次样本连续在了一起,并且使用了一些相同的特性,如使用了相同的Font Color。

m2.png

另外还使用了相同的解码函数

m3.png

可以看到结构基本是一致的。

文档特性的关联

Hades的历史样本文档有一些会嵌入Hyperlinks(超链接)形式的文档内容,使诱饵文件更加真实,如

MD5 Hyperlinks
0e7b32d23fbd6d62a593c234bafa2311 lisa.brueggemann@babs.admin[.]ch, https://www.labor-spiez[.]ch/pdf/en/rue/LaborSpiezConvergence2016_02_FINAL.pdf, https://www.labor-spiez[.]ch/pdf/de/rue/Spiez_Convergence_2014_web.pdf
cd15a7c3cb1725dc9d21160c26ab9c2e http://shopster[.]ua/
4247901eca6d87f5f3af7df8249ea825 http://moz.gov.ua/uploads/1/5534-dn_20180611_1103_dod.pdf

而本次攻击样本也嵌入了Hyperlinks,

MD5 Hyperlinks
74572fba26f5e988b297ec5ea5c8ac1c https://hub.jhu[.]edu/2020/01/23/coronavirus-outbreak-mapping-tool-649-em1-art1-dtd-health/, https://www.ecdc.europa[.]eu/en/novel-coronavirus-china, https://www.who[.]int/emergencies/diseases/novel-coronavirus-2019, https://www.who[.]int/emergencies/diseases/novel-coronavirus-2019, https://www.kmu.gov[.]ua/npas/pro-zahodi-shchodo-zapobigannya-zanesennyu-i-poshirennyu-na-teritoriyi-ukrayini-gostroyi-t030220, https://phc.org[.]ua/kontrol-zakhvoryuvan/inshi-infekciyni-zakhvoryuvannya/koronavirusna-infekciya-covid-19
8d8e5a09fe6878f133b3b81799d84e27

在文档展现方面,Hades的一些样本也会进行一定的伪装,在宏代码未被执行前,文档内容

为带有提示性质的内容或空白文档,在宏代码执行后更多的伪装信息被表露出来。

如Hades的0e7b32d23fbd6d62a593c234bafa2311样本,

p3.png p4.png

本次攻击也表现出这种形式。

进化的User-Agent?

回到释放的载荷来进行观察。

在Olympics攻击活动中发现的第二阶段有效载荷命名为“Gold Dragon”,还有几个样本braveprince、Ghost419和“Gold Dragon”有关联。

在攻击活动中“Gold Dragon”使用的User-Agent为

  • Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; Trident/4.0; .NET CLR 1.1.4322)

proxy_gold.png

本次攻击活动使用的conhost.exe使用的User-Agent为

  • Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.2; Win64; x64; Trident/6.0; .NET4.0E; .NET4.0C; Microsoft Outlook 15.0.5023; ms-office; MSOffice 15)

proxy.png

看上去像是一种版本升级和进化。

综上有一定的理由怀疑这次攻击的背后组织为Hades。

更进一步

在关联分析中发现了另外一些样本,如

MD5 载荷远程下载地址
047a0c1e472ec2f557a84676982465c9 http://www.momplet[.]com/eco/Pablo/bin.exe
73874b9b5019f2224b4506f892482760 http://comproorosilver[.]es/js/bin.exe

也是带有恶意宏代码的伪装文档。这两个样本存在的时间比较早,为2014年10月份。

并且这两个文件的宏代码结构是一致的。

观察发现样本的宏和前面分析的宏代码有一定相似性,以样本

047a0c1e472ec2f557a84676982465c9为例,

使用“Auto_Open”、“Workbook_Open”函数名,当然这些名称非常常见。

C83343FC-BBC0-4FB1-8904-971046D6139F.png

使用随机的变量名和十六进制处理的字符串,

047a0c1e472ec2f557a84676982465c9_2.png

使用和前面分析的有相同结构的解码函数。

047a0c1e472ec2f557a84676982465c9_3.png

不得不怀疑和Hades是否有一定联系。

并且这两个样本还会远程下载恶意载荷并执行。

下载链接为

  • http://www.momplet[.]com/eco/Pablo/bin.exe
  • http://comproorosilver[.]es/js/bin.exe

这两个网站似为合法的网站,被攻击者利用。在Hades的多个攻击活动中也是利用攻入的合法网站作为C2或分发中转。

这两个文档的作者,都是“facepa1m@live[.]ru”,LanguageCode为Russian。充分说明Id为“facepa1m”的作者来自俄罗斯。

并在Github上发现了一个同ID的用户,仅在2016年创建过一个仓储,内容是空的,不过仓储名称calc引发了一定的联想。

86773E17-592B-455A-B29A-9C40F91C03BF.png

当然并没有充分证据证明这两者是确定关联的。

另外这个ID还出现在了一些比特币相关的网站或论坛,如

5F452987-2A84-4F17-B1A8-FECFDD8647E3.png E7C88DF2-03C0-4FA9-8937-ED1B5E0A7229.png

有意思的是,在国外友商卡巴斯基在对OlympicDestroyer攻击活动进行披露时提到Hades组织疑似使用NordVPN和MonoVM的主机服务,NordVPN提供VPN服务,并且是为比特币提供受隐私保护的服务,MonoVM是比特币提供商的VPS。这两个服务都可用于比特币。那么这会是一个巧合么?

根据“facepa1m@live[.]ru”这个作者名称,还可以关联到一个名为Informazioni10221419.doc

的样本(MD5:b86526bed4bf9cb034baff0403617856),根据文件属性,可以看到它的Company属性为“SPecialiST RePack”,

4E8B6FB6-F4A2-4A2F-A566-226716CA9F8A.png

SPecialiST RePack是俄罗斯的数字出版商,用于重新包装软件。据悉以该软件商包装的软件是大量感染文件和产品的来源。这里或许仅是使用了SPecialiST RePack重新包装的Office软件。

另一个值得关注的点,文档的创建时间和最后修改时间是一样的,并且最后修改者为“durdom”,

D092D89A-CD8A-4091-A274-AED179B9DC2F.png

这可能是一个有故事的名字。

小结

由于本次攻击载荷中出现的特殊字符串“Trick: TrickyMouse”,我们将这次攻击命名Operation TrickyMouse,即魔鼠行动。

IOC

Hash:

53b31f65bb6ced61c5bafa8e4c98e9e8

74572fba26f5e988b297ec5ea5c8ac1c

8d8e5a09fe6878f133b3b81799d84e27

0acecad57c4015e14d9b3bb02b433d3e

2dfb086bc73c259cac18a9cb1f9dbbc8

C2:

cloud-security.ggpht[.]ml