背景

近日安恒在日常安全巡检过程中捕获了一个恶意LNK文件，通过关联分析，锁定了一个具有芬兰背景的黑客组织，根据已知信息的统计结果，已经有俄罗斯，乌克兰等地被攻击。

该黑客组织自研的特马通过主机信息判断和字符的拼接、解密等操作，具有较强的免杀特性。

样本分析

第一阶段

一个lnk文件作为初始诱饵，以疫情为内容，采用俄语内容，因此判断本次捕捉到的攻击针对俄罗斯：

执行lnk文件后会上传本地基本信息（systeminfo获取），然后从webdav.mydrive.ch网盘下载后续载荷，下载的载荷是一个dll，使用rundll32加载后调用rFUKXvMGdgzx函数：

第二阶段

主要负责载荷的释放和权限维持。

释放随机文件名的cab文件到setSync路径，设置定时启动：

内部编码完全加密存放：

第三阶段

此阶段分为三个子组件，分别使用三方crul程序、SMB协议、HTTP协议实现了基本相同的功能。

3.1 三方程序Curl组件

3.1.1

依然是一个启动器，主要用来解密并使用cmd启动下一阶段载荷

对计算机域名和用户名长度进行了判断，不在域中则不进行操作：

该阶段还采用了多级文本拼接解密处理技术，并且由于沙箱一般是非域环境，使得查杀率非常之低：

解密出一段powershell，作为下一阶段载荷执行。

使用SecureString继续解密同路径下xml的文件内容，解密出powershell后继续执行：

3.1.2

第二段powershell，使用第三方程序curl实现了基本信息获取、指令执行等功能。

时区判断，不对-8和1时区的大部分电脑进行操作，推测是避开美国和黑客所在欧洲国家：

检查是否在虚拟机中：

获取基本信息并上传：

指令拉取和执行：

3.2 SMB协议组件

该组件被释放到路径：“${env:appdata}\Microsoft\WinUpdate”。

同样的套路，dll解密powershell，然后powershell解密同路径下的某个文件，解密并执行执行powershell，因此只讨论最终解密后的powershell：

这个powershell和上面的基本相似，但是使用了不同的协议，因此判断为为了兼容性而做的冗余系统：

3.3 HTTP协议组件

该组件被释放到路径：“${env:appdata}\WCMSVC”。

套路相同，该组件同样最终执行powershell，实现数据回传和载荷拉取：

第四阶段

我们在其中的一个网盘上发现了部分针对俄罗斯某公司的攻击载荷，进一步收集信息，包括共享资源等：

进一步搜集信息过程中，密码窃取部分使用了python脚本实现，该脚本使用“https://github.com/dashingsoft/pyarmor”进行混淆处理，确认是LaZagne Project最新版本密码恢复工具：

关联分析

我们统计了部分网盘信息，发现网盘提供商使用的语言包括法语、英语、德语等。

对网盘的登录IP做分析，确认早期的一些IP都归属于芬兰：

芬兰语属于乌拉尔语系芬兰-乌戈尔语族，是一种黏着语。由于和其他欧洲语言的语系都不同，词根和绝大部分其他欧洲语言差别很大，所以经常被欧美人认为是比较难学的语言。也因为如此，以芬兰语为母语的人民往往会学习两三种其它语言，以利交流。综上我们判断该黑客组织归属于芬兰。

进一步追踪，网盘中所有关联到的邮箱域名全部都解析到了45.55.104.203这个IP，观察该IP的活动记录，攻击实施可能是从2020年3月25日左右开始：

本轮攻击时间应该是2020年6月15日左右：

相关人员使用的StackExchande账号如下，名叫Charles：

IOC