APT MuddyWater 伊拉克 KorekTelecom POWERSTATS
【微步在线报告】伊拉克电信公司遭到MuddyWater组织定向攻击
微步情报局 2019-03-21 21:01:44 2068人浏览

TAG:高级可持续攻击、APT、MuddyWater、伊朗、伊拉克、电信、KorekTelecom、POWERSTATS

TLP白(报告转发及使用不受限制)

日期:2019-03-21

一、概要

中东一直是APT攻击的高发区,而被怀疑具备伊朗背景的APT组织更是尤为活跃。MuddyWater被怀疑是来自伊朗的黑客组织,该组织自2017年9月开始活跃,主要针对中东地区的政府、电信及能源企业进行攻击。

近期,微步在线狩猎系统捕获到MuddyWater组织的多起攻击活动,分析之后发现:

1) 2019年3月中旬,中东地区再次遭到MuddyWater攻击,其中受害者包含伊拉克电信公司KorekTelecom。

2) 攻击者以鱼叉式网络钓鱼邮件为入口,以包含恶意宏的DOC文档作为载体,投递基于PowerShell的POWERSTATS后门,该后门具备下载文件和命令执行等功能。

3) 微步在线通过对相关样本、IP和域名的溯源分析,共提取4条相关IOC,可用于威胁情报检测。微步在线的威胁情报平台(TIP)、威胁检测平台(TDP)、API等均已支持此次攻击事件和团伙的检测。

二、详情

基于黑客画像和狩猎系统,微步在线实现了对全球150多个黑客组织持续监控。近期,微步在线狩猎系统捕获到MuddyWater组织的多起攻击活动。MuddyWater被怀疑具备伊朗背景,该组织青睐使用基于脚本的后门进行攻击,自被披露以来一直保持着很高的活跃度。

活动一:针对伊拉克KorekTelecom电信公司的攻击活动。

邮件发件人与收件人均为该司员工邮箱,且邮件服务器IP为该司内网IP,推测攻击者可能已攻陷该司员工的电脑,用来发送钓鱼邮件。相关邮件如下:

image.png

邮件附件为RAR压缩包,包含Missan dashboard.doc和Missan Dashbord..xlsx两个文件,其中Missan Dashbord..xlsx是一个正常的XLSX文档,不包含恶意代码,Missan dashboard.doc是一个包含恶意宏的DOC文档。Missan dashboard.doc打开界面如下图所示,以模糊图片诱导启用宏是MuddyWater的常用手法。

image.png

Missan Dashbord..xlsx打开界面如下图,该文档内容包含的Team Leader的名字与邮件中抄送的某员工相同。

image.png

活动二:诱饵文档Gladiator_CRK.doc打开界面如下:

image.png

活动三:诱饵文档ImportantReport.doc打开界面如下:

image.png

三、样本分析

下面以Missandashboard.doc为例进行分析,该样本基本信息如下:

SHA256 93b749082651d7fc0b3caa9df81bad7617b3bd4475de58acfe953dfafc7b3987
SHA1 b0ab6ce3d044a1339a705f233e113c44a1bced10
MD5 806adc79e7ea3be50ef1d3974a16b7fb
文件大小        471 KB
文件格式 DOC
文件名 Missan dashboard.doc

3.1 该样本整体执行流程如下:

image.png

3.2 启用宏之后,会调用Document_Open函数,然后调用test函数,宏代码如下:

image.png

3.3 test函数会调用样本中的Macros/UserForm1/o中的代码:

image.png

3.4 Macros/UserForm1/o中的代码最终会释放两个文件到“c:\windows\temp\picture.jpg”和“c:\windows\temp\icon.ico”,其中picture.jpg储存了Base64编码后的PowerShell后门脚本,并且在启动项“HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\UpdateService”中写入解密并调用picture.jpg代码的PowerShell脚本。

image.png

3.5 PowerShell后门“picture.jpg”分析:

1)PowerShell脚本使用多层混淆来隐藏其实际功能,在对PowerShell脚本的内容进行反混淆处理后,代码中部分用于加密的常量和C2如下:

image.png

2)PowerShell代码首先会获取系统相关信息(IP地址、系统版本、主机名、公网IP等):

image.png

3)然后计算字符串Hash值,通过“**”连接系统信息字符串,代码如下:

image.png

4)使用密钥“$cevingr = 959, 713”对系统信息进行加密,相关加密算法如下图:

image.png

5)加密完成后通过GZIP压缩,并调用POST请求发送到C2服务器进行上线,循环发送上线包,直到服务器返回“done”字符串,相关代码参数如下图:

image.png

6)上线后脚本会循环发送根据前面获取的系统信息计算出的Hash到C2服务器,并且从C2服务器获取命令执行,截图如下:

image.png

7)如果成功获取到命令,则使用“~~!!~~”对命令进行分割,后门共支持三种格式的命令,分别为“upload”、“cmd”、“b64”,其中“upload”命令能够远程下载文件,“cmd”命令则执行“cmd /c”指令,“b64”则是从服务器获取Base64编码的命令解码后执行,代码如下:

image.png

8)命令格式XX~~!!~~ upload,其中XX是由服务器发送的字符串,命令参数附加在upload尾部,解析时通过upload字符串保留URL,其他命令格式相同:

命令 功能
XX~~!!~~ upload 实现远程下载文件,执行pwd返回给C2服务器
XX~~!!~~cmd 执行带/c参数的cmd命令
XX~~!!~~b64 执行Base64编码的PowerShell命令,并返回给C2服务器

四、关联分析

三个诱饵文档最终释放的后门相同,都是基于PowerShell的POWERSTATS后门,POWERSTATS为MuddyWater组织所有。结合此次攻击相关的TTPs,判断背后攻击者为MuddyWater。

此次最终投递的PowerShell后门与此前披露的POWERSTATS后门相比,具备相同的加密算法结构、相同的加密密钥和相同的系统信息连接字符串。相关对比如下图:

image.png

image.png

image.png

威胁指标(IOC)
ip地址(1) 威胁情报数目 开放端口 所属域名 相关样本 微步标签 < 1/1 >
匿名用户 2019-03-25 08:53:53 回复
good
匿名用户 2019-04-15 14:45:26 回复
g
chacha 2019-03-24 12:03:46 回复
gg
一杆烟枪 2019-03-22 17:18:26 回复
g