WIRTE 鱼叉攻击
【微步在线报告】WIRTE组织以“药品信息”为饵,再对中东地区展开攻击
微步情报局 2021-02-25 17:14:53 2936次浏览

一、概述

WIRTE组织至少在2018年8月开始进行间谍活动,最早是由S2 Grupo安全人员在取证中所发现,活动一直持续针对中东地区目标,涉及约旦、巴勒斯坦等不同国家的国防、外交、司法等部门。此外,根据思科的调查攻击者通常在早晨(中欧时区)活跃,这意味着攻击目标可能与该地区的地缘政治环境有关。

该组织攻击者十分注重资产的隐蔽,攻击者使用信誉良好的CloudFlare系统来隐藏其基础架构的性质和位置。根据国外安全厂商的取证研究,攻击者通常在攻击阶段部署了多个侦查脚本以检查受害者计算机的有效性,从而阻止了不符合其条件的系统。

该组织通常在攻击活动中投递携带有恶意宏代码的表格文档诱饵,在目标受害者触发宏代码后广泛使用脚本语言(VBScript、PowerShell、VBA)作为攻击的一部分,最终通过Empire框架进行下一阶段的攻击。除此,该组织早期也曾投递过VBS类型的诱饵,加载后会释放出Doc文档迷惑受害者。

微步情报局近期通过威胁狩猎系统捕获到WIRTE组织再次针对中东地区的攻击活动,分析有如下发现:

· 攻击者以“国家社会保障基金-原始和非专利药品相同的清单-药品品牌(B)和普通药品(G)-2020-12-17”为诱饵进行鱼叉攻击;

· 投诱饵文档采用“Excel 4.0 Macros”方法将宏代码隐藏在表格之中,此方法宏代码难以发现并且在部分office版本中“禁止启用宏”依旧可以正常执行;

· 宏代码执行后下一阶段攻击使用VBScript、PowerShell、VBA作为后门的编写语言,并且最新的攻击中加入了检测杀软的代码逻辑;

· 微步在线通过对相关样本、IP和域名的溯源分析,共提取5条相关IOC,可用于威胁情报检测。微步在线威胁感知平台TDP、本地威胁情报管理平台TIP、威胁情报云API、互联网安全接入服务OneDNS等均已支持对此次攻击事件和团伙的检测。

二、详情

微步在线最近捕获到一起以“国家社会保障基金-原始和非专利药品相同的清单-药品品牌(B)和普通药品(G)-2020-12-17”作为诱饵内容的攻击。

诱饵截图

图片1.png

手法流程图

图片2.png

三、样本分析

基本信息

样本名称
اللائحة الجنيسية.xls(国籍规定.xls)
样本格式
Microsoft Excel sheet
SHA256
8bd23bbab513e03ea1eb2adae09f56b08c53cacd2a3e8134ded5ef8a741a12a5
SHA1
d5aaa419e24acbc15df58f2eb978a8137396b750
MD5
ecaaab9e2fc089eefb6accae9750ac60
C2
stgeorgebankers.com

样本分析

1、样本使用了“Excel 4.0 Macros”的方法将宏代码存放在表格的单元中,通过编辑XLS文件的二进制数据将表格去除隐藏属性后,宏代码如下:

图片3.png

2、宏代码检测了包括:“AVG”、“Avast”和“360TotalSecurity”三种杀软,如检测到三种杀软则打开文件“winrm.txt”,如没有检测到则打开文件“winrm.vbs”。两个文件写入的内容均为“VB”代码。

图片4.png

3、文件写入完成后,在执行方法中也有所不同,如果是“winrm.txt”则调用“cscript.exe”进程执行。如果是“winrm.vbs”则调用“explorer.exe”进程执行。

图片6.png

4、宏代码执行完上述的动作后延时5S,最后将自启动代码写入到“winrm.txt\ winrm.vbs”并覆盖之前写入的脚本代码,如下:

图片5.png

5、“winrm.txt\winrm.vbs”文件为之前宏代码所写入的VBS代码,基本信息如下:

样本名称
winrm.txt\ winrm.vbs
样本格式
VB Script
SHA256
dc64d8ff8343df76d2a0b93d2392b5fafcc5bae905a1ae59ea0670284e25a89f
SHA1
c5d0c437e1dfb4a5c952d8eae44f5f259d0431e3
MD5
07b09929a7d4c8c50bfdf60b97349c0d

6、“winrm.txt\winrm.vbs”文件执行后会将一段PowerShell代码写入到“laquelleg.txt”文件中,然后将自身的文件路径通过“add”的方法添加到注册表中,实现后门持久化的能力,具体代码如下:

图片7.png

7、“laquelleg.txt”文件基本信息:

样本名称
laquelleg.txt
样本格式
PowerShell
SHA256
9febe610949b5b9518c98103da1ccc3ef32b5ab1ded31e0d5403cd64a023c15b
SHA1
b0899d2a78421f21737a78804c067d15a8aa226e
MD5
168f259dd8830facb5f979fc571bb020

8、“laquelleg.txt”代码实现的是加载器功能,访问URL“https://stgeorgebankers.com/”将其网页携带的Payload解析并执行,网页中通过“<p>Payload</p>”方式嵌入Payload。

图片8.png

9、根据历史披露文章,最终后门疑似为Empire框架生成的载荷。

四、关联分析

通过对宏代码相似度和文件释放特点进行关联,我们发现该组织的曾在2019年11月至2020年2月份期间较为活跃。

部分历史活动

1、2020年1月份以“2019年1月和2020年1月主要部门和组的每月消费者物价指数数字和百分比变化”为诱饵标题针对目标单位进行攻击。

图片9.png

2、2020年1月份伪装成伊拉克司法部的相关文件针对某些单位进行攻击。

图片10.png

3、2020年1月份,以“执行委员会执行委员穆罕默德·纳沙比希(Mohamed Al-Nashashibi)”追悼会为诱饵针对特定人群攻击。

图片11.png

历史手法对比

1、我们以2020年1月份期间的攻击活动,诱饵标题为 “2019年1月和2020年1月主要部门和组的每月消费者物价指数数字和百分比变化”的样本进行对比。

2、该文件基本信息如下:

样本名称
Book1.xls
样本格式
Microsoft Excel sheet
SHA256
38a9fb95ce22e3595e6bcab16043630cc3dfed65d2d8588f80da8148827af475
SHA1
d920262b69870f9aaa8714dbd325ee66f78b6579
MD5
a06401aa5808e5c202630098d73b260b
C2
omegaeyehospital.com

3、该诱饵的宏代码如下:

图片12.png

4、该历史诱饵和最新投递的诱饵对比,新投递的诱饵宏代码中增加了杀软检测代码。

图片13.png

5、释放的PowerShell脚本中,POST请求头中的UserAgent变为更新的版本号,并且Payload由直接存放变成嵌入到网页中的标签之中。

图片14.png

6、此外,国外安全厂商 曾披露过WIRTE组织的手法,从投递的诱饵、释放的文件、资产特点(使用CloudFlare IP、域名相似度)、攻击地域和后门相似度等,判研此次捕获到的诱饵文档较大的可能性为WIRTE组织所投递。

参考链接

https://blog.talosintelligence.com/2018/02/targeted-attacks-in-middle-east.html

https://www.securityartwork.es/2019/01/25/wirte-group-attacking-the-middle-east/

-------------------------------------------------------------------

微步情报局

微步情报局,即微步在线研究响应团队,负责微步在线安全分析与安全服务业务,主要研究内容包括威胁情报自动化研发、高级APT组织&黑产研究与追踪、恶意代码与自动化分析技术、重大事件应急响应等。

微步情报局由精通木马分析与取证技术、Web攻击技术、溯源技术、大数据、AI等安全技术的资深专家组成,并通过自动化情报生产系统、云沙箱、黑客画像系统、威胁狩猎系统、追踪溯源系统、威胁感知系统、大数据关联知识图谱等自主研发的系统,对微步在线每天新增的百万级样本文件、千万级URL、PDNS、Whois数据进行实时的自动化分析、同源分析及大数据关联分析。微步情报局自设立以来,累计率先发现了包括数十个境外高级APT组织针对我国关键基础设施和金融、能源、政府、高科技等行业的定向攻击行动,协助数百家各个行业头部客户处置了肆虐全球的WannaCry勒索事件、BlackTech定向攻击我国证券和高科技事件、海莲花长期定向攻击我国海事/高科技/金融的攻击活动、OldFox定向攻击全国上百家手机行业相关企业的事件。

举报
评论 (6
J5ong 2021-04-07 17:13:01 回复 举报
顶顶顶
Ssjanthu 2021-04-06 16:35:29 回复 举报
你好,请问如何去除该文件的隐藏属性?
Ssjanthu 2021-04-06 16:35:29 回复 举报
你好,请问如何去除该文件的隐藏属性?
shelby 2021-03-05 15:20:13 回复 举报
777
孟州网监邵丞哲 2021-03-02 17:52:22 回复 举报
666
匿名用户 2021-03-02 12:26:56 回复 举报
6666
奖励计划banner
今日推荐