首頁 > 安全研究 > 研究報告 > 攻擊與威脅分析

以委內瑞拉軍方為攻擊目標的網絡間諜活動分析

發布時間 2022-05-31

一、背 景


2022年以來,啟明星辰ADLab持續追蹤到多起針對委內瑞拉軍隊和國防部門的網絡間諜竊密活動,這些攻擊活動以軍事和國防事務為誘餌侵入內部系統竊取軍事和國防情報。攻擊者將自身偽裝成委內瑞拉玻利瓦爾共和國的軍事部門,以軍隊內部事務如“針對信息技術和通信局國防部門的建議和行動”、“少將指示命令”等為誘餌對委內瑞拉的國防部及各軍事部門發起定向攻擊并植入竊密木馬。我們對攻擊所使用的竊密木馬進行了深度的分析發現竊密木馬不僅具有較強的竊密功能,還具有目的性的收集文檔文件,黑客針對此類敏感部門的針對性攻擊具有極強情報收集意圖。由于委內瑞拉長期處于政治經濟雙重危機之中,尤其在2019年內亂之后更是局勢動蕩,此類網絡竊密活動頻繁發生,所竊取的軍事情報或機密文件被用于政治和軍事上對抗。類似的攻擊可能還會通過其他攻擊入口進行,但鑒于攻擊路徑的隱秘性和威脅信息孤島的存在,難以被外部所監控到,就如俄烏對抗下的一系列事后許久才被發現的攻擊事件一樣。最后,我們進一步對此次攻擊活動的攻擊目標、入侵技術特點、語言習慣、代碼同源性等因素進行比對分析后,找到這些攻擊活動的組織歸屬,多方面的證據都將此次攻擊來源指向Machete黑客組織。


Machete組織,是一個長期以拉丁美洲地區重要敏感部門為目標的黑客組織,最早活躍時間可以追溯到2010年,根據該組織的攻擊特點和泄露的信息可以確定該組織同樣應該位于拉美地區,但是目前沒有足夠的證據和線索將其歸屬具體哪個國家。該組織在拉美地區局勢動蕩的背景下非?;钴S,攻擊目標主要集中于拉丁美洲國家,重點針對軍事、政府等敏感行業進行攻擊以竊取機密信息。


在本次發現的攻擊活動中,Machete組織重點針對委內瑞拉軍事部門和國防部實施攻擊,這與其以往的攻擊目標基本一致。不過這次攻擊所使用的竊密木馬有了一定程度的技術改進和升級,從4月發現的攻擊木馬可以看出,該組織對其定制的竊密木馬進行了優化升級,同時將改進后的木馬命名為kaiser 1.0。這也是自2020年以來該組織首次對其攻擊工具進行升級,新增的功能模塊包括竊取主機敏感文件、竊取USB設備敏感文件、更靈活的惡意擴展支持和回傳后門版本信息,相關模塊增加了木馬對目標設備敏感文件的全盤竊密能力及竊密功能的可擴展能力。同時,該組織近年來還在不斷改進其C&C隱藏的手段,以提高基礎設施的反檢測和反追蹤能力,以增強C&C的隱蔽性、可控性和安全性。


本文將對近期該組織的攻擊活動進行追蹤和分析,并針對其長期以來的攻擊目標、攻擊技術演進、新使用的基礎設施等進行全面地分析。最后重點針對本次攻擊使用的升級后門模塊和相關技術細節進行深入分析。


二、組織分析


自2010年以來,Machete組織一直熱衷于攻擊拉丁美洲涉及軍事、政府、法律等敏感行業和部門。本節將重點分析該組織長期以來的攻擊目標情況、攻擊技術演進及代碼特征等特點,并結合本次攻擊活動進行對比分析,最后披露其近期使用的網絡攻擊資產(截至目前相關服務器依然活躍)。


2.1 攻擊目標



啟明星辰ADLab通過威脅情報源共關聯到Machete組織歷史上使用過的多個誘餌文檔。在針對誘餌內容進行分析統計后,發現誘餌內容中涉及國家或地區的名詞主要位于拉丁美洲國家,相關分布占比如圖1所示。其中數量較多的國家主要包括委內瑞拉、尼加拉瓜、厄瓜多爾、哥倫比亞等,由此來看,該組織的攻擊目標應當是誘餌內容相關的國家或地緣政治有關的鄰國。同時,文檔使用的語言均為西班牙語或葡萄牙語(西班牙語是拉丁美洲21個國家的官方語言)。因此,從誘餌內容、文檔語言和地緣政治等角度可以確定攻擊者長期以來的目標主要集中在拉丁美洲。



圖1.png

圖1 誘餌內容涉及國家或地區的占比


在進一步針對誘餌內容的主題進行統計后,可以發現誘餌內容主要集中在軍事情報和政治議題兩種類別,軍事情報類如“陸軍司令部行動信息表”、“部隊人員調動”、“軍事命令”等敏感信息,政治議題類如“政府文件”、“外交文件”等,其它誘餌文件還包括“債務訴訟”、“法律傳票”等威脅恐嚇類主題。各類誘餌主題的分布占比如圖3所示。攻擊者在收集足夠信息并對目標有了清晰的認知之后,根據目標的個人情況制定相應的誘餌方案。以下是近期我們捕獲到的部分委內瑞拉相關的軍事信息類誘餌文檔,涉及軍事命令(“少將指示命令”)和軍事戰略(“針對信息技術和通信局國防部門的建議和行動”)相關的內容,與以往的誘餌主題和攻擊目標基本保持一致。


圖2.png

圖2 本次攻擊活動使用的軍事信息類文檔


圖3.png


圖3 誘餌文檔主題占比


此外,我們還在本次攻擊Machete組織的木馬代碼中觀察到,其使用西班牙語鍵盤進行竊密信息記錄,并且在代碼中對系統文件夾Program files的特殊處理也使用了西班牙語Archivos de programa(Program files)。因此,從代碼的角度也可以印證攻擊者的目標主要位于拉丁美洲地區。


圖4.png

圖4 西班牙語鍵盤記錄


2.2 攻擊技術及演進


Machete組織擅長通過釣魚郵件、WEB注入攻擊等方式發起初始攻擊,之后誘導用戶點擊誘餌文件并部署Python編寫的遠控木馬,實施監控用戶、竊取機密信息等活動。我們在研究該組織的歷史攻擊活動中,發現該組織部署后門的技術手段存在過兩次重大更新,同時其最終使用的遠控木馬也進行過多次定制更新,本節將著重對Machete組織歷史上的一些攻擊技術變化進行研究和分析。圖5是Machete組織實施攻擊的整體流程及技術演進情況。


圖5.png

圖5 Machete組織攻擊流程及技術演進



(1)誘餌投遞階段


攻擊者通常采用兩種方式進行初始誘餌的投遞:一是釣魚郵件,包括惡意附件或惡意鏈接URL;二是通過WEB注入類攻擊傳播惡意軟件,如水坑攻擊等。其中釣魚郵件是Machete組織最主要的攻擊手段。 



(2)后門植入階段


當目標用戶點擊誘餌文檔或文件時,程序會執行vbs腳本向托管服務器請求下載執行后續的惡意模塊,同時釋放正常的誘餌文檔來迷惑用戶,誘餌文件的種類包括doc、docx、ppt、pdf、jpg等。針對后續的惡意模塊,Machete組織歷史上曾采用nsis安裝文件、SFX自解壓文件、MSI安裝文件等多種方式來安裝加載python環境及解釋器,從而執行其python攻擊武器。此外,一旦成功感染目標主機,惡意代碼還能夠通過感染USB設備從而傳播和攻擊目標組織的其它成員。Machete組織部署后門的技術變化主要可以劃分為以下三個階段:


  • 2014年至2017年

早期該組織的惡意軟件主要以nsis打包安裝文件的形式部署分發,程序運行后將提取python解釋器組件并執行后續惡意代碼。NSIS(Nullsoft Scriptable Install System)是一種開源的 Windows 系統下的安裝程序制作程序。它提供了安裝、卸載、系統設置、文件解壓縮等功能。攻擊者可以通過NSIS安裝文件實現釋放python執行腳本所需要的環境和依賴庫并執行惡意腳本。


  • 2018年至2019年

2018年4月Machete組織更新了部署后門技術,采用SFX自解壓文件提取執行python解釋器及惡意腳本等組件。SFX (Self-extracting)自解壓文件是壓縮文件的一種(文件類型為.exe格式),由于自解壓文件內置了自解壓程序,因此可以不用借助任何壓縮工具,而只需執行該文件就可以自動執行解壓縮和后續惡意操作。


  • 2020年至今

2020年后Machete組織改為采用MSI安裝文件來打包后續組件。MSI文件是Windows Installer的數據包(實際上是一種數據庫),包含安裝產品所需要的信息及安裝(和卸載)程序所需的指令和數據。執行MSI文件即可完成安裝任務并執行后續惡意操作。



(3)通信駐留階段


Machete組織早期的攻擊活動主要采用定制的Python木馬Machete,竊密信息回傳的方式主要包括FTP、Dropbox以及USB設備等。而自2020年后該組織開始改用定制版本的LokiRAT木馬。LokiRAT木馬為開源馬,相較于原始版本,Machete組織為其添加了竊取Chrome瀏覽器、火狐瀏覽器用戶憑證、針對西班牙語鍵盤進行鍵盤記錄、剪切板記錄等功能,由于其代碼中包含特征字符串kolobok,我們將該木馬變種命名為loki_kolobok。


圖6.png

圖6 Loki木馬的功能


而在本次分析中,我們發現Machete組織在今年4月初對其自定義木馬進行了升級,這是自2020年來該組織首次對其python攻擊武器進行升級,并為該木馬命名為kaiser 1.0,為了便于區分,我們將該木馬變種命名為loki_kaiser。


圖7.png

圖7 本次發現木馬的版本信息


在本次升級中,Machete組織為該武器添加了四項功能,分別是回傳后門版本信息、竊取主機敏感文件、竊取USB設備敏感文件和下載執行腳本文件。


圖8.png

圖8  loki_kaiser木馬新增的四項功能


有趣的是,在近期發現的loki_kaiser木馬中,我們還發現該黑客組織使用了新的硬編碼標簽:Bolodenka_usb_drive,其中“Bolodenka”為俄語字符串,為俄羅斯嬰兒名,代表和平。此外,黑客組織在其自定義的loki木馬中還使用了其他的俄語字符串,如:kolobok(Kolobok是東斯拉夫民族童話中的主要角色)、Utopiya_Nyusha_Maksim(烏托邦紐沙格言)。但回顧Machete組織的歷史攻擊活動,該組織所使用的Machete木馬中也曾使用西班牙語為變量命名,如:datos (data)、canal (channel)、senal (signal)等。由此猜測,該黑客組織嘗試使用俄語字符串混淆視聽,試圖影響分析人員對其來源進行追溯。


圖9.png


圖9  loki木馬中使用到的俄語字符串


2.3 基礎設施分析


在近期的攻擊事件中,Machete組織使用了更多類型的基礎設施。通過對該批攻擊樣本回連的數據進行收集和分析,我們將近期攻擊的基礎設施分為兩類,包括基于Plesk云托管服務的惡意代碼托管服務器和基于blogspot.com合法博客文章的C&C存儲服務器。



(1)惡意代碼托管服務器


表1為近年來Machete組織使用的MSI文件下載URL。


表1.png

表1 下載URL地址


其中,近期黑客頻繁使用了Plesk(主機托管商)提供的云主機服務進行MSI惡意代碼托管。目前相關鏈接(如https://zealous-almeida.51-79-62-98.plesk.page/offnoise2/Sharedd.msi)仍然保持活躍狀態。


圖10.png

圖10 黑客使用的云主機服務商



(2)C&C存儲服務器


Machete組織在木馬通信階段采用了C&C隱藏技術,利用社交媒體平臺blogspot的博客文章作為C&C存儲點以增強C&C的隱蔽性、可控性和安全性。該C&C通過base64編碼存儲,相關頁面如下圖所示。網頁內容為一篇討論安防系統設備安全的技術文章,可以看到,黑客在文章名處插入了一段代碼用來隱藏C&C,當遠控木馬執行時,將分別以”/tecn/”和”*tecn“作為特征分割符,從中提取base64編碼的C&C地址(圖中黃色字體的部分)并進行解密回連。這種動態獲取C&C的方式,一方面可以有效隱藏C&C地址,另一方面攻擊者也可以靈活地對其服務器進行配置和更新。


圖11.png

圖11 博客隱藏C2


通過博客的相關用戶信息和特征,我們進一步溯源到了更多攻擊者用于隱藏C2的博客頁面,如圖12所示。


圖12.png

圖12 博客頁面隱藏C2


目前,我們收集到黑客使用的部分博客信息、密文、解密C2信息如表2所示。博客內容均為西班牙語,這也表明Machete組織的常用語言是西班牙語系。由于這些博客文章數量眾多且難以被全部封禁,因此可以長期關注黑客使用此類基礎設施的活躍情況以追蹤黑客的攻擊活動。


表2.png

表2 博客信息


三、近期攻擊活動分析


在本次工作中,啟明星辰ADLab追蹤到多起以委內瑞拉軍事行動命令和軍事戰略等為話題的定向攻擊活動。經過對本次攻擊活動深入的分析并與該組織以往攻擊活動進行詳細對比,我們發現該組織在此次攻擊活動中不僅對其攻擊武器庫中的Python木馬進行了正式命名還在功能上進行升級,增加了對主機和usb設備中文件收集以及下載執行腳本文件的功能。由于本次攻擊活動的誘餌文檔與軍事話題緊密相連,我們猜測此舉旨在竊取受害者主機上軍事相關的敏感情報,這將可能進一步加劇當地政治和安全的緊張局勢并構成潛在的不利影響。下面將對本次攻擊活動進行詳細的分析。


3.1 攻擊載荷


ADLab此次捕獲的初始攻擊載荷是名為“01-RAD-429.pdf.vbs”的惡意文件。攻擊者利用Windows系統會默認隱藏文件擴展名的特性,將惡意vbs文件制作成雙后綴格式,企圖誘使受害者點擊執行虛假的pdf文件。


圖13.png

圖13 惡意文件信息


當用戶打開VBS文件后,惡意代碼會在“C:\ProgramData\”目錄下釋放“radio.d”文件,并將經過base64編碼進行后的數據寫入到該文件中,具體內容如下圖所示。


圖14.png

圖14 生成radio.d文件


隨后,惡意代碼使用Windows的內置程序certUtil.exe對“radio.d”文件進行解碼,再將解碼后的“01-RAD-429.pdf”文件寫入到同目錄下,并啟用wscript.exe打開pdf文件。具體代碼如下圖所示。


圖15.png

圖15 生成并打開pdf文件


該pdf為一個無害的與主題相關的誘餌文件,用以迷惑受害者。具體內容如下圖所示。


圖16.png

圖16 pdf誘餌文件內容


接著,惡意代碼再次將下一段硬編碼的Base64數據寫入到“rrte.d”文件中,之后使用certutil.exe解碼生成名為“pdf.d”的DLL文件,最后通過cmd命令執行dllmain。


圖17.png

圖17 生成rrte.d文件


該DLL的主要功能是使用msiexec.exe從攻擊者的遠程托管服務器上下載并執行msi惡意安裝包文件。


圖18.png

圖18 DLL惡意代碼


3.2 MSI惡意安裝程序


“Sharedd.msi”惡意文件將自身偽裝成三星USB驅動文件,當點擊安裝后其會模仿成與“SAMSUNG USB Driver for Mobile Phones”相關的彈框信息。


圖19.png

圖19  “Sharedd.msi”惡意文件


最終落地的后門是使用python腳本編寫的,為了避免受害者電腦沒有安裝python,攻擊者會將python執行腳本所需要的環境和依賴庫全部打包到msi中。當“Sharedd.msi”安裝程序運行后,所有的惡意軟件相關文件被釋放到%TEMP%目錄中的子目錄文件夾中。除了python的各種庫文件以外,目錄中還包含兩個(名稱不同但hash值相同)python解釋器、使用Base64編碼的腳本文件以及隱藏在“Lib\Lib\site-packages\pydesktop”目錄下的后門組件。具體內容如下圖所示。


圖20.png

圖20 安裝目錄信息


在完成上述操作后,根據MSIWrapper的配置文件開始執行“sharedd.exe”。該EXE文件的主要功能是使用“UpdatewShare.exe”python解釋器執行“Tools”目錄下的“Presk”腳本文件。在分析時我們發現,“sharedd.exe”的代碼中所使用的解釋器名稱與實際上釋放出的“UpdateExplorer.exe”文件名稱無法匹配,猜測可能是攻擊者更改了文件名,而未更新惡意代碼所致。


圖21.png

圖21 “sharedd.exe”惡意代碼


3.3 惡意腳本文件


”Presk”實際上是一個pyc文件,通過反編譯后,我們得到了包含base64編碼的py腳本代碼。其主要功能為將之前MSI惡意軟件釋放的所有文件及文件夾全部復制到”C:\ProgramData\USODesktop”路徑下,并設置USODesktop文件夾為隱藏和系統屬性。


圖22.png

圖22 復制所有文件和設置文件夾屬性


接著,再以每5分鐘執行一次后門的計劃任務來實現其持久性,計劃任務名稱為“UpdatewShared”。


圖23.png

圖23 設置計劃任務


最后,刪除USODesktop目錄下的“Shared.exe”,并判斷計劃任務是否設置成功,若失敗則手動執行后門。在此處分析時,我們發現代碼中執行的后門名稱與實際目錄中的后門模塊名稱不符,猜測攻擊者未正確更改惡意代碼所致。


圖24.png

圖24 刪除“Shared.exe”文件


3.4 后門模塊


該后門模塊即為Machete組織使用的最新版本木馬loki_kaiser。其中Datawmplayer是后門的核心功能模塊,其首先讀取當前目錄下的“date.dll”文件,并使用base64解碼出黑客組織的blogspot.com博客地址。


圖25.png

圖25 獲取博客地址


接著,再從黑客的博客主頁中獲取儲存C&C的base64編碼數據,截取和解碼出最終的C&C服務器地址,將其保存為全局變量以便后續使用。


圖26.png

圖26 獲取和保存C&C服務器地址


此外,loki_kaiser將收集受害者的主機信息,其中包括用戶唯一標識符、主機名稱和用戶名信息以自定義格式上傳給黑客C&C服務器。之后,通過接收遠控控制指令,來進行后續惡意行為。


圖27.png

圖27 上傳主機信息


通過分析我們可以看到,該后門控制指令中包含了大量用戶隱私信息的竊取功能。包括竊取瀏覽器用戶憑證、鍵盤記錄、屏幕截取以及下載安裝其他指定模塊等功能,最終受害者的文件和數據信息,都會根據遠程服務器的指令回傳給攻擊者的服務器。除此之外,啟明星辰ADLab將該組織早期的后門模塊與本次新版本后門loki_kaiser的功能進行對比分析,發現攻擊者添加了一些新功能(詳見表3藍色標注部分)。變種后門的控制指令功能參考下表所示:


表3.png

表3 遠程控制指令及功能


鑒于該后門的一部分控制指令功能較簡單,因此我們在下文中僅針對部分相對比較重要和新增的指令功能進行了詳細的分析。


(1)竊取Chrome瀏覽器的用戶憑證

后門通過讀取Chrome保存用戶登錄信息的數據庫,對其解密來獲取明文數據。之后再將解密后的用戶憑證保存為“%d-%m-%Y-%H-%M-Chr”.txt文件,最后上傳到攻擊者的服務器上,完成后則刪除該文件。


圖28.png

圖28 竊取Chrome瀏覽器用戶憑證信息


(2)鍵盤記錄

wmUpdate是負責進行鍵盤記錄的功能模塊。攻擊者不僅獲取受害者輸入按鍵的鍵名、日期和時間,以及打開的應用程序名稱,此外,其還會篩選出指定的鍵值。通過這種方式,攻擊者不但能夠獲取到受害者輸入的內容以及輸入時間,還可以得到其感興趣的鍵值。


圖29.png

圖29 鍵盤記錄相關代碼信息


當控制命令為kill,該后門則對鍵盤記錄“-vpr.html”的文件名進行重命名和上傳到服務器,成功上傳后則刪除該文件。


圖30.png

圖30 上傳并刪除鍵盤記錄文件 


(3)竊取主機敏感信息

一方面,該后門通過遍歷磁盤信息(除去指定部分系統目錄),來獲取后綴名為doc、docx、pfd、xlsx、xls、ppt等17種敏感文件的路徑和文件大小。之后再將這些相關信息保存到“list.txt”文件中。


圖31.png

圖31 獲取和保存文件信息


另一方面,后門會使用python解析器調用Updatemplayer模塊。該模塊主要用于指定文件收集和上傳。與前者不同的是,除去部分系統目錄以外,其僅對11種格式的文件進行讀取和上傳。


圖32.png

圖32 竊取和上傳用戶敏感文件


(4)USB文件竊取

該指令通過python解析器調用drives模塊來完成。其主要功能為竊取USB中17種格式的文件,并將這些文件上傳至黑客服務器。


圖33.png

圖33 竊取和上傳USB中敏感文件


(5)下載執行腳本文件

從攻擊者服務器上獲取后續階段的腳本文件,并使用python解析器執行該腳本。通過該腳本攻擊者可以擴展實現加載后續攻擊武器或更新自身模塊等更多功能。


圖34.png

圖34 下載和執行腳本文件


(6)版本信息

回傳后門版本信息,我們查看代碼,發現此次后門的版本是“Version kaiser 1.0”。


圖35.png

圖35 打印版本信息


(7)cmd指令

除了已知的控制指令以外,其它都視為執行cmd命令,參數由控制指令決定。


圖36.png

圖36 執行cmd指令


四、總結


通過本文分析可以看出,Machete組織在此次攻擊活動中精心收集了大量涉及軍事、政治等敏感行業的內部文件,以針對委內瑞拉軍事部門實施精準的定向攻擊。從攻擊技術上來看,該組織長期以來不斷地改進升級其TTPS,包括攻擊手法的優化、攻擊武器的升級、C&C隱藏技術的改進等等來逃避檢測機制,以期提高攻擊的成功率,增強攻擊活動隱秘性和黑客基礎設施的安全性,如此次攻擊中就新增了4個功能模塊用于強化木馬對受害主機敏感文件的精準化竊取能力和增加自身的模塊更新能力。此外需要注意的是,該組織近期開始大量利用合法廠商服務器作為C&C存儲點,如利用blogspot博客標題進行C&C隱藏,從而增加安全檢測和追蹤的難度。


鑒于該黑客組織長期通過釣魚郵件進行攻擊的慣用手段,我們建議相關用戶不要隨意打開和下載未知來源的郵件附件及鏈接,做好郵件系統的防護。特別是一些極具誘惑性的誘餌文檔或雙后綴文件(隱藏后綴名)需要謹慎對待。如有需要可通過打開Office文檔中的:文件-選項-信任中心-信任中心設置-宏設置,來禁用一切宏代碼執行。同時也要留意如:WEB注入攻擊、惡意USB設備感染等其它攻擊渠道,一旦系統或服務器出現異常行為,及時報告并請專業人員進行排查,以消除安全隱患。

上一篇 下一篇