APT15背景
巧合的是,继美国海军承包商最近遭到黑客攻击并窃取了有关潜艇战争的高度敏感数据之后,我们发现了一组被称为APT15的组织近期活动的证据,该组织据信与隶属于中国政府的网络间谍活动有关。最近的这个活动所涉及的恶意软件MirageFox,看起来像是一个源于2012年,被称为Mirage的RAT工具的升级版本。
APT15以针对位于许多不同国家的公司和组织的网络间谍活动而闻名,主要针对石油行业,政府承包商,军队等不同行业。他们以“living off the land”而闻名,这意味着他们使用已安装在计算机上的工具和软件进行操作,一旦进入目标网络,他们就会根据目标量身定制恶意软件。该组织也被称作Vixen Panda、Ke3chang、Royal APT或者Playful Dragon。
网络上有很多关于APT15及其活动的文章和研究,最近的一篇是NCC Group发表的,虽然该文章发表于2018年3月,但实际上它记录的是2017年的一次活动。另外,尽管2017年的活动已有记录,但在我们关于MirageFox的研究中,发现了最近从2017年活动中上传的二进制文件(6/8/2018)与其RoyalAPT报告中提到的RAT非常相似,仅在VirusTotal上的7/66项检测中即发现。
APT15代码复用
我们在VirusTotal检测中发现了RAT的一个新版本,依靠我们基于仅从和隶属于中国政府的组织有关的Mirage和Reaver中发现的代码创造的一个YARY签名。在发现这些二进制文件是新上传到VirusTotal的,并且很少有检测到的情况下,我们用Intezer Analyze™分析了它们,以查看是否可以找到任何复用的代码。
在代码复用分析报告(SHA256: 28d6a9a709b9ead84aece250889a1687c07e19f6993325ba5295410a478da30a)中可以看到,Mirage和Reaver中有相同的代码,编辑时间戳是从2018年6月8日开始的,而VirusTotal上的上传日期是2018年6月9日。
上述功能可以在Mirage家族的许多二进制文件中看到,并且在C&C发送命令时被执行,它负责在cmd.exe中执行命令(在截图中未显示,稍后在函数中给出,它查找cmd.exe并使用CreateProcessA来执行)。
配置破解
上图中显示出的另一个细小但同样重要的功能,是破解包含C&C配置的数据的功能,与Palo Alto发布的Reaver类似,它获取C&C服务器的IP或域、端口、二进制文件的名称、睡眠计时器以及Palo Alto称作的“活动标识符”。
技术细节
目前,我们还无法检索原始感染媒介和其他有关APT15组织用于攻击其目标的其他工具的信息。我们能够就目前得到的信息得出一些非常有意思的结论,尽管没有完整的背景的情况下我们也不能确定情况到底怎么样。
首先,这个被命名为MirageFox而不是Mirage的原因是因为在模块的Export目录中,名称字段由字符串MirageFox_Server.dat填充。
在上图中,可以明显看到有一个导出的函数。MirageFox二进制文件导出一个名为dll_wWinMain的函数,它是vsodscpl.dll中导出的名称,这是McAfee提供的一个模块,它由一些导入和调用此函数的可执行文件加载。这很可能意味着有一些类型的DLL劫持正在通过向MirageFox发布合法的McAfee二进制文件,将DLL正确加载到合法的查看进程中。APT15组过去被曾见过使用DLL劫持技术。这里的问题是,一旦第一次调用导出,模块将自身重命名为sqlsrver.dll,并且模块内没有任何持久性类型的证据。通过将其重命名,RAT的未来执行将不会依靠McAfee二进制文件,而未来的持久性可以依靠恶意软件的另一个组件,甚至由C&C发送到受感染计算机的命令来设置。
最有趣的部分是破解的C&C配置,如下图所示。
破解配置
C&C IP: 192.168.0.107*
端口: 80
休眠定时器: 30000
Campaign Identifier: Mirage
如果您查看破解的配置,您可能会注意到用于C&C的IP是内部IP地址。如果您阅读了上面提到的NCC集团有关RoyalAPT的报告,则会注意到该报告提到APT15在盗用VPN私钥后会再次渗入公司组织,因此我们可以假定该版本是针对已经渗透并正在使用VPN连接到的内部网络。
MirageFox的其余部分功能类似于APT15以前制作的恶意软件,首先收集有关计算机的信息,如用户名、CPU信息、体系结构等,并将这些信息发送给C&C,然后打开一个后门,并等待来自C&C的命令,其功能包括修改文件、启动进程、终止自身以及APT15 RAT中通常会看到的更多功能。
结论
由于MirageFox二进制文件中的代码和其他相似之处,MirageFox可以归结于APT15。众所周知,APT15在渗透目标之后,会进行大量侦察工作,手动发送C&C命令,并定制最适合他们所感染的环境的恶意软件组件。
IoCs
MirageFox
28d6a9a709b9ead84aece250889a1687c07e19f6993325ba5295410a478da30a
97813e76564aa829a359c2d12c9c6b824c532de0fc15f43765cf6b106a32b9a5
b7c1ae10f3037b7645541acb9f7421312fb1e164be964ee7acd6eb1299d6acb2
RoyalAPT
016948ec7743b09e41b6968b42dfade5480774df3baf915e4c8753f5f90d1734
RoyalAPT C&C
buy.healthcare-internet[.]com
Mirage (w/ Same C&C Config Decryption)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审核人:yiwang 编辑:边边
评论