样本分析 | 当“网络冲突”中的诱饵文件被用于真实的攻击事件

Cisco Talos最近发现了知名黑客组织74（又名Tsar Team，Sofacy，APT28，Fancy Bear…）的一种新型恶意行动，具有讽刺意味的是，这次行动中的使用的诱饵文件是一份有关美国网络冲突会议的Word文档。美国网络冲突会议由美国军事科学院，军事网络研究所与北约的网络军事学院和网络防御中心合作而共同开展，所以从这个文档的性质出发，我们认为这次行动主要针对网络安全从业人员或者是感兴趣的人。与之前发起的行动不同，这次的文档不包含Office exploit，也不包含0day，只有一个恶意的Visual Basic应用程序（VBA）宏。

这个VBA执行了Seduploader的新变种，而Seduploader是一个恶意侦察软件，它已经被74 Group使用了多年。Seduploader由两个文件组成：一个dropper（一种木马）和一个载荷。dropper和载荷与之前的版本非常相似，但作者修改了一些公开信息（如MUTEX名称，混淆密钥等），我们认为行动参与者之所以修改这些信息，是因为想要避免基于公共IOC的检测。

本文介绍了恶意文件和Seduploader恶意侦察软件，特别是其与之前版本的区别。

恶意Office文档

诱饵文件

该诱饵文件的主题是美国网络冲突会议，文件名为Conference_on_Cyber_Conflict.doc，文件一共有两页，包含组织者的标志及其赞助商。

由此看来，我们认为本次的目标是一些网络安全相关从业人员或仅仅是对其感兴趣的人。文件的全部内容可以在会议网站上查看，攻击者可能将其复制并粘贴到了恶意文档里。

VBA

这个Office文档包含一个VBA脚本，以下是代码：

此代码的目标是文档的属性（“theme”，“company”，“type”，“comment”以及“Hyberlink base”），通过查看文件的属性，这些信息可以直接从Windows资源管理器中提取。而“Hyberlink base”必须通过另一个工具提取，注意这些字段的内容，它们是base64编码。

提取的信息被组合在一起形成一个变量，其使用base64编码以获取被写入磁盘的Windows库。这个文件被命名为netwf.dat。之后该文件就会由rundll32.exe通过KipSvc导出执行。另外我们会看到两个额外文件：netwf.bat和netwf.dll。VBA脚本的最后部分显示这两个文件的属性被设置为“隐藏”。此外，我们也可以看到两个VBA变量名：PathPid（可能是有效载荷的路径），PathPidBt（可能用于批处理）。

SEDUPLOADER变种

dropper分析

与之前发起的行动相反，最新版本没有提权功能，它仅仅执行了有效载荷并配置持久性机制。dropper会安装两个文件：

netwf.bat：执行netwf.dll netwf.dll：有效载荷

它还会实现两个持久性机制：

HKCU\Environment\UserInitMprLogonScript执行netwf.bat文件 COM对象劫持以下CLSID：{BCDE0395-E52F-467C-8E3D-C4579291692E}，MMDeviceEnumerator类的CLSID。

要注意的是，这两种技术此前已经被使用过。

最后有效载荷会由rundll32.exe执行，如果进行了COM对象劫持，则由explorer.exe执行。若为后者，explorer.exe会实例化MMDeviceEnumerator.aspx)类并执行载荷。

载荷分析

载荷的功能与之前版本的Seduploader类似，我们可以将其与2017年5月份使用的样本e338d49c270baf64363879e5eecb8fa6bdde8ad9进行比较。在新样本的195个函数中，149个完全相同，16个90％匹配，2个80％匹配：

在之前的行动中，参与者利用Office文档漏洞进行感染，所以此前载荷是在Office word进程中执行的，但此次不同，参与者没有利用任何漏洞，相反，有效载荷被rundll32.exe以独立模式执行。

参与者也改变了一些常量，如前一版本中使用的XOR key，现版本为：

MUTEX名也不一样：FG00nxojVs4gLBnwKc7HhmdK0h

以下是Seduploader的一些功能：

屏幕捕获（使用GDI API） 数据/配置窃取 代码执行 文件下载

分析样本中的C&C服务器是【myinvestgroup[.]com】，在研究期间，服务器没有向受感染的机器发送任何命令。根据Office文档和PE文件的元数据，我们发现攻击者在10月4日创建了该文件。而且在Cisco Umbrella上可以看到，活动量在三天后（10月7日）其到达了一个顶峰。

总结

在对这一次的行动进行分析过后，我们发现攻击者是很有创意的，此次行动可能是为了针对网络安全从业人员或仅仅是对其感兴趣的人，因此这些人对网络威胁更为敏感。在这种情况下，74 Group反倒没有利用嵌入的MS Office漏洞或任何0day漏洞，而仅仅使用了简单的脚本语言。对于这种变化，我们需要知道其最基本的入侵机制是不同的，因为这次有效载荷是在独立模式中执行的。至于他们为何要使用此种方式，我们至今未知，不过我们猜想有一个可能的原因：是为了避免研究人员最终会找到漏洞的修补方法而使攻击者的武器化平台失效。此外，作者会更新其工具，对于一些老练的攻击者来说，这也是很常见的，一旦他们的平台被曝光，就需要修改工具以确保更好地回避，例如本次对于XOR key和MUTEX名称的修改。我们认为这些修改是为了避免基于公共IOC的检测。

文件

Office文件：

c4be15f9ccfecf7a463f3b1d4a17e7b4f95de939e057662c3f97b52f7fa3c52f

e5511b22245e26a003923ba476d7c36029939b2d1936e17a9b35b396467179ae

efb235776851502672dba5ef45d96cc65cb9ebba1b49949393a6a85b9c822f52

Seduploader Dropper：

522fd9b35323af55113455d823571f71332e53dde988c2eb41395cf6b0c15805

Sedupload 载荷：

ef027405492bc0719437eb58c3d2774cc87845f30c40040bbebbcc09a4e3dd18

网络

【myinvestgroup[.]com】