某疑似针对中东地区的APT攻击事件分析

前言

在疑似APT攻击事件的跟踪过程中,遇到过很多难题。多数情况是,这次,它不是你的显在对手,我们不会获得足够多的线索,却偏偏想要满足好奇的欲望,经典的人生三问,用来描述你的对方再恰当不过。我在《阿善师的告白》中听到一句话:凡走过必留下痕迹。这里,我将整理一起疑似APT攻击的事件的探讨,期待真相一步步浮出水面。

北京时间2018年12月12日,我们看到野外出现一份名为的样本使用了最新披露的Adobe Flash Player漏洞:CVE-2018-15982,该漏洞影响Flash Player 32.0.0.101之前的多个版本。由于披露时间不到一周,所有一手样本都值得引起警觉。

该样本文档显示的内容是一份海事卫星设备(Inmarsat IsatPhone)清单。样本触发漏洞后,连接远程服务器获取下发指令。

静态分析

样本内容列举了多个模块、价格和数量信息。海事卫星电话常用于船舶与船舶之间、船舶与陆地之间的通信,包括语言通话、数据传输和文件传真。

样本内嵌Flash文件,Flash文件中以明文的形式嵌入恶意指令。

后门程序将自己设置持久化之后立即连接C2接收下一阶段指令执行。

整理样本中存在的潜在信息:

Path: C:\Users\User\AppData\Local\Temp\Excel8.0\ShockwaveFlashObjects.exdPath: C:\Program Files\Microsoft Office\Office16\EXCEL.EXEPath: c:\CVE-2018-15982_PoC.swfURL: http://190.2.145.149/putty2.exePE-Compiler-Stamp:Tue Dec 11 13:06:20 2018 (UTC+8)XLS-Saved: 12/10/2018 5:13 PM (UTC+8)

溯源追踪

1. 根据C2追溯

根据C2服务器IP地址190.2.145.149,小编并未关联到其它恶意样本。在获取到样本的第一时间,该IP地址上还存在另一个可执行文件:putty.exe(MD5:54CB91395CDAAD9D47882533C21FC0E9),归属远程登录工具。

根据whois信息显示,IP地址归属一家荷兰的ISP服务提供商。

该ISP服务提供商WorldStream公司主页显示其提供可靠的托管服务。

从IP的历史记录中,小编找到一条非常重要的线索。teamkelvinsecteam于2018年11月25日在RaidForums论坛于 「Leaks」、「Databases」板块公布了该IP存在允许列目录。该用户截图上传了详细的文件列表并备注文件包含:可疑的恶意软件、Email备份和pst文件等等。

IP在7月份搭建了Web集成环境,从9月开始存在压缩文件陆续上传,直至11月22日,文件汇总约逾百G。许多文件直指阿联酋国家石油公司(ENOC)的职员邮件备份。

在这份漏洞文档公开之后,RaidForums论坛的teamkelvinsecteam很快删除了< [Emails] Emirates National Oil Company>这篇帖子。在删除前,小编翻阅了所有评论,大致的留言有:需要联系方式、索取解压密码、期望获得邮件备份以及允许列目录已失效等等。

从缓存中小编截取了两份评论,包含teamkelvinsecteam留下自己的联系邮箱:vipsuscriptionkelvinsecurityv1@protonmail.com。

2. 根据代码特征追溯

从获得样本伊始,小编很快提取样本关键特征和历史样本进行比对。很遗憾的是,小编对历史样本进行比对,对新增样本进行监控,以及多次使用Intezer进行分析,均未能匹配到关联样本。ps.图中最下方,使用Intezer获得与唯一的关联样本,经过小编确认,是某位安全研究人员上传的的内存dump(MD5:24F7E3422B1DB69289D47F1025DB1598)。

小编对文档提取特征比对历史样本,匹配到十多个疑似样本,分析之后,没有得到有效证据和此次事件所属组织产生强关联。

他们是谁

由于小编在访问IP的时候,只能查看到XAMPP的初始配置页面。首先需要怀疑文件列表的真实性。此处小编并不打算对「Leaks」和「Databases」主题做过多探讨,但是从teamkelvinsecteam的行为记录来看,这些邮件备份文件是存在的。

1. 受害者信息

从公开信息确认其中一名疑似受害者Fardin Malahi的职务为阿联酋国家石油公司人力资源部主管。

2. 攻击者身份

老实说,到目前为止关于攻击者身份或者隶属组织小编并没有指向性的结论。我们看看安全社区的讨论:威胁情报分析师Drunk Binary认为是APT34(也称:OilRig)组织的钓鱼文档。但是根据之后的讨论,FireEye的研究人员Andrew认为暂不能定性。

根据德国Nextron Systems公司的APT检测产品THOR检测显示后门程序归属APT34、APT33组织。从它的规则编写时间来看,除非有内部未公开披露的详实证据命中目标,否者小编认为可以参考,暂不可信。

安全报告呢?在近期ClearSky公司发布的一份安全报告中,约存在2-3页对该事件的详尽描述。在报告中ClearSky认为存在迹象表明,Oilrig组织最有可能在9月或10月渗透进入ENOC网络并部署了横向移动工具。

在其公开报告中,整个关于这一事件的描述都被涂抹覆盖。

回到样本本身,关于该组织为什么要在深度渗透ENOC网络之后,还要重启如此重要的网络基础设施,利用最新的Flash漏洞疑似发起鱼叉攻击。是他们最想要的没有得手还是更换攻击目标?当然可以猜想的故事有很多。但是确定的是,本次利用钓鱼文档发起的攻击时段很短,无论PE编译时间还是文档最后保存时间是否可信,它们都是在最近几天得以准备,迅速发起攻击,然后迅速失效。

尾声

还有更多资料吗?在小编思考等待这些日子中似乎就这么多了。有的资料由于最开始没有备份下来以至在此漏掉许多。至于新的样本,近日野外出现一份和具有相同内容相同特征,但是仅仅利用漏洞弹出计算器的样本(MD5:954CA41B7367191180A44C7221BB462A),小编对样本分析之后决定不作过多参考,因为只需对 修改几个明文字符便能完成。

其实无论弹计算器的是谁,我们总会知道,在一个半月之后,原始样本并没有被忘记。根据对话和安全报告,大厂早已关注这次事件。

从内容显示的相关行业和泄漏文件直指目标,或多或少我们可以总结出攻击组织的兴趣点在于中东地区能源行业。其攻击手法似乎包含网络渗透和鱼叉钓鱼,具备反追查意识,使用新款木马后门,具有一定技术实力背景和多人员分工协作构成犯罪组织特征。

从公开历史网络攻击拓扑图看,中东地区事务牵涉众多。唯愿早日结束纷争。

IOCs

MD5

A51A86A773B7134C2D43BAFC2931E6A4 94715ED2A09A88BE026E8B2BA7C0F9B0 24F7E3422B1DB69289D47F1025DB1598 954CA41B7367191180A44C7221BB462A 28145CE332718337AF59ACA2469784A9 94296CCDD83161D7FB87645591B3D3AF

IP

190.2.145.149

附录

http://190.2.145.149/abdul.khaliq.rar http://190.2.145.149/ahmed.salem.rar http://190.2.145.149/ammary@enoc.com.pst http://190.2.145.149/anishkam@enoc.com.pst http://190.2.145.149/anvar.helal.rar http://190.2.145.149/anwar.hussain.rar http://190.2.145.149/badir@enoc.com.pst http://190.2.145.149/cstoradmin.rar http://190.2.145.149/deebu@enoc.com.pst.zip http://190.2.145.149/faiz.muhammad.rar http://190.2.145.149/fardin.malahi@enoc.com.pst http://190.2.145.149/fqahtani@enoc.com.zip http://190.2.145.149/frederik@enoc.com.pst.zip http://190.2.145.149/frits@enoc.com.pst.zip http://190.2.145.149/husamal@enoc.com.pst http://190.2.145.149/jeevananthan.rar http://190.2.145.149/mark.burling@eppcouae.com.rar http://190.2.145.149/marwan.mohd@enoc.com.pst http://190.2.145.149/matthew.ranson.rar http://190.2.145.149/sgaladari.pst http://190.2.145.149/sum.chee.rar http://190.2.145.149/T.rar http://190.2.145.149/taleb@enoc.com.pst

*本文作者:小河西村安全研究所,转载请注明来自FreeBuf.COM

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2019-02-14

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

扫码关注云+社区