1. 威客安全首页
  2. 默认分类

美国NSA泄露文件中提到的神秘APT组织被曝光


前言


2017年,一个名为“影子经纪人”的神秘黑客团体在网上发布了名为“ Lost in Translation ” 的泄露数据库。

泄露数据库(据称是从美国国家安全局(NSA)入侵获得)包含一系列漏洞利用和黑客工具,其中包括现在永恒之蓝漏洞,以及其发扬光大者WannaCry勒索病毒。


但这都不是重点,重点是泄露的文件中有一个名为sigs.py的文件,该文件用作内置的恶意软件扫描程序,NSA黑客使用该文件扫描受感染的计算机,以查找是否存在其他APT组织,即他国网军的攻击痕迹,从而通过是否存在攻击痕迹而执行下一步操作。


而该sigs.py脚本包括用于检测其他44(45?)个APT组织的特征,这也充分说明了美国相关部门在追踪他国网军的能力也是极强的。

美国NSA泄露文件中提到的神秘APT组织被曝光


正文


而这个sigs.py的脚本中,有一个名为Sig27的未知APT组织被NSA专门用于检测,而其落地文件也具有明显特征,文件后缀为sqt,而这个组织在2019年11月5号被卡巴斯基曝光其攻击行动,并命名为DarkUniverse,直译黑暗宇宙。

美国NSA泄露文件中提到的神秘APT组织被曝光


美国NSA泄露文件中提到的神秘APT组织被曝光

而上面这些文件只是DarkUniverse恶意软件框架中的一部分的文件,该APT组织从2009年到2017年一直活跃,由于具有独特的代码重叠,DarkUniverse是ItaDuke系列活动的一部分。ItaDuke自2013年以来一直是一位知名APT组织。它使用PDF漏洞释放恶意软件和使用Twitter帐户来存储C2服务器URL而闻名。但他们在ShadowBrokers泄漏这些文件后似乎没有新的攻击活动了。


而卡巴斯基GReAT小组认为其活动的暂停可能与’Lost in Translation’泄漏的发布有关,或者攻击者可能只是决定更改攻击方法。


受害者


在2018年的攻击活动中大约有20名受害者,他们分别位于叙利亚,伊朗,阿富汗,坦桑尼亚,埃塞俄比亚,苏丹,俄罗斯,白俄罗斯和阿拉伯联合酋长国。受害者包括平民组织和军事组织。而这个数量实际上要比2009年至2017年主要活动期间的受害者人数要多得多。


攻击手法


手法为鱼叉钓鱼邮件攻击,值得注意的是,攻击者为每个受害者都准备了一封信,以引起他们的注意,并提示他们打开附带的恶意Microsoft Office文档。


每个恶意软件样本都在发送之前立即进行了编译,并包含了该恶意软件可执行文件的最新可用版本。由于该框架是从2009年演变到2017年的,因此最新版本与第一版完全不同,卡巴斯基的报告仅详细介绍了直到2017年为止使用的最新恶意软件版本。


文档中嵌入的可执行文件会从自身中提取两个恶意文件,

即updater.mod和gum30.dll

并将它们保存在恶意软件的工作目录中

美国NSA泄露文件中提到的神秘APT组织被曝光

之后,它将正常的rundll32.exe复制到同一目录中,并使用它运行updater.mod


值得注意的是他的传C2手法


C2服务器主要基于mydrive.ch上的云存储。

美国NSA泄露文件中提到的神秘APT组织被曝光

对于每个受害者,攻击者都会在此处创建一个新帐户,并上传其他恶意软件模块和带有执行该命令的配置文件

美国NSA泄露文件中提到的神秘APT组织被曝光


一旦执行,updater.mod模块将连接到C2并执行以下操作:

1、将文件下载到工作目录;

2、将由其他恶意模块(如果有)收集和准备的文件上传到C2。这些文件位于工作目录中的名为“queue”或“ntfsrecover”的目录中。此目录中的文件具有其中两个扩展名之一:.d或.upd,这具体取决于它们是否已上传到服务器。

3、下载其他恶意软件模块:

    dfrgntfs5.sqt ,其用于执行来自C2的命令

    msvcrt58.sqt ,用于窃取邮件凭据和电子邮件

    zl4vq.sqt , dfrgntfs5使用的合法zlib库

    %victim_ID%.upe – dfrgntfs5的可选插件。


所有恶意软件模块均使用自定义算法加密,黑鸟建议下规则哦。

美国NSA泄露文件中提到的神秘APT组织被曝光

C2帐户的凭据存储在注册表中的配置中,但是updater.mod模块还将副本作为加密字符串存储在可执行文件中。另外,该配置指定updater.mod多久轮询请求一次C2,同时其支持活动模式和部分活动模式,即类似定时任务的东西。


模块gel30.dll和msvcrt58.sqt


gum30.dll恶意软件模块提供了按键记录功能。updater.mod模块使用Win API函数SetWindowsHookExW安装键盘Hook,并将gel30.dll注入到获取键盘输入的进程中。在那之后,gel30.dll加载并开始在每个挂钩进程的上下文中拦截输入。


msvcrt58.sqt模块拦截未加密的POP3通信以收集电子邮件对话和受害者的凭据。

该模块从以下过程中查找流量:


outlook.exe;

winmail.exe;

msimn.exe;

nlnotes.exe;

eudora.exe;

thunderbird.exe;

thunde~1.exe;

msmsgs.exe;

msnmsgr.exe.


该恶意软件解析拦截的POP3流量,并将结果发送到主模块(updater.mod),以上传到C2。

这是通过挂钩以下与网络相关的Win API函数来完成的:

ws2_32.connect;

ws2_32.send;

ws2_32.recv;

ws2_32.WSARecv;

ws2_32.closesocket。


上面这个操作还是很有趣的。


最后就是这个恶意软件框架中最强大的模块

dfrgntfs5.sqt模块,功能繁多,时间原因就不一一翻译了。


美国NSA泄露文件中提到的神秘APT组织被曝光


总结


卡巴方面虽说该母组织此前的攻击目标比较敏感的,但从后续的攻击活动中的攻击目标来看,目前觉得属于兔子的可能性有点小,还有待考证。


参考链接:

https://securelist.com/darkuniverse-the-mysterious-apt-framework-27/94897/


上期阅读


又搞歧视?GitLab打算禁止招募来自中国和俄罗斯的员工

网军利用谷歌Chrome浏览器漏洞,针对朝鲜目标发起水坑攻击

PS:下一篇文章是恰饭文,提前感谢大家的点击

美国NSA泄露文件中提到的神秘APT组织被曝光

点赞的人好tm靓

原文始发于微信公众号(黑鸟):美国NSA泄露文件中提到的神秘APT组织被曝光

本文转为转载文章,本文观点不代表威客安全立场。

发表评论

登录后才能评论