2017年4月,黑客組織“Shadow Brokers(影子經紀人)”曝光了據稱美國國家安全局(NSA)旗下黑客組織“Equation Group(方程式組織)”所使用的“Lost in Translation”工具,其中包含一個有趣的腳本,該腳本能夠檢測受感染系統中其他APT的痕跡。
2018年,卡巴斯基實驗室發現了一種從2009年到2017年一直處於活躍狀態的新型APT惡意軟件,並認為它正是該腳本的第28個函數。
通過分析被命名為“Dark Universe(暗宇宙)”的新型APT惡意軟件的代碼,卡巴斯基實驗室認為它屬於ItaDuke系列活動的一部分。
ItaDuke是一個自2013年以來一直保持活躍的黑客組織,習慣於利用PDF漏洞來釋放惡意軟件以及利用Twitter帳戶來存儲C2服務器URL。
傳播媒介
和大多數惡意軟件一樣,Dark Universe的傳播載體也是附帶惡意Microsoft Office文檔的魚叉式釣魚電子郵件。
嵌入在惡意文檔中的可執行文件會從其自身中提取兩個惡意文件:updater.mod和gum30.dll,並將它們保存到“%USERPROFILE%\\AppData\\Roaming\\Microsoft\\Windows\\Reorder”下。
之後,它會將合法的rundll32.exe可執行文件複製到同一目錄下,並使用它運行updater.mod。
updater.mod模塊
該模塊被實現為一個動態鏈接庫,僅會導出一個函數,名為“callme@16”。
該模塊主要負責執行以下任務:與C2服務器通信、實現長久駐留以及管理其他模塊。
其中,長久駐留是由updater.mod放置的一個鏈接文件實現的,以確保受感染系統重啟後惡意軟件仍能夠執行。
C2通信
C2服務器主要基於mydrive.ch上的雲存儲。針對每一個受感染系統,攻擊者都會為其處創建一個新帳戶,並上載其他惡意軟件模塊以及一個帶有執行命令的配置文件。
一旦執行,updater.mod模塊將連接到C2並執行以下操作:
- 將命令文件下載到工作目錄;
- 將由其他惡意軟件模塊收集的文件上傳到C2;
- 下載其他惡意軟件模塊。
被下載的其他惡意軟件如下:
- dfrgntfs5.sqt –用於執行來自C2的命令的模塊;
- msvcrt58.sqt –用於竊取電子郵箱憑證和電子郵件的模塊;
- zl4vq.sqt –供dfrgntfs5.sqt使用的合法zlib庫;
- %victim_ID%.upe –dfrgntfs5.sqt的可選插件。不幸的是,我們無法獲得此文件。
值得注意的是,所有惡意軟件模塊均經過了自定義算法的加密:
C2帳戶的憑證存儲在註冊表中的配置中。與此同時此外,updater.mod模塊還將副本作為加密字符串存儲在可執行文件中。該配置指定了updater.mod多久輪詢一次C2,同時支持活動模式和部分活動模式。
註冊表中的惡意軟件配置
惡意軟件配置存儲在“SOFTWARE\\AppDataLow\\GUI\\LegacyP”條目的註冊表中,詳見下表:
glue30.dll和msvcrt58.sqt模塊
glue30.dll模塊提供了按鍵記錄功能——updater.mod模塊使用Win API函數SetWindowsHookExW安裝按鍵鉤子,並將glue30.dll注入到獲取鍵盤輸入的進程中。之後,glue30.dll便能夠加載並開始在每個掛鉤進程的上下文中攔截輸入。
msvcrt58.sqt模塊備用攔截未加密的POP3流量,以收集電子郵件對話和受害者的憑證。具體來講,該模塊會從以下進程中查找流量:
- outlook.exe
- winmail.exe
- msimn.exe
- nlnotes.exe
- eudora.exe
- thunderbird.exe
- thunde~1.exe
- msmsgs.exe
- msnmsgr.exe
之後,它會解析攔截的POP3流量,並將結果發送到主模塊(updater.mod),以上傳到C2。這是通過掛鉤以下與網絡相關的Win API函數來完成的:
- ws2_32.connect
- ws2_32.send
- ws2_32.recv
- ws2_32.WSARecv
- ws2_32.closesocket
dfrgntfs5.sqt模塊
dfrgntfs5.sqt模塊是功能最強大的一個模塊,負責處理大量命令:
受害者統計
卡巴斯基實驗室表示,他們到目前為止共發現了大約20名受害者,他們分別位於敘利亞、伊朗、阿富汗、坦桑尼亞、埃塞俄比亞、蘇丹、俄羅斯、白俄羅斯和阿聯酋。
結論
DarkUniverse是一款已經使用了至少8年時間的APT惡意軟件,它包含用於收集有關目標用戶和受感染系統的各種信息的所有必要模塊,並且其代碼似乎從頭到尾都是原創。
基於代碼的重疊,卡巴斯基實驗室非常有把握將它與ItaDuke系列活動聯繫在一起,並且攻擊者十分狡猾,在整個操作生命週期中不斷地對其惡意軟件進行更新。
閱讀更多 黑客視界 的文章
