近日,思科Talos團隊發現了一場新的網絡間諜活動。在活動中,攻擊者使用了一種此前從未被公開報道過的遠控木馬,基於代碼中對英國詩人兼劇作家威廉·莎士比亞的大量引用,Talos團隊將其命名為“PoetRAT”。
另據Talos團隊的說法,他們並不認為這場間諜活動與目前已知的任何一個黑客組織存在關聯,即攻擊者有很大可能是一個新近成立的黑客組織。有一點可以肯定的是,這場間諜活動是專門針對阿塞拜疆發起的,攻擊者尤其對工控系統感興趣,如ICS和SCADA系統。
誘餌文檔
Talos團隊表示,目前的PoetRAT間諜活動主要波及到幾個阿塞拜疆公共和私營部門,尤其是能源部門。
2020年2月:section_policies.docx
圖1.誘餌文檔截圖
誘餌文檔的內容由模糊的圖片組成,只能依稀可以看到印度國防研究與發展組織(DRDO)的圖標。
圖2.DRDO的圖標
2020年4月:C19.docx
圖3.誘餌文檔截圖
誘餌文檔被命名為“C19.doc”,但內容確實一堆亂碼。
2020年4月:Azerbaijan_special.doc
誘餌文檔看起來更加真實,攻擊者顯然是想要繼續借助“新型冠狀病毒”這個社會熱點來提高攻擊的成功率。
圖4.誘餌文檔示例1截圖
圖5.誘餌文檔示例2截圖
惡意軟件
無論文檔名或者內容是什麼,誘餌文檔均充當dropper的角色,包含一個將執行後續惡意行為的Visual Basic腳本。
腳本首先會將文檔加載到內存中,然後從文檔末尾複製7,074,638個字節,並將剩餘字節寫回磁盤。
圖6.RAT提取
寫入磁盤的文件實際上是一個ZIP文件,它包含一個Python解釋器和一個RAT Python腳本。
接下來,Word宏將解壓縮並執行被命名為“launcher.py”的主腳本。啟動程序腳本負責檢查當前環境——它假定所有沙盒的硬盤驅動器均小於62GB。
如果檢測到身處沙盒環境之中,那麼它將使用文件“License.txt”的內容覆蓋惡意軟件腳本並退出,從而將其自身刪除。
圖7.防沙盒代碼
如果確定不是在沙盒環境中運行,那麼它將生成一個唯一的ID,然後在執行之前將其替換為主腳本的Python源代碼。
RAT由兩個需要協同工作的腳本組成:frown.py和smile.py。其中,frown.py負責與命令和控件(C2)的通信,而smile.py則負責C2命令的解釋和執行,可用的命令如下:
- Ls-列出文件
- cd-更改當前目錄
- sysinfo-收集有關係統的信息
- download-使用ftp將文件上傳到C2
- upload-從C2下載文件
- shot-截取屏幕截圖,並使用ftp上傳到C2
- cp-複製文件
- mv-移動文件
- link-在文件之間創建鏈接
- register-修改註冊表
- hide-根據文件的當前狀態隱藏或取消隱藏文件
- compress-使用zip功能壓縮文件
- jobs-執行各種操作,如殺死、清除、終止進程(默認情況下將列出所有進程)
- -如果上述命令都不執行,則將執行該命令
手動安裝的其他黑客工具
在使用RAT成功感染目標系統後,攻擊者部署了一系列黑客工具,部分如下:
dog.exe
分析表明,dog.exe是採用.NET編寫的,允許攻擊者監視硬盤驅動器路徑,以及通過電子郵箱帳戶或FTP轉移竊取的數據。
配置文件名為“dconf.json”,內容格式如下:
圖8.dconf.json內容格式
Bewmac
Bewmac是一個內容極短的Python腳本,被用於控制受感染主機的網絡攝像頭。
圖9.腳本代碼
分析表明,該腳本使用了OpenCV庫,每次執行時會拍攝10張照片,照片被保存在本地文件系統中,而不是自動上傳到C2。
其他工具
Klog.exe:鍵盤記錄程序
Browdec.exe:瀏覽器憑證竊取程序
voStro.exe:憑證竊取程序Mimikatz的Python版本
Tre.py:用於使用文件/目錄樹創建文件的腳本
WinPwnage:權限提升開源框架
Nmap:一種開源的滲透測試和網絡掃描工具
結語
在這場網絡間諜活動中,攻擊者不僅使用了一種全新的遠控木馬,而且還使用了多種已知的黑客工具,旨在獲取更多有關受害者的信息以及高價值的憑證。
攻擊者的目標十分明確,主要針對的是阿塞拜疆的公共部門和私營部門,特別是能源領域中的ICS和SCADA系統,但最終的目的尚不能斷言。
