据外媒报道,APT29自SolarWinds攻击事件之后又发起一轮新的攻击,主要针对美国与英国,用于窃取下一步攻击的目标资源,据披露目前微软的客户支持团队被攻击成功。分析系统于5月29日获取到三枚ISO文件中相关的恶意文件并进行了分析。
图1样本获取时间
-----APT29简介-----
别名:CozyBear、TheDukes、Group、Yttrium、IronHemlock、Minidionis、CloudLook、ATK7、ITG11、GrizzlySteppe、UNC、DarkHalo、SolarStorm、StellarParticle、Nobelium
针对行业:国防、能源、政府、执法、媒体、非政府组织、制药、电信、交通、智囊团、影像、大型软件供应商
针对国家:澳大利亚、阿塞拜疆、白俄罗斯、比利时、巴西、保加利亚、加拿大、车臣、中国、塞浦路斯、捷克、法国、格鲁吉亚、德国、匈牙利、印度、爱尔兰、以色列、日本、哈萨克斯坦、吉尔吉斯斯坦、拉脱维亚、黎巴嫩、立陶宛、卢森堡、墨西哥、黑山、荷兰、新西兰、波兰、葡萄牙、罗马尼亚、俄罗斯、斯洛文尼亚、西班牙、韩国、土耳其、乌干达、英国、乌克兰、美国、乌兹别克斯坦,北约
-----包裹体分析-----
攻击者在使用ISO光盘映像装载恶意文件,并对恶意文件Documents.dll进行了隐藏,使用诱饵快捷方式指向了恶意文件执行,LNK文件显示的目标路径并非被执行路径,形似欲执行%windir%/system32/explorer.exe(路径真实并不存在),实则被执行对象为rundll32.exe,并加载lnk文件当前路径指向的Documents.dll文件调用其Open接口执行。
图2隐藏在ISO文件中的木马程序
图3被构造的非常规lnk文件
图4诱饵文档
-----Win32恶意程序-----
Documents.dll是CobaltStrikeBeaconloader,存在两个hash,由于导出表时间戳与PE文件的时间戳不同,可能时间是伪造,PDB路径均相同,并在PDB路径中伪造了韩文路径,韩文可翻译为”开发”,两者差异为其中一枚加入了反检测代码,功能如下:1、使用cpuid检测沙箱2、硬编码文件路径检测虚拟机3、检测mac地址发现虚拟机4、检测注册表发现虚拟机
图5PDB路径
图6伪造的时间戳
图7CPUID检测分析环境
图8文件路径与mac地址检测分析环境
图9注册表检测分析环境
图10其他代码并无差异
-----IOCs-----
C2
