Confucius组织情况更新:新工具和新技术,与patchwork更进一步的关联

本文涉及的产品
.cn 域名,1个 12个月
密钥管理服务KMS,1000个密钥,100个凭据,1个月
简介:

早在二月份,我们就注意到了Patchwork和Confucius组织之间的相似之处,并发现除了恶意代码中的相似之外,这两个组织都主要针对南亚的目标。在追踪Confucius的这几个月里,我们发现其仍然瞄准位于巴基斯坦的目标。

在之前的行动中,我们发现Confucius使用假浪漫网站诱骗受害者安装恶意Android应用程序。这一次,攻击者有了一种新的工作方式,建立了两个新的网站和新的有效载荷,以此来攻击目标。

假安卓色情app和Windows聊天应用程序作为诱饵

第一个网站通过名为Fuddi Duniya的Android应用程序将成人内容用作诱饵,该应用程序链接到一个每天显示裸体照片的网站。该应用的APK直接从网站主页链接,并声明Google Play不允许在其商店中出现色情内容。

Confucius组织情况更新:新工具和新技术,与patchwork更进一步的关联

图1:带有链接的虚假网站,下载Fuddi Duniya应用程序

该应用程序的功能类似于以前的恶意Android应用程序,例如具有录制音频和窃取特定目录中的SMS、帐户、联系人和某些文件类型的功能。此外,该应用程序现在检索最后一个已知位置,并使用开发平台Google Firebase上传被盗内容。

Confucius组织情况更新:新工具和新技术,与patchwork更进一步的关联

图2:Fuddi Duniya Android应用程序的窃取信息函数

第二个虚假网站又与聊天相关,后台提示它可以帮助用户找到合作伙伴。最初,存在一个与Google Play上托管的恶意Android应用程序的链接,该应用程序与上述应用程序共享相同的功能。但是当我们在进行研究时与Google联系后,该应用程序被从商店中删除,链接从假网站上移除。

Confucius组织情况更新:新工具和新技术,与patchwork更进一步的关联

图3.第二个假网站的屏幕截图

我们之前的研究中详细描述的假Tweety聊天应用程序相同,Windows应用程序提供基于开源聊天应用程序RocketChat的真实聊天功能。同样,这个应用程序也捆绑了恶意的.NET代码。

虽然体积小且相对简单,但我们发现这个恶意应用程序很有趣,因为它揭示了威胁发起者所针对的国家。该应用程序是一个简单的下载程序,它发送使用3DES加密的一些基本信息(用户名、防病毒软件、IP地址和操作系统版本)。

Confucius组织情况更新:新工具和新技术,与patchwork更进一步的关联

图4.app代码示例

恶意软件定期尝试联系命令和控制(C&C)服务器,并将用户名编码到参数中。根据获取的信息,运营者可以决定指示恶意软件下载第二阶段的有效载荷。该功能与我们在之前的blogwhitepaper中分析的各种后门程序(如sctrls和sip_telephone)类似。

下载器有一个有趣的功能:它使用在线服务来检索受害者的IP地址和国家,并将其与允许的国家列表进行比较。如果受害者来自不同的国家,该程序将自行删除并退出。该列表包含:

· 大部分南亚和东南亚国家(包括蒙古)

· 大多数中东国家

· 大多数非洲国家

· 欧洲只有乌克兰

· 美洲只有特立尼达和多巴哥

· 没有来自大洋洲的国家

Confucius组织情况更新:新工具和新技术,与patchwork更进一步的关联

图5.有效国家列表的摘录

我们注意到它同时在客户端和服务器端执行IP过滤,表明攻击者已经改进了其基础架构。在去年年底,来自同一威胁行为者的C&C不仅可以从任何IP地址访问,而且可以在不进行身份验证的情况下浏览服务器目录树。

在模仿一个假兴趣受害者后,我们获得了第二阶段有效载荷(检测为TROJ_DELF.XXWZ),这是一个基于Delphi编程语言的文件编辑器,类似于我们之前的博客中描述的svctrls恶意软件。这个称为sysctrls,它查找具有以下扩展名的文件:

Confucius组织情况更新:新工具和新技术,与patchwork更进一步的关联

然后通过POST HTTP请求将它们发送到windefendr[.]com/description.php。

对这个档案编辑器的进一步分析揭示了与其他威胁组织的有趣联系。

Delphi链接

我们在之前的博客已经提到,Confucius在有可能与其他组织有联系,其中提到了Patchwork和Confucius之间的代码共享。两个组织都使用了一个具有相同配置文件结构和命令的后门。

我们发现这两个威胁行为者的恶意软件之间共享更多的代码。Patchwork最近使用了一些类似于我们之前描述的Delphi恶意软件的多个Delphi恶意软件。

我们最初发现了所使用的恶意软件之间一些视觉上的相似性。尽管在恶意软件运行时没有显示任何表单,但我们可以在Delphi反编译器中看到它的TForm对象。TForm对象通常有两个TTimer对象,但有时我们看到了一个或者甚至三个这样的对象,通常都使用随机名。有时候,还会添加带加密字符串的列表框。

Confucius组织情况更新:新工具和新技术,与patchwork更进一步的关联

图6:Confucius样本的反编译表单结构

Confucius组织情况更新:新工具和新技术,与patchwork更进一步的关联

图7:Patchwork样本的反编译表单结构

在查看任意一个TTimers的OnTimer方法时,我们经常发现某种结构:指向存储在EDX寄存器中的加密字符串的指针,然后是对解密函数的调用。

Confucius组织情况更新:新工具和新技术,与patchwork更进一步的关联

图8:调用解密函数

这鼓励我们全面彻底分析字符串加密程序。

我们的分析了其中的三个。第一个涉及一个非常简单的例程,用于翻转字符串的每一位。第二种算法包含一个硬编码密钥,该密钥通过取每个字符的低五位进行变换,然后用作XOR密钥。在某些情况下,密钥在二进制文件中被分割成两部分,因此在使用之前它首先被重新合并。最后,我们的第三个算法使用一个94个字符的替换表。安全研究人员在Confucius相关的博客中曾经讨论过该算法。

对于这些算法中的每一个,我们都发现最近的一个样本会回溯到属于Patchwork基础架构的域名。

第三个算法的替换表是在构建时随机生成的,而攻击者似乎设置了第二种算法中使用的密钥。我们在后一类中发现了六个不同的密钥,这对于拼Patchwork和Confucius来说是不同的。

Confucius组织情况更新:新工具和新技术,与patchwork更进一步的关联

图9.左边是Confucius的代码,右边是Patchwork的代码

有趣的是,其中一个密钥“xldbszcd”在Confucius使用的文件窃取程序中找到(472ea4929c5e0fb4e29597311ed90a14c57bc67fbf26f81a3aac042aa3dccb55,检测为TSPY_CONFSTEAL.A),同样存在于另外两个文件窃取程序中。

第一个文件窃取程序(cca74bb322ad7833a21209b1418c9837e30983daec30d199a839f46075ee72f2,检测为TSPY_DELF.SUW)于2013年由安全研究人员发布并与域名myflatnet[.]com相关联,归属于Hangover组织。

另一个文件窃取程序(1f0dabd61947b6df8a392b77a0eae33777be3caad13698aecc223b54ab4b859a,检测为TROJ_DELF.XXWZ)与2016年9月报告的域名相关。该报告还提到了InPage软件和Delphi后门程序。

Confucius组织情况更新:新工具和新技术,与patchwork更进一步的关联

图10.左:Confucius组织,中间:Hangover组织,右:未命名的组织

经过一番研究,我们发现有多个Delphi后门使用了三种解密程序中的一种。后门还链接到旧的Hangover域名以及与2016年9月博客帖子中的域名相匹配的基础设施。其中一些样本已有好几年的历史,并且保留了“EnDecrypt”这个按位取反解密算法的原始名称。该算法与以下代码匹配。

Patchwork的持续运动

除了Delphi恶意软件,Patchwork仍然活跃。最近,他们一直在利用CVE-2017-8570发送多个RTF文件。投放的有效载荷是可以追踪到域名sastind-cn [.] org和tautiaos [.] com的远程管理工具QuasarRAT的修改版本。

Confucius组织情况更新:新工具和新技术,与patchwork更进一步的关联

图11.成功感染后的进程树

攻击者有时会将武器文件设计成目标感兴趣的合法文件。有的文件非常大,通常超过10兆字节。

Confucius组织情况更新:新工具和新技术,与patchwork更进一步的关联

图12.左侧是武器化文档,右边是CSBA的合法文件

该组织仍然使用Badnews恶意软件,这是一种具有信息窃取和文件执行功能的后门,虽然在2017年末加密程序略有修改。当时他们在我们之前patchwork博文描述的自定义加密算法之上添加了Blowfish算法。

防御Confucius和Patchwork

像Confucius和Patchwork这样的组织以其大量的工具和不断发展的技术而闻名,这些技术使传统的安全解决方案无效。为了帮助抵御这些威胁,企业需要采取更加主动和专注的安全态势,以保证安全性。一些可以实施的特定安全措施:

· 识别社会工程。恶意移动app是网络犯罪分子常见的感染媒介,因为它们可以吸引特定的目标受众。在本文的案例中,Confucius就用了常见的“sex sells”。

· 主动监控企业的网络。攻击者因创造可绕过简单网络监控的隐形恶意软件而臭名昭著。包括正确应用防火墙、入侵检测和预防系统在内的更主动的措施可以帮助减轻攻击的影响。

· 实施网络分段。即使采用最好的安全技术,仍然有可能发生攻击。将网络分成若干段,并限制只有那些真正需要它的人才可以访问,在遭受攻击时减少损失。

· 定期更新系统。应该修补和更新从终端到网络软件到物联网设备的所有内容,以防止或最大限度地减少攻击者利用漏洞的机会。

在理想情况下,企业的内部安全团队实施所有这些以及其他安全措施。现实情况是,小型到大型组织的IT部门没有能力处理像Confucius这样的组织在攻击中使用的更高级的威胁。由于这些团队也负责企业的日常IT需求,因此可能并不容易采取更加积极主动的态度。在这种情况下,企业可以寻求专业的第三方安全提供商,这样可以更好地应对高级威胁。


原文发布时间为:2018-05-27

本文来自云栖社区合作伙伴“嘶吼网”,了解相关信息可以关注“嘶吼网”。

相关文章
|
7月前
|
监控
2、软件项目跟踪和监督过程——所有表集合
2、软件项目跟踪和监督过程——所有表集合
73 0
|
7月前
|
监控 安全 测试技术
1、软件项目规划过程——所有表集合
1、软件项目规划过程——所有表集合
74 0
|
1月前
|
存储 数据可视化 测试技术
如何建立一个团队内部的在线知识协作环境?
在数字化时代,高效的团队协作至关重要。本文探讨了如何建立团队内部的在线知识协作环境,强调了明确目标、选择合适工具(如板栗看板)、搭建沟通机制、制定规范流程及持续评估改进的重要性,旨在提升团队整体工作效能。
如何建立一个团队内部的在线知识协作环境?
|
2月前
|
数据可视化 项目管理
什么是关键工作?如何识别和管理项目中的关键工作?
项目管理中的关键工作是指那些一旦延迟便会影响整个项目进度的任务。本文从实战角度探讨了关键工作的定义、识别方法及高效管理策略,强调了资源优先配置、预警机制、应急方案及频繁沟通的重要性,并介绍了几款有助于关键任务管理的项目管理工具。
66 1
|
4月前
|
存储 监控 安全
确保大型组织网络安全的策略与方法
【8月更文挑战第24天】
98 0
|
数据采集 机器学习/深度学习 存储
「数据战略」结果驱动的企业数据策略:数据生命周期过程
「数据战略」结果驱动的企业数据策略:数据生命周期过程
|
数据管理
如何创建支持数据的组织
数据是数字化转型的中心,但智能化管理数据是成功的最大障碍。在数据管理中,这不仅仅是技术和规模的问题,更是组织和流程的问题。
如何创建支持数据的组织