Confucius組織情況更新：新工具和新技術，與patchwork更進一步的關聯

早在二月份，我們就注意到了Patchwork和Confucius組織之間的相似之處，並發現除了惡意程式碼中的相似之外，這兩個組織都主要針對南亞的目標。在追蹤Confucius的這幾個月裡，我們發現其仍然瞄準位於巴基斯坦的目標。

在之前的行動中，我們發現Confucius使用假浪漫網站誘騙受害者安裝惡意Android應用程式。這一次，攻擊者有了一種新的工作方式，建立了兩個新的網站和新的有效載荷，以此來攻擊目標。

假安卓色情app和Windows聊天應用程式作為誘餌

第一個網站通過名為Fuddi Duniya的Android應用程式將成人內容用作誘餌，該應用程式連結到一個每天顯示裸體照片的網站。該應用的APK直接從網站主頁連結，並宣告Google Play不允許在其商店中出現色情內容。

圖1：帶有連結的虛假網站，下載Fuddi Duniya應用程式

該應用程式的功能類似於以前的惡意Android應用程式，例如具有錄製音訊和竊取特定目錄中的SMS、帳戶、聯絡人和某些檔案型別的功能。此外，該應用程式現在檢索最後一個已知位置，並使用開發平臺Google Firebase上傳被盜內容。

圖2：Fuddi Duniya Android應用程式的竊取資訊函式

第二個虛假網站又與聊天相關，後臺提示它可以幫助使用者找到合作伙伴。最初，存在一個與Google Play上託管的惡意Android應用程式的連結，該應用程式與上述應用程式共享相同的功能。但是當我們在進行研究時與Google聯絡後，該應用程式被從商店中刪除，連結從假網站上移除。

圖3.第二個假網站的螢幕截圖

與我們之前的研究中詳細描述的假Tweety聊天應用程式相同，Windows應用程式提供基於開源聊天應用程式RocketChat的真實聊天功能。同樣，這個應用程式也捆綁了惡意的.NET程式碼。

雖然體積小且相對簡單，但我們發現這個惡意應用程式很有趣，因為它揭示了威脅發起者所針對的國家。該應用程式是一個簡單的下載程式，它傳送使用3DES加密的一些基本資訊（使用者名稱、防病毒軟體、IP地址和作業系統版本）。

圖4.app程式碼示例

惡意軟體定期嘗試聯絡命令和控制（C＆C）伺服器，並將使用者名稱編碼到引數中。根據獲取的資訊，運營者可以決定指示惡意軟體下載第二階段的有效載荷。該功能與我們在之前的blog和whitepaper中分析的各種後門程式（如sctrls和sip_telephone）類似。

下載器有一個有趣的功能：它使用線上服務來檢索受害者的IP地址和國家，並將其與允許的國家列表進行比較。如果受害者來自不同的國家，該程式將自行刪除並退出。該列表包含：

· 大部分南亞和東南亞國家（包括蒙古）

· 大多數中東國家

· 大多數非洲國家

· 歐洲只有烏克蘭

· 美洲只有千里達及托巴哥

· 沒有來自大洋洲的國家

圖5.有效國家列表的摘錄

我們注意到它同時在客戶端和伺服器端執行IP過濾，表明攻擊者已經改進了其基礎架構。在去年年底，來自同一威脅行為者的C＆C不僅可以從任何IP地址訪問，而且可以在不進行身份驗證的情況下瀏覽伺服器目錄樹。

在模仿一個假興趣受害者後，我們獲得了第二階段有效載荷（檢測為TROJ_DELF.XXWZ），這是一個基於Delphi程式語言的檔案編輯器，類似於我們之前的部落格中描述的svctrls惡意軟體。這個稱為sysctrls，它查詢具有以下副檔名的檔案：

然後通過POST HTTP請求將它們傳送到windefendr[.]com/description.php。

對這個檔案編輯器的進一步分析揭示了與其他威脅組織的有趣聯絡。

Delphi連結

我們在之前的部落格已經提到，Confucius在有可能與其他組織有聯絡，其中提到了Patchwork和Confucius之間的程式碼共享。兩個組織都使用了一個具有相同配置檔案結構和命令的後門。

我們發現這兩個威脅行為者的惡意軟體之間共享更多的程式碼。Patchwork最近使用了一些類似於我們之前描述的Delphi惡意軟體的多個Delphi惡意軟體。

我們最初發現了所使用的惡意軟體之間一些視覺上的相似性。儘管在惡意軟體執行時沒有顯示任何表單，但我們可以在Delphi反編譯器中看到它的TForm物件。TForm物件通常有兩個TTimer物件，但有時我們看到了一個或者甚至三個這樣的物件，通常都使用隨機名。有時候，還會新增帶加密字串的列表框。

圖6：Confucius樣本的反編譯表單結構

圖7：Patchwork樣本的反編譯表單結構

在檢視任意一個TTimers的OnTimer方法時，我們經常發現某種結構：指向儲存在EDX暫存器中的加密字串的指標，然後是對解密函式的呼叫。

圖8：呼叫解密函式

這鼓勵我們全面徹底分析字串加密程式。

我們的分析了其中的三個。第一個涉及一個非常簡單的例程，用於翻轉字串的每一位。第二種演算法包含一個硬編碼金鑰，該金鑰通過取每個字元的低五位進行變換，然後用作XOR金鑰。在某些情況下，金鑰在二進位制檔案中被分割成兩部分，因此在使用之前它首先被重新合併。最後，我們的第三個演算法使用一個94個字元的替換表。安全研究人員在Confucius相關的部落格中曾經討論過該演算法。

對於這些演算法中的每一個，我們都發現最近的一個樣本會回溯到屬於Patchwork基礎架構的域名。

第三個演算法的替換表是在構建時隨機生成的，而攻擊者似乎設定了第二種演算法中使用的金鑰。我們在後一類中發現了六個不同的金鑰，這對於拼Patchwork和Confucius來說是不同的。

圖9.左邊是Confucius的程式碼，右邊是Patchwork的程式碼

有趣的是，其中一個金鑰“xldbszcd”在Confucius使用的檔案竊取程式中找到（472ea4929c5e0fb4e29597311ed90a14c57bc67fbf26f81a3aac042aa3dccb55，檢測為TSPY_CONFSTEAL.A），同樣存在於另外兩個檔案竊取程式中。

第一個檔案竊取程式（cca74bb322ad7833a21209b1418c9837e30983daec30d199a839f46075ee72f2，檢測為TSPY_DELF.SUW）於2013年由安全研究人員釋出並與域名myflatnet[.]com相關聯，歸屬於Hangover組織。

另一個檔案竊取程式（1f0dabd61947b6df8a392b77a0eae33777be3caad13698aecc223b54ab4b859a，檢測為TROJ_DELF.XXWZ）與2016年9月報告的域名相關。該報告還提到了InPage軟體和Delphi後門程式。

圖10.左：Confucius組織，中間：Hangover組織，右：未命名的組織

經過一番研究，我們發現有多個Delphi後門使用了三種解密程式中的一種。後門還連結到舊的Hangover域名以及與2016年9月部落格帖子中的域名相匹配的基礎設施。其中一些樣本已有好幾年的歷史，並且保留了“EnDecrypt”這個按位取反解密演算法的原始名稱。該演算法與以下程式碼匹配。

Patchwork的持續運動

除了Delphi惡意軟體，Patchwork仍然活躍。最近，他們一直在利用CVE-2017-8570傳送多個RTF檔案。投放的有效載荷是可以追蹤到域名sastind-cn [.] org和tautiaos [.] com的遠端管理工具QuasarRAT的修改版本。

圖11.成功感染後的程式樹

攻擊者有時會將武器檔案設計成目標感興趣的合法檔案。有的檔案非常大，通常超過10兆位元組。

圖12.左側是武器化文件，右邊是CSBA的合法檔案

該組織仍然使用Badnews惡意軟體，這是一種具有資訊竊取和檔案執行功能的後門，雖然在2017年末加密程式略有修改。當時他們在我們之前patchwork博文描述的自定義加密演算法之上新增了Blowfish演算法。

防禦Confucius和Patchwork

像Confucius和Patchwork這樣的組織以其大量的工具和不斷髮展的技術而聞名，這些技術使傳統的安全解決方案無效。為了幫助抵禦這些威脅，企業需要採取更加主動和專注的安全態勢，以保證安全性。一些可以實施的特定安全措施：

· 識別社會工程。惡意移動app是網路犯罪分子常見的感染媒介，因為它們可以吸引特定的目標受眾。在本文的案例中，Confucius就用了常見的“sex sells”。

· 主動監控企業的網路。攻擊者因創造可繞過簡單網路監控的隱形惡意軟體而臭名昭著。包括正確應用防火牆、入侵檢測和預防系統在內的更主動的措施可以幫助減輕攻擊的影響。

· 實施網路分段。即使採用最好的安全技術，仍然有可能發生攻擊。將網路分成若干段，並限制只有那些真正需要它的人才可以訪問，在遭受攻擊時減少損失。

· 定期更新系統。應該修補和更新從終端到網路軟體到物聯網裝置的所有內容，以防止或最大限度地減少攻擊者利用漏洞的機會。

在理想情況下，企業的內部安全團隊實施所有這些以及其他安全措施。現實情況是，小型到大型組織的IT部門沒有能力處理像Confucius這樣的組織在攻擊中使用的更高階的威脅。由於這些團隊也負責企業的日常IT需求，因此可能並不容易採取更加積極主動的態度。在這種情況下，企業可以尋求專業的第三方安全提供商，這樣可以更好地應對高階威脅。

原文釋出時間為：2018-05-27

本文來自雲棲社群合作伙伴“嘶吼網”，瞭解相關資訊可以關注“嘶吼網”。