利用Bookworm木馬攻擊泰國政府

wyzsk發表於2020-08-19
Worm
作者: virustracker · 2015/12/14 12:34

http://researchcenter.paloaltonetworks.com/2015/11/attack-campaign-on-the-government-of-thailand-delivers-bookworm-trojan/>

0x00 前言

Unit42近期公佈了一份關於最新木馬Bookworm的研究文章,文章中討論了這個木馬的架構和功能。泰國是這次攻擊活動的主要攻擊目標。

在本文中,我們會討論目前的攻擊活動,以及相關的威脅基礎設施和攻擊策略,技術和過程(TTPs)。在下面的列表中,提供了一份TTP總結,在本文中,我們都會涵蓋到:

  • 主要攻擊目標都分佈在泰國,尤其是政府機構。
  • 使用Bookworm作為攻擊載體。
  • 能夠訪問遭攻擊的伺服器,這些伺服器用於下載Bookworm。
  • 已知利用釣魚攻擊作為滲透目標的攻擊途徑,但是能夠訪問遭入侵的web伺服器,以便支援未來利用戰略web滲透(SWC)作為攻擊途徑。
  • 使用獨立的FlashPlayer來播放幻燈片,這些幻燈片以泰國實事作為誘餌文件,但是有時候,還會使用合法的Flash Player安裝程式作為誘餌。
  • 使用日期程式碼來跟蹤攻擊行動或木馬版本。如果日期程式碼確實用作了行動識別符號,然後,攻擊者會利用攻擊活動6到18天之前的事件作為誘餌文件的內容,從中我們可以稍微瞭解某個小組的開發和行動節奏。
  • 使用大型的C2基礎設施,這些C2伺服器非常喜歡利用動態DNS域名。部署了Poison Ivy,PlugX,FFRAT 和 Scieron木馬家族。

0x01 Bookworm 攻擊活動

攻擊者利用Bookworm作為攻擊載體來打擊泰國的目標。對這些活動感興趣的讀者可以首先讀一讀我們的第一篇文章,在文章中我們介紹了木馬的整體功能和木馬的各種元件。

Unit 42並沒有掌握到關於所有已知Bookworm樣本的詳細目標資訊,但是我們發現至少有兩處泰國政府分支機構遭到了攻擊。根據相關誘餌文件的內容以及幾個用於託管C2伺服器的動態DNS域名,我們懷疑,其他涉及Bookworm的攻擊活動也在攻擊泰國的組織,在這些C2伺服器中出現了“泰”、“泰國”等字樣。我們分析發現,遭到入侵的系統出現在了Backworm的C2伺服器中,這也證實了我們所猜測的主要的目標系統都出現在泰國。

0x02 靜態日期程式碼和誘餌

我們在上一篇Bookworm文章中提到過,這個木馬會向C2伺服器傳送一個靜態的日期字串,我們認為這個日期字串代表的就是活動程式碼。我們認為攻擊者會利用這個日期程式碼來跟蹤其攻擊活動;但是,在繼續分析了木馬後,我們認為這些靜態日期可以作為木馬的建立識別符號。憑藉當前的資料,我們還很難確定這些靜態日期程式碼的確切目的,但是,我們會在下一部分講解。雖然,目前我們更支援這些日期是活動程式碼的理論,我們從所有已知的Bookworm中提取出了下面的這些日期程式碼,從中可以看出他們的活動開始時間可能是2015年6月或7月:

• 20150626 • 20150716 • 20150801 • 20150818 • 20150905 • 20150920

0x03 木馬建立日期

攻擊者可能會使用硬編碼到Bookworm樣本中的資料字串作為一個建立識別符號。很常見的就是,一個木馬把一個建立識別符號傳送到它的伺服器上,因為這個識別符號能提示攻擊者確切的木馬版本。我們在上一篇部落格中說過,因為其模組化框架,Bookworm相當複雜,也就表明攻擊者需要了解他們正在與哪個版本的木馬通訊,以便安裝合適的補充模組。

雖然有一個合理的前提,但是我們掌握的資料還是無法證實Bookworm樣本中的硬編碼日期就是建立識別符號。為了嘗試證實這些日期就是建立ID,我們提取出了每個Bookworm樣本中的所有模組。然後,我們比較了日期值相同的Bookworm樣本中的各個模組。大多數使用相同模組的Bookworm中 都使用了相同的日期字串,但是有幾個樣本中雖然模組不同但是也有相同的日期字串。例如,表1中列出了兩種Bookworm樣本,日期程式碼有“20150716”和“20150818”,這些樣本使用了完全不同的Leader.dll模組。

p1

表1-這兩種Bookworm樣本都共用了一個靜態日期程式碼,但是使用了不同的Leader模組。

如果Bookworm開發者使用這些日期程式碼作為建立識別符號,這就表明使用新Leader模組的樣本也新增了新的日期程式碼。由於這些變化沒有新的日期字串,我們認為這些日期程式碼適用於行動追蹤,而不是Bookworm的建立識別符號。Unit 42會在未來的樣本中繼續比較Bookworm模組與這些日期程式碼。如果有證據表明這些日期字串的確是建立識別符號,我們還會修改我們的評定。

0x04 行動程式碼

我們認為Bookworm樣本使用的靜態日期字串用作活動程式碼,我們會根據這些字串來判斷我們尚不清楚的攻擊活動的大致日期。我們還比較了這些行動程式碼與攻擊活動發生的日期和誘餌文件中的事件日期。有大量的Bookworm樣本中會包括一個誘餌,這個誘餌會在木馬安裝過程中開啟,嘗試偽裝入侵活動。目前攻擊者使用了兩種誘餌檔案:一個合法的Flash Player安裝程式和一個獨立的Flash應用,用於播放照片幻燈片。圖1中就是使用的Flash Player安裝程式,從中可以看出,攻擊者正在使用社會工程來控制受害者更新或安裝Flash Player應用。在所有與這些合法Flash Player 安裝程式相關的樣本中都使用了代號“20150818”作為行動程式碼。

p2

圖1-Adobe Flash Player用作誘餌

Unit 42自己就遇到了6個幻燈片誘餌,攻擊者在一起Bookworm行動中利用這些誘餌攻擊了泰國。所有這六個幻燈片誘餌中都包含有與泰國相關的圖片。在一個已知的誘餌中,有一幅漫畫,描述了一些小孩前往寺廟的情形(圖2),攻擊者在2015年6月27日的一次釣魚攻擊中利用這個誘餌攻擊了一處泰國政府的分支機構。這個誘餌的檔名是“wankaophansa.exe”,從這個檔名中可以看出這幅漫畫與守夏節相關,守夏節指的是3個月漫長雨季的第一天。守夏節是泰國的國家性節日,2015年的守夏節從6月31日開始。此次攻擊活動在守夏節前四天開始,行動程式碼是“20150716”,比實際攻擊活動提前了11天。

p3

圖2-泰國兒童慶祝守夏節

我們目前還不清楚,投放另外5個誘餌的攻擊活動都攻擊了哪些具體的目標。為了判斷大致的攻擊時間,我們對比了與每個幻燈片誘餌關聯的行動程式碼,我們發現這些活動與誘餌文件中的事件日期一致。 其中的三個誘餌與2015年8月27日在曼谷發生的四面佛爆炸案由關係,圖3、4、5。與幻燈片誘餌關聯的行動程式碼是“20150801”,其中的照片顯示的就是四面佛的爆照情況(圖3),這個日期實際是爆炸事件發生的前16天。

p4

圖3-幻燈片誘餌中的圖片,顯示的是曼谷四面佛爆炸情況 (http://metro.co.uk/2015/08/17/huge-explosion-in-central-bangkok-near-major-tourist-attraction-5347076/)

圖4是第二個與爆炸案相關的誘餌,這裡面的照片是被捕的爆炸案嫌疑人Adem Karadag。這次逮捕事件是在2015年8月29日發生的,比與幻燈片誘餌關聯的行動程式碼“20150818”晚了11天。

p5

圖4來自一個幻燈片誘餌,顯示的是曼谷爆炸案犯罪嫌疑人的被捕畫面

第三個和最後一個與爆炸案相關的幻燈片誘餌中包含有Adem Karadag向經常描述自己在爆炸案中所扮演的角色(圖5)。案情重現是泰國警方辦案的一個標準程式,這起案例發生於2015年9月26日。與這個誘餌關聯的行動程式碼是“20150920”,比真實事件早六天。

p6

圖5-幻燈片誘餌中的照片,顯示的是犯罪嫌疑人在現場的照片

在另一個與Bookworm活動相關的誘餌中,包含有關於Bike for Dad 2015事件的照片。Bike for Dad是一次騎行事件,將會在2015年12月11日舉行, 旨在紀念泰國國王Bhumibol Adulyadej的88歲誕辰。許多泰國的重要人物都會出席此次活動,比如 泰國總統帕拉育就出現在了幻燈片誘餌中的多張照片中(圖6)。

p7

圖6-幻燈片誘餌中與Bike for Dad事件相關的照片(http://www.m-society.go.th/ewt_news.php?nid=15002)

與這個誘餌關聯的行動程式碼是“20150920”,也就是媒體報導泰國王儲Maha Vajiralongkorn會主持Bike for Dad 2015的一週前。首先,我們認為Bike for Dad 2015事件與先前的曼谷爆炸案誘餌並沒有關聯。根據同一篇文章中的報導,王儲稱騎行路線會透過拉差帕頌路口,也就是爆炸案的發生位置。因此,攻擊者在社會工程中利用這次事件是為了繼續吸引注意,因為先前的爆炸事件還牽動著泰國人民的心。

最後一個誘餌中出現了Chitpas Tant Kridakon的照片(圖7),這個人是泰國最大啤酒廠的女繼承人。Chitpas積極參與泰國政治,並且是人民民主委員會(PCAD)的一名核心領導人,這個組織在2013年和2014年的時候舉行了反政府活動。在2015年9月,Chitpas由於嘗試加入泰國行家警方而登上報紙頭條,因為她的政治觀點引起了抗議活動。幻燈片中的兩張照片是在2015年9月20日發表的一篇文章上刊登的。這些圖片都與代號為“20150905”的Bookworm活動有關。

p8

圖7-在一個幻燈片誘餌中出現的Chitpas Tant Kridakon照片

透過對比與未知攻擊活動相關的活動程式碼和誘餌中相關的事件日期,我們發現這些活動程式碼都會遭遇攻擊或事件發生的6到18天。這點可以表明,攻擊者首先會利用工具來部署行動,然後再選擇誘餌。這些誘餌文件還表明,攻擊者會積極地追蹤當前的新聞事件,並利用媒體報導中的圖片來建立幻燈片誘餌。

0x05 遭到入侵的主機

Unit42分析了與Bookworm C2進行通訊的系統,並發現了大量存IP地址是來自於泰國的自治系統(ASN)。圖8中的餅圖顯示大量的(73%)的主機位於泰國,符合這個攻擊小組的攻擊目標。我們認為來自加拿大、俄羅斯和挪威的IP屬於防毒公司和安全研究員。很有意思的是來自韓國的IP,這說明攻擊者也可能攻擊過韓國。但是,我們還沒有發現其他的證據能說明這一推論。

p9

圖8-與Bookworm C2通訊的IP地址印證了攻擊目標位於泰國

我們提取出了這些與Bookworm C2伺服器通訊的IP地址,並利用IP地理位置資料庫確定了這些IP的地理座標,標記在了地圖上,如圖9。大量的IP地址都位於泰國曼谷的城市區域,有一個位於Pattini南部小鎮,一個位於Chonburi省的 Phanat Nikhom街。IP位置確定系統並不是絕對準確的,但是,資料表明大多數遭到入侵的足跡都在曼谷周圍。這也符合攻擊者的主要攻擊目標,大部分泰國政府機構都分佈在曼谷和暖武裡府。

p10

圖9-GeoIP位置顯示遭到攻擊的主機大都分佈在曼谷城市區域

0x06 Bookworm的威脅基礎設施

攻擊者建立的Bookworm基礎設施大都使用了動態域名,但是,早期的樣本使用了攻擊者持有的一個完全限定域名(FQDN)。攻擊者還利用了合法的服務來託管Bookworm和其他相關的攻擊工具。總而言之,Bookworm的基礎設施與攻擊工具的C2伺服器出現了重合,包括FFRAT,Poison Ivy,PlugX等。

0x07 遭到入侵的Web伺服器

Unit 42發現攻擊者在合法的網站上託管Bookworm和其他相關的工具,這就表明攻擊者非法入侵了這些伺服器。我們發現一些Bookworm樣本託管在了屬於下列組織的伺服器上:

• 泰國的兩處政府分支機構 • 泰國軍方 • 臺灣工會

在這四個遭到入侵的web伺服器中,有3個網站早就在 Zone-h上列出來了遭到了篡改,而根據從2015年11月11日之間的Google cacge來看,另一個網站遭到了TURKHACKTEAM的篡改。我們不清楚攻擊者具體是如何入侵了這些網站,但是,其中一個網站允許訪客透過表單上傳檔案到web伺服器上(圖8)。Unit 42認為攻擊者知道可以透過表單向這個伺服器上傳Bookworm。很可能,攻擊者會上傳ASP shell來進一步控制這個伺服器。我們懷疑這些攻擊者可能會藉助對web伺服器的非法訪問在以後使用策略性web滲透(SWC)作為攻擊途徑。

p11

圖10-利用表單上傳檔案到伺服器上託管Bookworm木馬

託管這個檔案的網站上傳了一個屬於Bookworm攻擊目標的表單。這就說明攻擊者可能利用了這個websever來入侵其內部網路。

0x08 基礎設施和相關的工具

託管Bookworm C2的域名(參照我們Bookworm部落格中的入侵標識)連線到了一個大型伺服器,攻擊者還利用這個伺服器作為了其他一些工具的C2。目前為止,Unit 42發現Bookworm的基礎設施也是一些木馬的C2伺服器,包括FFRAT, PlugX, Poison Ivy和 Scieron木馬,這就表明攻擊者會使用這些工具作為攻擊載體。

Unit 42列出了所有與Bookworm相關的基礎設施,以及與這個攻擊小組相關的當前攻擊活動。其基礎設施相當複雜,並且與其他工具集出現了重合。圖11中就是一部分基礎設施與Bookworm, FFRAT, PlugX 和Poison Ivy之間的關聯。

p12

圖11-Bookworm,PlugX, Poison Ivy 和FFRAT木馬之間使用的基礎設施

Bookworm,PlugX和Poison Ivy樣本都使用了Smart Installer Maker,這是攻擊小組經常使用的一種技術。在一次案例中,一個Smart Installer Maker(MD5: 6741ad202dcef693dceb98b0a10c49fc)安裝了PlugX和Poison Ivy木馬,與木馬通訊的域名會解析到IP地址(119.205.158.70),這個IP同樣解析到了一個Bookworm的C2域名(sswmail.gotdns[.]com)。另一個木馬FFRAT同樣使用了這個IP,解析到了qemail.gotdns[.]com。我們觀察到Bookworm和FFRAT都使用了另外一個C2域名(ubuntudns.sytes[.]net)。

如前文提到的,與Bookworm相關的基礎設施相當複雜,與其他工具的C2域名存在諸多關聯。相關的基礎設施和木馬都列在了下表中。

p13

p14

p15

表2-與Bookworm相關的基礎設施

我們透過程式碼簽名證照,PE建立共性,被動DNS資料和重複的C2鬱悶確定了表2中的域名關係。透過被動DNS確定聯絡的域名都共用同樣的IP地址來解析到域名。透過重合的被動DNS資料,確定了下面的IP地址存在聯絡:

p16

0x09 總結

攻擊者從2015年6月開始攻擊泰國政府並投放了最新發現的Bookworm木馬。攻擊者似乎定好了作戰計劃,因為我們觀察到攻擊者的技戰術相當統一。攻擊者還在利用Flash Player安裝程式和Flash幻燈片來作為誘餌。誘餌幻燈片中的照片都是在泰國很有意義的事件或個人,這表明攻擊者還在利用有影響力的事件來偽裝他們的攻擊活動。

大量與Bookworm C2伺服器通訊的系統都位於曼谷的城市區域,在這裡有大量的泰國政府機構。雖然目前的攻擊活動都是以泰國政府為目標,但是Unit42認為攻擊者還會在未來的活動中利用Bookworm來攻擊其它政府。

本文章來源於烏雲知識庫,此映象為了方便大家學習研究,文章版權歸烏雲知識庫!

相關文章