近期,Mandiant 披露了名为 UNC4034 的 APT 组织利用 WhatsApp 发起的针对性攻击。研究人员认为这次攻击行动与自从 2020 年开始的、代号为 Dream Job 的攻击行动有关,朝鲜黑客有针对性地投递恶意 ISO 文件发起攻击。
根据 Mandiant 的研究,攻击者首先通过电子邮件向受害者发送亚马逊的招聘信息,紧接着通过 WhatsApp 以招聘流程的名义发送恶意 ISO 文件。
Mandiant 披露了两个 ISO 文件的哈希值,分别名为 amazon_test.iso 与 amazon_assessment.iso,但通过哈希值在 VirusTotal 中只能找到第一个文件。
样本拓线
尝试根据通过文件名来检索第二个 ISO 文件,查询语句为 name:"amazon_assessment.iso"。发现了一个样本文件,该样本文件与 Mandiant 披露的 ISO 文件具有相同的配置信息。发现的样本应该是一个新的样本,在 readme.txt 中的配置信息如下所示:
这些 ISO 文件中都包含两个文件:
一个 Windows 可执行文件,为投毒版本的 Putty
一个名为 readme.txt 的文件
据此,可以检索内容中包含 readme.txt 和 *.exe 两个文件的 ISO 样本文件。为了更加准确,过滤掉超过 10MB 的样本以及 2020 年之前提交给 VirusTotal 的样本。一共有六个样本文件:
| 哈希值 | 文件名 | ISO 卷名称 |
|---|---|---|
| 8cc60b628bded497b11dbc04facc7b5d7160294cbe521764df1a9ccb219bba6b | amazon_test.iso | AMAZON_TEST |
| dc20873b80f5cd3cf221ad5738f411323198fb83a608a8232504fd2567b14031 | Amazon_Assessment.iso | AMAZON_ASSESSMENT |
| 3818527bc78efcece9d9bc87d77efa9450c2ba5c94f8441ea557ba29d865e7d3 | SA_Assessment.iso | AMAZON_ASSESSMENT |
| cd8e12cddfe71b89597b6621d538b63673c8a8a3bf47a0fa572961ca1280e5b5 | IT_Assessment.iso | AMAZON_ASSESSMENT |
| ccdb436a5941ba47a8b7e110021ad98ba6dc4e0296dc973429fc0c73de5e5397 | Dell_SE_Assessment.iso | DELL_SE_ASSESSMENT |
| 455a7ebf67aec7b4d6cc18ed930bde491c0327ba5e24968514dd9b3449a7c374 | IBM_SSA_Assessment.iso | IBM_SSA_ASSESSMENT |
ISO 文件元数据中的 ISO 卷名称也可以用于进行检索,查询语句为 metadata:ASSESSMENT tag:isoimage size:10mb-。
不仅仅是 Putty
尽管对发现的样本文件并没有进行深入分析,但在 ISO 文件中除了投毒的 Putty 外还发现另外两个投毒的客户端工具:TightVNC Viewer 与 KiTTY。
| 哈希值 | 文件名 | ISO 卷名称 |
|---|---|---|
| 8cc60b628bded497b11dbc04facc7b5d7160294cbe521764df1a9ccb219bba6b | cf22964951352c62d553b228cf4d2d9efe1ccb51729418c45dc48801d36f69b4 | PuTTY |
| dc20873b80f5cd3cf221ad5738f411323198fb83a608a8232504fd2567b14031 | 52ec2098ed37d4734a34baa66eb79ec21548b42b9ccb52820fca529724be9d54 | PuTTY |
| 3818527bc78efcece9d9bc87d77efa9450c2ba5c94f8441ea557ba29d865e7d3 | 75771b5c57bc7f0d233839a610fa7a527e40dc51b2ec8cbda91fab3b4faa977f | KiTTY |
| cd8e12cddfe71b89597b6621d538b63673c8a8a3bf47a0fa572961ca1280e5b5 | 6af9af8aa0d8d4416c75e0e3f7a20dfe8af345fb5c5a82d79e004a54f1b670dc | KiTTY |
| ccdb436a5941ba47a8b7e110021ad98ba6dc4e0296dc973429fc0c73de5e5397 | 14f736b7df6a35c29eaed82a47fc0a248684960aa8f2222b5ab8cdad28ead745 | TightVNC Viewer |
| 455a7ebf67aec7b4d6cc18ed930bde491c0327ba5e24968514dd9b3449a7c374 | 37e30dc2faaabaf93f0539ffbde032461ab63a2c242fbe6e1f60a22344c8a334 | TightVNC Viewer |
其中部分样本中还包含了攻击者未删除的 PDB 路径:
TightVNC 相关的样本中还包含名为 N:\\2.MyDevelopment\\3.Tools_Development\\4.TightVNCCustomize\\Munna_Customize\\tightvnc\\x64\\Release\\tvnviewer.pdb 的 PDB 路径。
在某些情况下,攻击者会在不同的攻击行动间重复使用相同的 ISO 元数据。如下所示,ISO 文件的文件名与 ISO 卷名称无关:
攻击基础设施
在所有的文件中通过静态提取了相关的 IP 地址,通过动态分析获取了通信的 IP 地址。
| 哈希值 | readme.txt中的IP地址 | 沙盒中的IP地址 |
|---|---|---|
| 8cc60b628bded497b11dbc04facc7b5d7160294cbe521764df1a9ccb219bba6b | 137.184.15.189 | |
| dc20873b80f5cd3cf221ad5738f411323198fb83a608a8232504fd2567b14031 | 143.244.186.68 | 44.238.74.84 |
| 3818527bc78efcece9d9bc87d77efa9450c2ba5c94f8441ea557ba29d865e7d3 | 147.182.237.105 | 3.137.98.129 |
| cd8e12cddfe71b89597b6621d538b63673c8a8a3bf47a0fa572961ca1280e5b5 | 137.184.15.189 | 172.93.201.253 |
| ccdb436a5941ba47a8b7e110021ad98ba6dc4e0296dc973429fc0c73de5e5397 | 44.238.74.84 | |
| 455a7ebf67aec7b4d6cc18ed930bde491c0327ba5e24968514dd9b3449a7c374 | 44.238.74.84 |
在 VirusTotal 上也可以查询到这些 IP 地址相关的样本文件:
结论
利用 VirusTotal 可以发现安全厂商披露的攻击行动的更多样本文件。攻击者不仅假借亚马逊的名义,还利用了戴尔与 IBM 的名义进行恶意攻击。2022 年 6 月到 2022 年 9 月就发现了多个样本,这表明攻击者的攻击行为相当活跃。
声明:本文来自威胁棱镜,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
