APT29小组针对美国的攻击中使用的恶意软件分析

来自Cybaze ZLab-Yoroi团队的恶意软件研究人员已经发现了一种新的恶意软件代码，这种代码似乎与APT29小组（和俄罗斯关系密切）发动的新一轮攻击有关。

Yoroi ZLab的研究人员于11月16日发现了一款APT29组织新的恶意软件，该软件似乎与最近针对许多美国重要单位的网络攻击有关，这些单位包括军事机构、执法机构、国防承包商、媒体公司和制药公司。

“政府意识到最近发生的一系列网络安全事件和美国网络安全公司FireEye报道的一起冒充政府部门员工的事件有关。目前还未发现任何部门的内部网络受到此次攻击的影响。”政府部门表示到。

许多专家和媒体将这次袭击归咎于俄罗斯APT集团。

威胁行为者使用鱼叉钓鱼攻击，假装成美国国务院官员试图欺骗这些目标，这些攻击手段类似于与俄罗斯有关APT29组织所使用的攻击方式（又名公爵，可爱熊，可爱公爵）。

APT29隶属于APT28网络间谍组织，一起参与了针对2016年美国总统选举的民主党全国委员会的网络攻击浪潮。

此外，许多独立的安全研究人员在Twitter上发布了这一消息，目前他们正忙于分析这一威胁。

查看（据称）#APT29 LNK文件的哈希 2cea2a1f53dac3f4fff156eacc2ecc8e98b1a64f0f5b5ee1c42c69d9a226c55c - 多普通人来说这玩意简单，但有效，刚刚从虚拟机抓到这个软件等，马上测试运行这东西。pic.twitter.com/rpuHZnQ3F6

 -Joe Slowik (@jfslowik) 2018年11月16日


伟大的作品 @jfslowik https://t.co/9ZXf8yfFYa

 -Drunk Binary (@DrunkBinary) 2018年11月16日

攻击者通过散播包含恶意文件的ZIP文件来进行鱼叉钓鱼攻击。这个文件只包含一个具有非凡能力的链接（.LNK）文件。

当受害者双击链接文件时，会启动不同的系统操作：

1.它会运行一个Powershell命令，从LNK文件的隐藏部分中提取另一个Powershell脚本。这payload占据了位置0x0005E2BE到位置0x0000623B6。

2.第二个脚本会创建两个新文件：一个合法的pdf文档（ds7002.pdf）和一个可能包含实际有效payload的dll文件（cyzfc.dat）。

PDF文档会写入位置“%APPDATA%LocalTemp”，如果受攻击系统中安装了PDF阅读器，则会自动恶意软件打开。这个动作似乎是一个烟雾弹，目的是迷惑用户，而恶意软件执行一些其他恶意活动。

3.DLL文件会被写入路径“%APPDATA%\Local”，并通过第二个Powershell命令启动。它试图连接“pandorasong.com”地址，并使用HTTPS协议与这个站点交互。该网站目前处于瘫痪状态，因此恶意软件无法继续通信。然而，ZLAB的研究人员截获了对其发送的请求，如下图所示：

截止到目前为止，因为无法与控制端通信，所以还不清楚恶意软件的真正目的。此外，它似乎没有利用任何技术来获得持久性的后门。

专家将在未来几周发布恶意DLL文件的详细分析。

敬请期待！

恶意软件相关信息

IP：95.216.59.92

网址：pandorasong.com

HASH：

• cea2a1f53dac3f4fff156eacc2ecc8e98b1a64f0f5b5ee1c42c69d9a226c55c
• b77ff307ea74a3ab41c92036aea4a049b3c2e69b12a857d26910e535544dfb05
• b1c811d3f0e930b0096a9e785f730ba4d92458bd6dcfbdff4cf7a1e247ef20d1

文件名：

• ds7002.lnk
• %APPDATA%\Local\cyzfc.dat
• %APPDATA%\Local\Temp\ds7002.pdf

原文链接：https://securityaffairs.co/wordpress/78195/apt/apt29-malware-analysis.html