本文翻译自:https://researchcenter.paloaltonetworks.com/2018/07/unit42-bisonal-malware-used-attacks-russia-south-korea/


攻击概要

5月初,Unit 42的研究人员发现一起针对俄罗斯国防公司和韩国企业的攻击活动,攻击活动中传播的恶意软件是Bisonal恶意软件的变种。Bisonal恶意软件从2014年就开始活跃了。Bisonal变种与之前的Bisonal恶意软件主要有三大不同,分别是C2通信的加密方法,网络通信和驻留机制的代码重写。

截止目前,研究人员只收集到该变种的14个样本,说明使用并不广泛。在攻击活动中,攻击者会诱使用户加载伪装为PDF文件的Windows可执行恶意软件。下面对针对俄罗斯和韩国的攻击活动进行分析。

针对俄罗斯的攻击活动

研究人员发现针对俄罗斯的攻击活动主要目标为提供通信安全服务和产品的公司,这些被攻击企业的另外一个特点是提供加密和密码服务,并开发了包括电信系统和数据保护设施在内的安全通信产品。由于目标企业开发的产品的敏感性,所以成为攻击的目标也就不足为奇了。

图1是发给目标企业的鱼叉式钓鱼攻击的邮件,邮件伪装成来自于俄罗斯工业与科技集团(Rostec),Rostec主要致力于研发、生产及出口高科技产品。

图1. 发给俄罗斯公司公司的鱼叉式钓鱼邮件

邮件的大致内容为该公司中标了”国防工程住房建设合作社综合项目”,并含有一个exe附件。

如图1所示,一些客户端软件并不会把附件显示为pdf文件。但把文件保存到电脑后,就会显示为pdf文件。一旦恶意可执行附件打开,主payload就会释放到受害者设备上,并显示为一个诱饵文件。图2就是诱饵文件的内容,一篇2018年1月30日Rostec官网发布的文章,内容与邮件正文内容一致。

图2 诱饵pdf文件

恶意软件分析

Dropper

针对俄罗斯的攻击中释放的可执行文件在主体后隐藏了加密的Bisonal DLL文件和恶意诱饵文件。一旦执行,dropper就会用RC4和密钥“34123412”解密数据,保存在下面的路径下并执行。

表 1. 针对俄罗斯的攻击文件哈希和路径
Dropper会创建下面的注册表记录,在计算机重启后执行Bisonal样本:
HKEY_CURRENT_USER \Software\Microsoft\Windows\CurrentVersion\Run\”vert” = “rundll32.exe c:\windows\temp\pvcu.dll , Qszdez”

主模块

DLL (pvcu.dll)是Bisonal恶意软件,但使用的是不同的C2通信密码。据报道,2014年和2015年Bisona使用的XOR运算来隐藏主体中的C2地址字符串。本样本中的Bisonal使用的是RC4算法,使用的key是78563412。研究人员发现,所有使用RC4算法的Bisonal样本使用的key都是相同的。

加密类型的变化会导致大量的代码重写,比如网络通信过程、驻留的方法等。比如,2012年的Bisonal样本使用send()和recv() API与C2服务器通信;而变种使用的是HttpSendRequest()和InternetReadFile()这一类的网络API。

最近攻击中的Bisonal变种用HTTP POST方法在TCP 443端口上与硬编码的C2地址通信。

  • kted56erhg.dynssl[.]com
  • euiro8966.organiccrap[.]com
点击收藏 | 0 关注 | 1
  • 动动手指,沙发就是你的了!
登录 后跟帖