APT攻击者会关心时事热点,使它们的攻击主题活动更具有诱惑力,并对没什么疑心的受害人开展攻击。这种事情并并不是国际性的,通常仅是当地或地区名性的,这有利于攻击者变小总体目标范畴,以期得到很大的攻击成效。
因而,当阿布扎比我国石油企业(ADNOC)停止其以前签署的工程项目,购置和工程建筑(EPC)合同书时,仔细的攻击者为攻击计划方案带来了新的构思。
https://meed.com/adnoc-awards-dalma-gas-project-to-petrofac-and-sapura
自2020年7月至今,大家发觉对于中东石油和燃气领域好几个供应链有关机构的目的性攻击有所增加。 大家看到了以电子邮件配件方式推送的故意PDF文件的好几个案例,并发觉被用于向这种机构派发盗取信息内容的木马病毒文件AZORult。
在这里blog中,大家叙述了此主题活动的详细资料,表述了攻击媒体,恶意程序派发对策和危害归因于。
0x01 派发对策
攻击链起源于一封电子邮件,该电子邮件好像来自于ADNOC的一名高官,而且对于的是供应链和中东地区政府机构的高官。
此攻击主题活动系列产品中的每封电子邮件都是有一个配件PDF文件。该PDF的主页上包括下载地址,这种连接可通向合理合法的文件共享资源网站,例如wetransfer和mega.nz(之中代管ZIP归档)。ZIP文件包括一个装包的故意.NET可实行文件,它将破译,载入和实行AZORult木马病毒文件。图1展示了攻击步骤。
图1:攻击流程
电子邮件剖析
图2展示了一封电子邮件,该电子邮件装扮成来源于ADNOC Sour Gas试验室的高級科学家。
图2:发给中东地区供应链领域高官的虚报电子邮件
在任何状况下,电子邮件都是以根据Gmail的详细地址推送的。在攻击中留意到的2个Gmail详细地址是:
salessigma87@gmail.com](mailto:salessigma87@gmail.com)
[procurment.chefsfirst.com@gmail.com](mailto:procurment.chefsfirst.com@gmail.com)
攻击者还运用了来源于Tutanota的密名电子邮件服务项目来建立在keemail.me和tuta.io中申请注册的电子邮件,这种电子邮件主题活动中也应用了这种电子邮件。
电子邮件附加的PDF文件是多张文件(共14页),好像是与ADNOC和多哈机场相关的各类新项目的供货合同书和法律法规招标会的价格要求(RFQ)。鱼饵文件通过精心策划,社会工作者目地十分明显。每一个文本文档的第一页包括应用内嵌式下载地址浏览规格型号和图样的表明,这种连接会造成免费下载故意ZIP文本文档,如上边的攻击步骤上述。
PDF中內容的一些实例包含:
PDF文件名: PI-18031 Dalma Gas Development Project(Package B)-TENDER BULLETIN-01.pdf
MD5hach: e368837a6cc3f6ec5dfae9a71203f2e2
图3表明了一个装扮成与Dalma天燃气开发设计新项目有关的合理合法价格要求(RFQ)的PDF。它在右上角含有ADNOC的logo,而且第一页包括故意下载地址。
图3:与此攻击有关的PDF中包括的仿冒信函
PDF文件名: AHA-QA HAMAD INTERNATIONAL AIRPORT EXPANSION,DOHA.pdf
MD5hach: abab000b3162ed6001ed8a11024dd21c
图4表明了一个PDF,该PDF装扮成哈马德机场内罗毕改建方案的价格要求,据推断是来源于卡塔尔的供应链貿易承包单位。
图4:本地飞机场改建新项目的虚报询价采购
0x02 样版剖析
攻击者对中东地区总体目标尤其有兴趣,例如中东地区供应链中的结构和政府机构,尤其是阿拉伯联合酋长国( UAE)和卡塔尔。
依据电子邮件的总体目标收货人,电子邮件的具体内容及其额外的PDF文件,及其数据库和基本结构特征,大家得出以下结论:,这也是对中东地区机构的目的性攻击。
元数据统计分析
在分析了PDF文件的数据库以后,大家可以发觉与同一危害参加者关系的好几个PDF文件。从2020年1月到2020年5月,该派发方式已在野外很多应用。
从2020年7月逐渐,大家留意到该危害参加者的主题活动有所增加,并进行了新的攻击。
PDF文件的数据库说明他们是应用Microsoft Office Word 2013转化成的。在全部PDF实例中采用的唯一的作者姓名是:
Donor1
Mr. Adeel
图5展示了含有MD5hache368837a6cc3f6ec5dfae9a71203f2e2的PDF文件的数据库实例。
图5:此攻击系列产品中采用的PDF之一的数据库
附则中给予了此主题活动中确认的全部PDF样版的详细目录。
基础设施建设剖析
除开电子邮件的具体内容和用以危害归因于的文本文档以外,大家也可以从指令与操纵(C&C)基本构造中推测危害参加者尤其挑选了与主题风格结合的C&C网络服务器。
大家发觉的实例中的C&C网络服务器是crevisoft.net。
在解析时,此网站域名名分析为IP地址 167.114.57.136。大家留意到,当立即浏览该网站域名名时,它将跳转到坐落于crevisoft.com上的印度服务咨询企业 ,如下图6所显示。
图6:在crevisoft.com上代管的根据中东地区的合理合法网站
下列全部四个网站域名都将跳转到以上网站域名:
- · crevisoft.net
- · cis.sh
- · crevisoft.org
- · crevisoft.co
拥有较高的置信度,我们可以得出以下结论:,该攻击者有兴趣爱好盗取信息内容并得到对坐落于中东地区的供应链有关机构的根本构造的访问限制。
.NET payload的技术指标分析
出自于技术指标分析的目地,大家将剖析含有MD5hach的.NET二进制文件:84e7b5a60cd771173b75a775e0399bc7
免费下载的ZIP存档文件中包括的payload是装包和搞混的.NET二进制文件。
根据静态数据剖析,我们可以见到payload装扮成具备欺诈性数据库的Skype应用软件,如下图7所显示。
图7:关键.NET可实行文件的数据库
实行后,它将压缩包解压置入在資源一部分中的另一个payload。图8表明了应用硬编码密匙“ GXR20”破译payload的订制优化算法。
图8:用以破译第二阶段.NET DLL的子例程
第二阶段
图9表明了破译后的payload,它是一个含有MD5哈希值 0988195ab961071b4aa2d7a8c8e6372d和名字Aphrodite.dll的.NET DLL。
图9:解压缩并载入的第二阶段DLL,称之为Aphrodite
根据为名为“ Mortiz.Anton”的类建立一个目标及其下列三个主要参数,将执行命令迁移到DLL,如下图10所显示。
- · ugz1:“ ddLPjs”(图像文件資源的名字)
- · ugz3:“ KKBxPQsGk”(破译密匙)
- · projName:“ Skype”(关键可执行程序的项目规划)
图10:将编码控制传送给Aphrodite DLL
该DLL进一步解压缩另一个二进制文件,该二进制文件做为图像文件置入在关键可执行程序的資源一部分中,如下图11所显示。
图11:資源一部分内部结构的图像文件,在其中包括下一阶段的payload
与第二阶段(Aphrodite)类似,它也应用自定优化算法开展数据加密。订制优化算法根据XOR,应用主要参数ugz3特定的密匙。
第三阶段
最后的解压缩二进制文件是一个含有MD5hach ae5f14478d5e06c1b2dc2685cbe992c1和名字Jupiter的.NET DLL 。
根据启用其例程之一,将编码控制迁移到第三级DLL,如下图12所显示。
图12:解压缩并载入的名为Jupiter的第三阶段DLL
此第三阶段DLL应用多种方式 来检验虚拟化技术或剖析自然环境的存有。
注册表文件查验
环境监测:
查验kernel32.dll的导出来函数公式是不是包括:wine_get_unix_file_name
根据Windows Management Instrumentation(WMI)的查验:
WMI查看:“ SELECT * FROM Win32_VideoController”
特性:“Description”
查验叙述字段名中是不是具有下列关键词:
· "VM Additions S3 Trio32/64"
· "S3 Trio32/64"
· "VirtualBox Graphics Adapter"
· "VMware SVGA II"
· "VMWARE"
根据DLL名字的查验:
检查过程详细地址室内空间中是不是存有名字为“ SbieDll.dll”的DLL。
根据登录名的查验:
检查系统软件登录名是不是包括下列字符串数组之一:
· "USER"
· "SANDBOX"
· "VIRUS"
· "MALWARE"
· "SCHMIDTI"
· "CURRENTUSER"
根据文件夹名称或根据文件路径的查验:
FilePath包括:“ // VIRUS”或“ SANDBOX”或“ SAMPLE”或“ C:\ file.exe”
对话框类查验:
“ Afx:400000:0”
实行完全部以上自然环境查验后,在主过程的新例子中引入了AZORultpayload(MD5hach: 38360115294c49538ab15b5ec3037a77)。
根据执行命令的步骤和所采用的反剖析技术性,.NET装包的payload好像是应用CyaX装包程序流程建立的。相关此装包程序流程的大量详细资料,请参照这里。
https://rvsec0n.wordpress.com/2020/01/24/cyax-dotnet-packer/
网络通信
最后的未缩小payload AZORult将在电子计算机上执行信息盗取主题活动,并根据向URL推送HTTP POST要求来泄漏信息内容:hxxp://crevisoft.net/images/backgrounds/ob/index.php
通过查验,大家看到在C&C网络服务器上开启了opendir,如下图13所显示。
图13:在C&C网络服务器上开启了Opendir
可以利用下列网站地址浏览C&C网络服务器上的AZORult控制面板:hxxp://crevisoft.net/images/backgrounds/ob/panel/admin.php。
图14:AZORult面板
PHP电子邮件程序流程脚本制作
在C&C网络服务器上发觉的别的部件中,大家看到了一个PHP电子邮件脚本制作,布署在 hxxp:// crevisoft [。] net / images /-/ leaf.php。
这使网络攻击可以应用C&C网络服务器的SMTP推送电子邮箱。
图15:C&C网络服务器上的PHP电子邮件脚本制作
0x03 结果
该网络攻击对于中东国家石油和天燃气行业供应链管理行业的职工,像以往一样,客户在忽然接到电子邮件时应维持慎重,即使这种电子邮箱好像与你有兴趣的东西相关,例如很有可能看上去是相应的新项目投标文件。自始至终当心置入在格式文件(例如PDF)中的连接,由于这种连接很有可能会可能会导致上下载故意文档。
0x04 MITRE ATT&CK TTP投射
0x05 IOCs
文中翻译自:https://www.zscaler.com/blogs/research/targeted-attacks-oil-and-gas-supply-chain-industries-middle-east倘若转截,请标明原文地址。