优发国际网站官网

首页 > 清静研究 > 研究报告 > 攻击与威胁剖析

以委内瑞拉军方为攻击目的的网络特工运动剖析

宣布时间 2022-05-31

一、背景

2022年以来，优发国际网站官网ADLab一连追踪到多起针对委内瑞拉军队和国防部分的网络特工窃密运动，这些攻击运动以军事和国防事务为诱饵侵入内部系统窃取军事和国防情报。攻击者将自身伪装成委内瑞拉玻利瓦尔共和国的军事部分，以军队内部事务如“针对信息手艺和通讯局国防部分的建媾和行动”、“少将指示下令”等为诱饵对委内瑞拉的国防部及各军事部分提倡定向攻击并植入窃密木马。我们对攻击所使用的窃密木马举行了深度的剖析发明窃密木马不但具有较强的窃密功效，还具有目的性的网络文档文件，黑客针对此类敏感部分的针对性攻击具有极强情报网络意图。由于委内瑞拉恒久处于政治经济双重�；�，尤其在2019年内乱之后更是时势动荡，此类网络窃密运动频仍爆发，所窃取的军事情报或神秘文件被用于政治和军事上对抗。类似的攻击可能还会通过其他攻击入口举行，但鉴于攻击路径的隐秘性和威胁信息孤岛的保存，难以被外部所监控到，就如俄乌对抗下的一系列事后许久才被发明的攻击事务一样。最后，我们进一步对此次攻击运动的攻击目的、入侵手艺特点、语言习惯、代码同源性等因素举行比对剖析后，找到这些攻击运动的组织归属，多方面的证据都将此次攻击泉源指向Machete黑客组织。

Machete组织，是一个恒久以拉丁美洲地区主要敏感部分为目的的黑客组织，最早活跃时间可以追溯到2010年，凭证该组织的攻击特点和泄露的信息可以确定该组织同样应该位于拉美地区，可是现在没有足够的证据和线索将其归属详细哪个国家。该组织在拉美地区时势动荡的配景下非�；钤�，攻击目的主要集中于拉丁美洲国家，重点针对军事、政府等敏感行业举行攻击以窃取神秘信息。

在本次发明的攻击运动中，Machete组织重点针对委内瑞拉军事部分和国防部实验攻击，这与其以往的攻击目的基本一致。不过这次攻击所使用的窃密木马有了一定水平的手艺刷新和升级，从4月发明的攻击木马可以看出，该组织对其定制的窃密木马举行了优化升级，同时将刷新后的木马命名为kaiser 1.0。这也是自2020年以来该组织首次对其攻击工具举行升级，新增的功效�？榘ㄇ匀≈骰舾形募⑶匀SB装备敏感文件、更无邪的恶意扩展支持和回传后门版本信息，相关�？樵鎏砹四韭矶阅康淖氨该舾形募耐ㄅ糖悦苣芰扒悦芄πУ目衫┱鼓芰�。同时，该组织近年来还在一直刷新其C&C隐藏的手段，以提高基础设施的反检测和反追踪能力，以增强C&C的隐藏性、可控性和清静性。

本文将对近期该组织的攻击运动举行追踪和剖析，并针对其恒久以来的攻击目的、攻击手艺演进、新使用的基础设施等举行周全地剖析。最后重点针对本次攻击使用的升级后门�？楹拖喙厥忠障附诰傩猩钊肫饰�。

二、组织剖析

自2010年以来，Machete组织一直热衷于攻击拉丁美洲涉及军事、政府、执法等敏感行业和部分。本节将重点剖析该组织恒久以来的攻击目的情形、攻击手艺演进及代码特征等特点，并团结本次攻击运动举行比照剖析，最后披露其近期使用的网络攻击资产（阻止现在相关服务器依然活跃）。

2.1 攻击目的

优发国际网站官网ADLab通过威胁情报源共关联到Machete组织历史上使用过的多个诱饵文档。在针对诱饵内容举行剖析统计后，发明诱饵内容中涉及国家或地区的名词主要位于拉丁美洲国家，相关漫衍占好比图1所示。其中数目较多的国家主要包括委内瑞拉、尼加拉瓜、厄瓜多尔、哥伦比亚等，由此来看，该组织的攻击目的应当是诱饵内容相关的国家或地缘政治有关的邻国。同时，文档使用的语言均为西班牙语或葡萄牙语（西班牙语是拉丁美洲21个国家的官方语言）。因此，从诱饵内容、文档语言和地缘政治等角度可以确定攻击者恒久以来的目的主要集中在拉丁美洲。

图1.png

图1 诱饵内容涉及国家或地区的占比

在进一步针对诱饵内容的主题举行统计后，可以发明诱饵内容主要集中在军事情报和政治议题两种种别，军事情报类如“陆军司令部行动信息表”、“步队职员调动”、“军事下令”等敏感信息，政治议题类如“政府文件”、“外交文件”等，其它诱饵文件还包括“债务诉讼”、“执法传票”等威胁吓唬类主题。种种诱饵主题的漫衍占好比图3所示。攻击者在网络足够信息并对目的有了清晰的认知之后，凭证目的的小我私家情形制订响应的诱饵计划。以下是近期我们捕获到的部分委内瑞拉相关的军事信息类诱饵文档，涉及军事下令（“少将指示下令”）和军事战略（“针对信息手艺和通讯局国防部分的建媾和行动”）相关的内容，与以往的诱饵主题和攻击目的基本坚持一致。

图2.png

图2 本次攻击运动使用的军事信息类文档

图3.png

图3 诱饵文档主题占比

别的，我们还在本次攻击Machete组织的木马代码中视察到，其使用西班牙语键盘举行窃密信息纪录，并且在代码中对系统文件夹Program files的特殊处置惩罚也使用了西班牙语Archivos de programa（Program files）。因此，从代码的角度也可以印证攻击者的目的主要位于拉丁美洲地区。

图4.png

图4 西班牙语键盘纪录

2.2 攻击手艺及演进

Machete组织善于通过垂纶邮件、WEB注入攻击等方法提倡初始攻击，之后诱导用户点击诱饵文件并安排Python编写的远控木马，实验监控用户、窃取神秘信息等运动。我们在研究该组织的历史攻击运动中，发明该组织安排后门的手艺手段保存过两次重大更新，同时其最终使用的远控木马也举行过多次定制更新，本节将着重对Machete组织历史上的一些攻击手艺转变举行研究和剖析。图5是Machete组织实验攻击的整体流程及手艺演进情形。

图5.png

图5 Machete组织攻击流程及手艺演进

（1）诱饵投递阶段

攻击者通常接纳两种方法举行初始诱饵的投递：一是垂纶邮件，包括恶意附件或恶意链接URL；二是通过WEB注入类攻击撒播恶意软件，如水坑攻击等。其中垂纶邮件是Machete组织最主要的攻击手段。

（2）后门植入阶段

当目的用户点击诱饵文档或文件时，程序会执行vbs剧本向托管服务器请求下载执行后续的恶意�？�，同时释放正常的诱饵文档来疑惑用户，诱饵文件的种类包括doc、docx、ppt、pdf、jpg等。针对后续的恶意�？�，Machete组织历史上曾接纳nsis装置文件、SFX自解压文件、MSI装置文件等多种方法来装置加载python情形及诠释器，从而执行其python攻击武器。别的，一旦乐成熏染目的主机，恶意代码还能够通过熏染USB装备从而撒播和攻击目的组织的其它成员。Machete组织安排后门的手艺转变主要可以划分为以下三个阶段：

2014年至2017年

早期该组织的恶意软件主要以nsis打包装置文件的形式安排分发，程序运行后将提取python诠释器组件并执行后续恶意代码。NSIS（Nullsoft Scriptable Install System）是一种开源的 Windows 系统下的装置程序制作程序。它提供了装置、卸载、系统设置、文件解压缩等功效。攻击者可以通过NSIS装置文件实现释放python执行剧本所需要的情形和依赖库并执行恶意剧本。

2018年至2019年

2018年4月Machete组织更新了安排后门手艺，接纳SFX自解压文件提取执行python诠释器及恶意剧本等组件。SFX (Self-extracting)自解压文件是压缩文件的一种（文件类型为.exe名堂），由于自解压文件内置了自解压程序，因此可以不必借助任何压缩工具，而只需执行该文件就可以自动执行解压缩和后续恶意操作。

2020年至今

2020年后Machete组织改为接纳MSI装置文件来打包后续组件。MSI文件是Windows Installer的数据包（现实上是一种数据库），包括装置产品所需要的信息及装置（和卸载）程序所需的指令和数据。执行MSI文件即可完成装置使命并执行后续恶意操作。

（3）通讯驻留阶段

Machete组织早期的攻击运动主要接纳定制的Python木马Machete，窃密信息回传的方法主要包括FTP、Dropbox以及USB装备等。而自2020年后该组织最先改用定制版本的LokiRAT木马。LokiRAT木马为开源马，相较于原始版本，Machete组织为其添加了窃取Chrome浏览器、火狐浏览器用户凭证、针对西班牙语键盘举行键盘纪录、剪切板纪录等功效，由于其代码中包括特征字符串kolobok，我们将该木马变种命名为loki_kolobok。

图6.png

图6 Loki木马的功效

而在本次剖析中，我们发明Machete组织在今年4月初对其自界说木马举行了升级，这是自2020年来该组织首次对其python攻击武器举行升级，并为该木马命名为kaiser 1.0，为了便于区分，我们将该木马变种命名为loki_kaiser。

图7.png

图7 本次发明木马的版本信息

在本次升级中，Machete组织为该武器添加了四项功效，划分是回传后门版本信息、窃取主机敏感文件、窃取USB装备敏感文件和下载执行剧本文件。

图8.png

图8 loki_kaiser木马新增的四项功效

有趣的是，在近期发明的loki_kaiser木马中，我们还发明该黑客组织使用了新的硬编码标签：Bolodenka_usb_drive，其中“Bolodenka”为俄语字符串，为俄罗斯婴儿名，代表清静。别的，黑客组织在其自界说的loki木马中还使用了其他的俄语字符串，如：kolobok（Kolobok是东斯拉夫民族童话中的主要角色）、Utopiya_Nyusha_Maksim（乌托邦纽沙格言）。但回首Machete组织的历史攻击运动，该组织所使用的Machete木马中也曾使用西班牙语为变量命名，如：datos （data）、canal （channel）、senal （signal）等。由此推测，该黑客组织实验使用俄语字符串混淆视听，试图影响剖析职员对其泉源举行追溯。

图9.png

图9 loki木马中使用到的俄语字符串

2.3 基础设施剖析

在近期的攻击事务中，Machete组织使用了更多类型的基础设施。通过对该批攻击样本回连的数据举行网络和剖析，我们快要期攻击的基础设施分为两类，包括基于Plesk云托管服务的恶意代码托管服务器和基于blogspot.com正当博客文章的C&C存储服务器。

（1）恶意代码托管服务器

表1为近年来Machete组织使用的MSI文件下载URL。

表1.png

表1 下载URL地点

其中，近期黑客频仍使用了Plesk（主机托管商）提供的云主机服务举行MSI恶意代码托管。现在相关链接（如https://zealous-almeida.51-79-62-98.plesk.page/offnoise2/Sharedd.msi）仍然坚持活跃状态。

图10.png

图10 黑客使用的云主机服务商

（2）C&C存储服务器

Machete组织在木马通讯阶段接纳了C&C隐藏手艺，使用社交媒体平台blogspot的博客文章作为C&C存储点以增强C&C的隐藏性、可控性和清静性。该C&C通过base64编码存储,相关页面如下图所示。网页内容为一篇讨论安防系统装备清静的手艺文章，可以看到，黑客在文章名处插入了一段代码用来隐藏C&C，当远控木马执行时，将划分以”/tecn/”和”*tecn“作为特征支解符，从中提取base64编码的C&C地点（图中黄色字体的部分）并举行解密回连。这种动态获取C&C的方法，一方面可以有用隐藏C&C地点，另一方面攻击者也可以无邪地对其服务器举行设置和更新。

图11.png

图11 博客隐藏C2

通过博客的相关用户信息和特征，我们进一步溯源到了更多攻击者用于隐藏C2的博客页面，如图12所示。

图12.png

图12 博客页面隐藏C2

现在，我们网络到黑客使用的部分博客信息、密文、解密C2信息如表2所示。博客内容均为西班牙语，这也批注Machete组织的常用语言是西班牙语系。由于这些博客文章数目众多且难以被所有封禁，因此可以恒久关注黑客使用此类基础设施的活跃情形以追踪黑客的攻击运动。

表2.png

表2 博客信息

三、近期攻击运动剖析

在本次事情中，优发国际网站官网ADLab追踪到多起以委内瑞拉军事行动下令和军事战略等为话题的定向攻击运动。经由对本次攻击运动深入的剖析并与该组织以往攻击运动举行详细比照，我们发明该组织在此次攻击运动中不但对其攻击武器库中的Python木马举行了正式命名还在功效上举行升级，增添了对主机和usb装备中文件网络以及下载执行剧本文件的功效。由于本次攻击运动的诱饵文档与军事话题细密相连，我们推测此举旨在窃取受害者主机上军事相关的敏情绪报，这将可能进一步加剧外地政治和清静的主要时势并组成潜在的倒运影响。下面将对本次攻击运动举行详细的剖析。

3.1 攻击载荷

ADLab此次捕获的初始攻击载荷是名为“01-RAD-429.pdf.vbs”的恶意文件。攻击者使用Windows系统会默认隐藏文件扩展名的特征，将恶意vbs文件制作成双后缀名堂，妄想诱使受害者点击执行虚伪的pdf文件。

图13.png

图13 恶意文件信息

当用户翻开VBS文件后，恶意代码会在“C:\ProgramData\”目录下释放“radio.d”文件，并将经由base64编码举行后的数据写入到该文件中，详细内容如下图所示。

图14.png

图14 天生radio.d文件

随后，恶意代码使用Windows的内置程序certUtil.exe对“radio.d”文件举行解码，再将解码后的“01-RAD-429.pdf”文件写入到同目录下，并启用wscript.exe翻开pdf文件。详细代码如下图所示。

图15.png

图15 天生并翻开pdf文件

该pdf为一个无害的与主题相关的诱饵文件，用以疑惑受害者。详细内容如下图所示。

图16.png

图16 pdf诱饵文件内容

接着，恶意代码再次将下一段硬编码的Base64数据写入到“rrte.d”文件中，之后使用certutil.exe解码天生名为“pdf.d”的DLL文件，最后通过cmd下令执行dllmain。

图17.png

图17 天生rrte.d文件

该DLL的主要功效是使用msiexec.exe从攻击者的远程托管服务器上下载并执行msi恶意装置包文件。

图18.png

图18 DLL恶意代码

3.2 MSI恶意装置程序

“Sharedd.msi”恶意文件将自身伪装成三星USB驱动文件，当点击装置后其会模拟成与“SAMSUNG USB Driver for Mobile Phones”相关的弹框信息。

图19.png

图19 “Sharedd.msi”恶意文件

最终落地的后门是使用python剧本编写的，为了阻止受害者电脑没有装置python，攻击者会将python执行剧本所需要的情形和依赖库所有打包到msi中。当“Sharedd.msi”装置程序运行后，所有的恶意软件相关文件被释放到%TEMP%目录中的子目录文件夹中。除了python的种种库文件以外，目录中还包括两个(名称差别但hash值相同）python诠释器、使用Base64编码的剧本文件以及隐藏在“Lib\Lib\site-packages\pydesktop”目录下的后门组件。详细内容如下图所示。

图20.png

图20 装置目录信息

在完成上述操作后，凭证MSIWrapper的设置文件最先执行“sharedd.exe”。该EXE文件的主要功效是使用“UpdatewShare.exe”python诠释器执行“Tools”目录下的“Presk”剧本文件。在剖析时我们发明，“sharedd.exe”的代码中所使用的诠释器名称与现实上释放出的“UpdateExplorer.exe”文件名称无法匹配，推测可能是攻击者更改了文件名，而未更新恶意代码所致。

图21.png

图21 “sharedd.exe”恶意代码

3.3 恶意剧本文件

”Presk”现实上是一个pyc文件，通过反编译后，我们获得了包括base64编码的py剧本代码。其主要功效为将之前MSI恶意软件释放的所有文件及文件夹所有复制到”C:\ProgramData\USODesktop”路径下，并设置USODesktop文件夹为隐藏和系统属性。

图22.png

图22 复制所有文件和设置文件夹属性

接着，再以每5分钟执行一次后门的妄想使命来实现其长期性，妄想使命名称为“UpdatewShared”。

图23.png

图23 设置妄想使命

最后，删除USODesktop目录下的“Shared.exe”，并判断妄想使命是否设置乐成，若失败则手动执行后门。在此处剖析时，我们发明代码中执行的后门名称与现实目录中的后门�？槊撇环�，推测攻击者未准确更改恶意代码所致。

图24.png

图24 删除“Shared.exe”文件

3.4 后门�？�

该后门�？榧次狹achete组织使用的最新版本木马loki_kaiser。其中Datawmplayer是后门的焦点功效�？�，其首先读取目今目录下的“date.dll”文件，并使用base64解码出黑客组织的blogspot.com博客地点。

图25.png

图25 获取博客地点

接着，再从黑客的博客主页中获取贮存C&C的base64编码数据，截取息争码出最终的C&C服务器地点，将其生涯为全局变量以便后续使用。

图26.png

图26 获取和生涯C&C服务器地点

别的，loki_kaiser将网络受害者的主机信息，其中包括用户唯一标识符、主机名称和用户名信息以自界说名堂上传给黑客C&C服务器。之后，通过吸收远控控制指令，来举行后续恶意行为。

图27.png

图27 上传主机信息

通太过析我们可以看到，该后门控制指令中包括了大宗用户隐私信息的窃取功效。包括窃取浏览器用户凭证、键盘纪录、屏幕截取以及下载装置其他指定�？榈裙π�，最终受害者的文件和数据信息，都会凭证远程服务器的指令回传给攻击者的服务器。除此之外，优发国际网站官网ADLab将该组织早期的后门�？橛氡敬涡掳姹竞竺舕oki_kaiser的功效举行比照剖析，发明攻击者添加了一些新功效（详见表3蓝色标注部分）。变种后门的控制指令功效参考下表所示：

表3.png

表3 远程控制指令及功效

鉴于该后门的一部分控制指令功效较简朴，因此我们在下文中仅针对部分相对较量主要和新增的指令功效举行了详细的剖析。

（1）窃取Chrome浏览器的用户凭证

后门通过读取Chrome生涯用户登录信息的数据库，对其解密来获取明文数据。之后再将解密后的用户凭证生涯为“%d-%m-%Y-%H-%M-Chr”.txt文件，最后上传到攻击者的服务器上，完成后则删除该文件。

图28.png

图28 窃取Chrome浏览器用户凭证信息

（2）键盘纪录

wmUpdate是认真举行键盘纪录的功效�？�。攻击者不但获取受害者输入按键的键名、日期和时间，以及翻开的应用程序名称，别的，其还会筛选出指定的键值。通过这种方法，攻击者不但能够获取到受害者输入的内容以及输入时间，还可以获得其感兴趣的键值。

图29.png

图29 键盘纪录相关代码信息

当控制下令为kill，该后门则对键盘纪录“-vpr.html”的文件名举行重命名和上传到服务器，乐成上传后则删除该文件。

图30.png

图30 上传并删除键盘纪录文件

（3）窃取主机敏感信息

一方面，该后门通过遍历磁盘信息（除去指定部分系统目录），来获取后缀名为doc、docx、pfd、xlsx、xls、ppt等17种敏感文件的路径和文件巨细。之后再将这些相关信息生涯到“list.txt”文件中。

图31.png

图31 获取和生涯文件信息

另一方面，后门会使用python剖析器挪用Updatemplayer�？�。该�？橹饕糜谥付ㄎ募绾蜕洗�。与前者差别的是，除去部分系统目录以外，其仅对11种名堂的文件举行读取和上传。

图32.png

图32 窃取和上传用户敏感文件

（4）USB文件窃取

该指令通过python剖析器挪用drives�？槔赐瓿�。其主要功效为窃取USB中17种名堂的文件，并将这些文件上传至黑客服务器。

图33.png

图33 窃取和上传USB中敏感文件

（5）下载执行剧本文件

从攻击者服务器上获取后续阶段的剧本文件，并使用python剖析器执行该剧本。通过该剧本攻击者可以扩展实现加载后续攻击武器或更新自身�？榈雀喙π�。

图34.png

图34 下载和执行剧本文件

（6）版本信息

回传后门版本信息，我们审查代码，发明此次后门的版本是“Version kaiser 1.0”。

图35.png

图35 打印版本信息

（7）cmd指令

除了已知的控制指令以外，其它都视为执行cmd下令，参数由控制指令决议。

图36.png

图36 执行cmd指令

四、总结

通过本文剖析可以看出，Machete组织在此次攻击运动中全心网络了大宗涉及军事、政治等敏感行业的内部文件，以针对委内瑞拉军事部分实验精准的定向攻击。从攻击手艺上来看，该组织恒久以来一直地刷新升级其TTPS，包括攻击手法的优化、攻击武器的升级、C&C隐藏手艺的刷新等等来逃避检测机制，以期提高攻击的乐成率，增强攻击运动隐秘性和黑客基础设施的清静性，云云次攻击中就新增了4个功效�？橛糜谇炕韭矶允芎χ骰舾形募木蓟匀∧芰驮鎏碜陨淼哪？楦履芰�。别的需要注重的是，该组织近期最先大宗使用正当厂商服务器作为C&C存储点，如使用blogspot博客问题举行C&C隐藏，从而增添清静检测和追踪的难度。

鉴于该黑客组织恒久通过垂纶邮件举行攻击的习用手段，我们建议相关用户不要随意翻开和下载未知泉源的邮件附件及链接，做好邮件系统的防护。特殊是一些极具诱惑性的诱饵文档或双后缀文件（隐藏后缀名）需要审慎看待。若有需要可通过翻开Office文档中的：文件-选项-信托中心-信托中心设置-宏设置，来禁用一切宏代码执行。同时也要注重如：WEB注入攻击、恶意USB装备熏染等其它攻击渠道，一旦系统或服务器泛起异常行为，实时报告并请专业职员举行排查，以消除清静隐患。

上一篇下一篇

服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

Copyright ? 优发国际网站官网版权所有京ICP备05032414号京公网安备11010802024551号