东森平台

首页 > 宁静研究 > 研究陈诉 > 攻击与威胁分析

以委内瑞拉军方为攻击目标的网络间谍活动分析

宣布时间 2022-05-31

一、背景

2022年以来，东森平台ADLab连续追踪到多起针对委内瑞拉军队和国防部门的网络间谍窃密活动，这些攻击活动以军事和国防事务为诱饵侵入内部系统窃取军事和国防情报。攻击者将自身伪装成委内瑞拉玻利瓦尔共和国的军事部门，以军队内部事务如“针对信息技术和通信局国防部门的建议和行动”、“少将指示命令”等为诱饵对委内瑞拉的国防部及各军事部门提倡定向攻击并植入窃密木马。我们对攻击所使用的窃密木马进行了深度的分析发现窃密木马不仅具有较强的窃密功效，还具有目的性的收集文档文件，黑客针对此类敏感部门的针对性攻击具有极强情报收集意图。由于委内瑞拉恒久处于政治经济双重�；�，尤其在2019年内乱之后更是局势动荡，此类网络窃密活动频繁发生，所窃取的军事情报或机密文件被用于政治和军事上反抗。类似的攻击可能还会通过其他攻击入口进行，但鉴于攻击路径的隐秘性和威胁信息孤岛的存在，难以被外部所监控到，就如俄乌反抗下的一系列事后许久才被发现的攻击事件一样。最后，我们进一步对此次攻击活动的攻击目标、入侵技术特点、语言习惯、代码同源性等因素进行比对分析后，找到这些攻击活动的组织归属，多方面的证据都将此次攻击来源指向Machete黑客组织。

Machete组织，是一个恒久以拉丁美洲地域重要敏感部门为目标的黑客组织，最早活跃时间可以追溯到2010年，凭据该组织的攻击特点和泄露的信息可以确定该组织同样应该位于拉美地域，但是目前没有足够的证据和线索将其归属具体哪个国家。该组织在拉美地域局势动荡的配景下非�；钤�，攻击目标主要集中于拉丁美洲国家，重点针对军事、政府等敏感行业进行攻击以窃取机密信息。

在本次发现的攻击活动中，Machete组织重点针对委内瑞拉军事部门和国防部实施攻击，这与其以往的攻击目标基本一致。不外这次攻击所使用的窃密木马有了一定水平的技术革新和升级，从4月发现的攻击木马可以看出，该组织对其定制的窃密木马进行了优化升级，同时将革新后的木马命名为kaiser 1.0。这也是自2020年以来该组织首次对其攻击工具进行升级，新增的功效�？榘耷匀≈骰舾形募⑶匀SB设备敏感文件、更灵活的恶意扩展支持和回传后门版本信息，相关�？樵黾恿四韭矶阅勘晟璞该舾形募娜糖悦苣芰扒悦芄πУ目衫┱鼓芰�。同时，该组织近年来还在不停革新其C&C隐藏的手段，以提高基础设施的反检测和反追踪能力，以增强C&C的隐蔽性、可控性和宁静性。

本文将对近期该组织的攻击活动进行追踪和分析，并针对其恒久以来的攻击目标、攻击技术演进、新使用的基础设施等进行全面地分析。最后重点针对本次攻击使用的升级后门�？楹拖喙丶际跸附诮猩钊敕治�。

二、组织分析

自2010年以来，Machete组织一直热衷于攻击拉丁美洲涉及军事、政府、执法等敏感行业和部门。本节将重点分析该组织恒久以来的攻击目标情况、攻击技术演进及代码特征等特点，并结合本次攻击活动进行对比分析，最后披露其近期使用的网络攻击资产（截至目前相关服务器依然活跃）。

2.1 攻击目标

东森平台ADLab通过威胁情报源共关联到Machete组织历史上使用过的多个诱饵文档。在针对诱饵内容进行分析统计后，发现诱饵内容中涉及国家或地域的名词主要位于拉丁美洲国家，相关漫衍占好比图1所示。其中数量较多的国家主要包罗委内瑞拉、尼加拉瓜、厄瓜多尔、哥伦比亚等，由此来看，该组织的攻击目标应当是诱饵内容相关的国家或地缘政治有关的邻国。同时，文档使用的语言均为西班牙语或葡萄牙语（西班牙语是拉丁美洲21个国家的官方语言）。因此，从诱饵内容、文档语言和地缘政治等角度可以确定攻击者恒久以来的目标主要集中在拉丁美洲。

图1.png

图1 诱饵内容涉及国家或地域的占比

在进一步针对诱饵内容的主题进行统计后，可以发现诱饵内容主要集中在军事情报和政治议题两种类别，军事情报类如“陆军司令部行动信息表”、“队伍人员调动”、“军事命令”等敏感信息，政治议题类如“政府文件”、“外交文件”等，其它诱饵文件还包罗“债务诉讼”、“执法传票”等威胁恐吓类主题。种种诱饵主题的漫衍占好比图3所示。攻击者在收集足够信息并对目标有了清晰的认知之后，凭据目标的个人情况制定相应的诱饵方案。以下是近期我们捕捉到的部门委内瑞拉相关的军事信息类诱饵文档，涉及军事命令（“少将指示命令”）和军事战略（“针对信息技术和通信局国防部门的建议和行动”）相关的内容，与以往的诱饵主题和攻击目标基本保持一致。

图2.png

图2 本次攻击活动使用的军事信息类文档

图3.png

图3 诱饵文档主题占比

此外，我们还在本次攻击Machete组织的木马代码中视察到，其使用西班牙语键盘进行窃密信息记录，而且在代码中对系统文件夹Program files的特殊处置也使用了西班牙语Archivos de programa（Program files）。因此，从代码的角度也可以印证攻击者的目标主要位于拉丁美洲地域。

图4.png

图4 西班牙语键盘记录

2.2 攻击技术及演进

Machete组织擅长通过钓鱼邮件、WEB注入攻击等方式提倡初始攻击，之后诱导用户点击诱饵文件并部署Python编写的远控木马，实施监控用户、窃取机密信息等活动。我们在研究该组织的历史攻击活动中，发现该组织部署后门的技术手段存在过两次重大更新，同时其最终使用的远控木马也进行过多次定制更新，本节将着重对Machete组织历史上的一些攻击技术变化进行研究和分析。图5是Machete组织实施攻击的整体流程及技术演进情况。

图5.png

图5 Machete组织攻击流程及技术演进

（1）诱饵投递阶段

攻击者通常接纳两种方式进行初始诱饵的投递：一是钓鱼邮件，包罗恶意附件或恶意链接URL；二是通过WEB注入类攻击流传恶意软件，如水坑攻击等。其中钓鱼邮件是Machete组织最主要的攻击手段。

（2）后门植入阶段

当目标用户点击诱饵文档或文件时，法式会执行vbs脚本向托管服务器请求下载执行后续的恶意�？�，同时释放正常的诱饵文档来迷惑用户，诱饵文件的种类包罗doc、docx、ppt、pdf、jpg等。针对后续的恶意�？�，Machete组织历史上曾接纳nsis安装文件、SFX自解压文件、MSI安装文件等多种方式来安装加载python环境及解释器，从而执行其python攻击武器。此外，一旦乐成熏染目标主机，恶意代码还能够通过熏染USB设备从而流传和攻击目标组织的其它成员。Machete组织部署后门的技术变化主要可以划分为以下三个阶段：

2014年至2017年

早期该组织的恶意软件主要以nsis打包安装文件的形式部署分发，法式运行后将提取python解释器组件并执行后续恶意代码。NSIS（Nullsoft Scriptable Install System）是一种开源的 Windows 系统下的安装法式制作法式。它提供了安装、卸载、系统设置、文件解压缩等功效。攻击者可以通过NSIS安装文件实现释放python执行脚本所需要的环境和依赖库并执行恶意脚本。

2018年至2019年

2018年4月Machete组织更新了部署后门技术，接纳SFX自解压文件提取执行python解释器及恶意脚本等组件。SFX (Self-extracting)自解压文件是压缩文件的一种（文件类型为.exe格式），由于自解压文件内置了自解压法式，因此可以不用借助任何压缩工具，而只需执行该文件就可以自动执行解压缩和后续恶意操作。

2020年至今

2020年后Machete组织改为接纳MSI安装文件来打包后续组件。MSI文件是Windows Installer的数据包（实际上是一种数据库），包罗安装产物所需要的信息及安装（和卸载）法式所需的指令和数据。执行MSI文件即可完成安装任务并执行后续恶意操作。

（3）通信驻留阶段

Machete组织早期的攻击活动主要接纳定制的Python木马Machete，窃密信息回传的方式主要包罗FTP、Dropbox以及USB设备等。而自2020年后该组织开始改用定制版本的LokiRAT木马。LokiRAT木马为开源马，相较于原始版本，Machete组织为其添加了窃取Chrome浏览器、火狐浏览器用户凭证、针对西班牙语键盘进行键盘记录、剪切板记录等功效，由于其代码中包罗特征字符串kolobok，我们将该木马变种命名为loki_kolobok。

图6.png

图6 Loki木马的功效

而在本次分析中，我们发现Machete组织在今年4月初对其自界说木马进行了升级，这是自2020年来该组织首次对其python攻击武器进行升级，并为该木马命名为kaiser 1.0，为了便于区分，我们将该木马变种命名为loki_kaiser。

图7.png

图7 本次发现木马的版本信息

在本次升级中，Machete组织为该武器添加了四项功效，分别是回传后门版本信息、窃取主机敏感文件、窃取USB设备敏感文件和下载执行脚本文件。

图8.png

图8 loki_kaiser木马新增的四项功效

有趣的是，在近期发现的loki_kaiser木马中，我们还发现该黑客组织使用了新的硬编码标签：Bolodenka_usb_drive，其中“Bolodenka”为俄语字符串，为俄罗斯婴儿名，代表和平。此外，黑客组织在其自界说的loki木马中还使用了其他的俄语字符串，如：kolobok（Kolobok是东斯拉夫民族童话中的主要角色）、Utopiya_Nyusha_Maksim（乌托邦纽沙格言）。但回顾Machete组织的历史攻击活动，该组织所使用的Machete木马中也曾使用西班牙语为变量命名，如：datos （data）、canal （channel）、senal （signal）等。由此推测，该黑客组织实验使用俄语字符串混淆视听，试图影响分析人员对其来源进行追溯。

图9.png

图9 loki木马中使用到的俄语字符串

2.3 基础设施分析

在近期的攻击事件中，Machete组织使用了更多类型的基础设施。通过对该批攻击样本回连的数据进行收集和分析，我们将近期攻击的基础设施分为两类，包罗基于Plesk云托管服务的恶意代码托管服务器和基于blogspot.com合法博客文章的C&C存储服务器。

（1）恶意代码托管服务器

表1为近年来Machete组织使用的MSI文件下载URL。

表1.png

表1 下载URL地址

其中，近期黑客频繁使用了Plesk（主机托管商）提供的云主机服务进行MSI恶意代码托管。目前相关链接（如https://zealous-almeida.51-79-62-98.plesk.page/offnoise2/Sharedd.msi）仍然保持活跃状态。

图10.png

图10 黑客使用的云主机服务商

（2）C&C存储服务器

Machete组织在木马通信阶段接纳了C&C隐藏技术，利用社交媒体平台blogspot的博客文章作为C&C存储点以增强C&C的隐蔽性、可控性和宁静性。该C&C通过base64编码存储,相关页面如下图所示。网页内容为一篇讨论安防系统设备宁静的技术文章，可以看到，黑客在文章名处插入了一段代码用来隐藏C&C，当远控木马执行时，将分别以”/tecn/”和”*tecn“作为特征支解符，从中提取base64编码的C&C地址（图中黄色字体的部门）并进行解密回连。这种动态获取C&C的方式，一方面可以有效隐藏C&C地址，另一方面攻击者也可以灵活地对其服务器进行配置和更新。

图11.png

图11 博客隐藏C2

通过博客的相关用户信息和特征，我们进一步溯源到了更多攻击者用于隐藏C2的博客页面，如图12所示。

图12.png

图12 博客页面隐藏C2

目前，我们收集到黑客使用的部门博客信息、密文、解密C2信息如表2所示。博客内容均为西班牙语，这也表明Machete组织的常用语言是西班牙语系。由于这些博客文章数量众多且难以被全部封禁，因此可以恒久关注黑客使用此类基础设施的活跃情况以追踪黑客的攻击活动。

表2.png

表2 博客信息

三、近期攻击活动分析

在本次事情中，东森平台ADLab追踪到多起以委内瑞拉军事行动命令和军事战略等为话题的定向攻击活动。经过对本次攻击活动深入的分析并与该组织以往攻击活动进行详细对比，我们发现该组织在此次攻击活动中不仅对其攻击武器库中的Python木马进行了正式命名还在功效上进行升级，增加了对主机和usb设备中文件收集以及下载执行脚本文件的功效。由于本次攻击活动的诱饵文档与军事话题紧密相连，我们推测此举旨在窃取受害者主机上军事相关的敏情感报，这将可能进一步加剧当地政治和宁静的紧张局势并组成潜在的倒霉影响。下面将对本次攻击活动进行详细的分析。

3.1 攻击载荷

ADLab此次捕捉的初始攻击载荷是名为“01-RAD-429.pdf.vbs”的恶意文件。攻击者利用Windows系统会默认隐藏文件扩展名的特性，将恶意vbs文件制作成双后缀格式，企图诱使受害者点击执行虚假的pdf文件。

图13.png

图13 恶意文件信息

当用户打开VBS文件后，恶意代码会在“C:\ProgramData\”目录下释放“radio.d”文件，并将经过base64编码进行后的数据写入到该文件中，具体内容如下图所示。

图14.png

图14 生成radio.d文件

随后，恶意代码使用Windows的内置法式certUtil.exe对“radio.d”文件进行解码，再将解码后的“01-RAD-429.pdf”文件写入到同目录下，并启用wscript.exe打开pdf文件。具体代码如下图所示。

图15.png

图15 生成并打开pdf文件

该pdf为一个无害的与主题相关的诱饵文件，用以迷惑受害者。具体内容如下图所示。

图16.png

图16 pdf诱饵文件内容

接着，恶意代码再次将下一段硬编码的Base64数据写入到“rrte.d”文件中，之后使用certutil.exe解码生成名为“pdf.d”的DLL文件，最后通过cmd命令执行dllmain。

图17.png

图17 生成rrte.d文件

该DLL的主要功效是使用msiexec.exe从攻击者的远程托管服务器上下载并执行msi恶意安装包文件。

图18.png

图18 DLL恶意代码

3.2 MSI恶意安装法式

“Sharedd.msi”恶意文件将自身伪装成三星USB驱动文件，当点击安装后其会模仿成与“SAMSUNG USB Driver for Mobile Phones”相关的弹框信息。

图19.png

图19 “Sharedd.msi”恶意文件

最终落地的后门是使用python脚本编写的，为了制止受害者电脑没有安装python，攻击者会将python执行脚本所需要的环境和依赖库全部打包到msi中。当“Sharedd.msi”安装法式运行后，所有的恶意软件相关文件被释放到%TEMP%目录中的子目录文件夹中。除了python的种种库文件以外，目录中还包罗两个(名称差异但hash值相同）python解释器、使用Base64编码的脚本文件以及隐藏在“Lib\Lib\site-packages\pydesktop”目录下的后门组件。具体内容如下图所示。

图20.png

图20 安装目录信息

在完成上述操作后，凭据MSIWrapper的配置文件开始执行“sharedd.exe”。该EXE文件的主要功效是使用“UpdatewShare.exe”python解释器执行“Tools”目录下的“Presk”脚本文件。在分析时我们发现，“sharedd.exe”的代码中所使用的解释器名称与实际上释放出的“UpdateExplorer.exe”文件名称无法匹配，推测可能是攻击者更改了文件名，而未更新恶意代码所致。

图21.png

图21 “sharedd.exe”恶意代码

3.3 恶意脚本文件

”Presk”实际上是一个pyc文件，通过反编译后，我们得到了包罗base64编码的py脚本代码。其主要功效为将之前MSI恶意软件释放的所有文件及文件夹全部复制到”C:\ProgramData\USODesktop”路径下，并设置USODesktop文件夹为隐藏和系统属性。

图22.png

图22 复制所有文件和设置文件夹属性

接着，再以每5分钟执行一次后门的计划任务来实现其持久性，计划任务名称为“UpdatewShared”。

图23.png

图23 设置计划任务

最后，删除USODesktop目录下的“Shared.exe”，并判断计划任务是否设置乐成，若失败则手动执行后门。在此处分析时，我们发现代码中执行的后门名称与实际目录中的后门�？槊撇环�，推测攻击者未正确更改恶意代码所致。

图24.png

图24 删除“Shared.exe”文件

3.4 后门�？�

该后门�？榧次狹achete组织使用的最新版本木马loki_kaiser。其中Datawmplayer是后门的核心功效�？�，其首先读取当前目录下的“date.dll”文件，并使用base64解码出黑客组织的blogspot.com博客地址。

图25.png

图25 获取博客地址

接着，再从黑客的博客主页中获取储存C&C的base64编码数据，截取和解码出最终的C&C服务器地址，将其生存为全局变量以便后续使用。

图26.png

图26 获取和生存C&C服务器地址

此外，loki_kaiser将收集受害者的主机信息，其中包罗用户唯一标识符、主机名称和用户名信息以自界说格式上传给黑客C&C服务器。之后，通过接收远控控制指令，来进行后续恶意行为。

图27.png

图27 上传主机信息

通过分析我们可以看到，该后门控制指令中包罗了大量用户隐私信息的窃取功效。包罗窃取浏览器用户凭证、键盘记录、屏幕截取以及下载安装其他指定�？榈裙π�，最终受害者的文件和数据信息，都市凭据远程服务器的指令回传给攻击者的服务器。除此之外，东森平台ADLab将该组织早期的后门�？橛氡敬涡掳姹竞竺舕oki_kaiser的功效进行对比分析，发现攻击者添加了一些新功效（详见表3蓝色标注部门）。变种后门的控制指令功效参考下表所示：

表3.png

表3 远程控制指令及功效

鉴于该后门的一部门控制指令功效较简单，因此我们在下文中仅针对部门相对比力重要和新增的指令功效进行了详细的分析。

（1）窃取Chrome浏览器的用户凭证

后门通过读取Chrome生存用户登录信息的数据库，对其解密来获取明文数据。之后再将解密后的用户凭证生存为“%d-%m-%Y-%H-%M-Chr”.txt文件，最后上传到攻击者的服务器上，完成后则删除该文件。

图28.png

图28 窃取Chrome浏览器用户凭证信息

（2）键盘记录

wmUpdate是卖力进行键盘记录的功效�？�。攻击者不仅获取受害者输入按键的键名、日期和时间，以及打开的应用法式名称，此外，其还会筛选出指定的键值。通过这种方式，攻击者不光能够获取到受害者输入的内容以及输入时间，还可以得到其感兴趣的键值。

图29.png

图29 键盘记录相关代码信息

当控制命令为kill，该后门则对键盘记录“-vpr.html”的文件名进行重命名和上传到服务器，乐成上传后则删除该文件。

图30.png

图30 上传并删除键盘记录文件

（3）窃取主机敏感信息

一方面，该后门通过遍历磁盘信息（除去指定部门系统目录），来获取后缀名为doc、docx、pfd、xlsx、xls、ppt等17种敏感文件的路径和文件巨细。之后再将这些相关信息生存到“list.txt”文件中。

图31.png

图31 获取和生存文件信息

另一方面，后门会使用python解析器调用Updatemplayer�？�。该�？橹饕糜谥付ㄎ募占蜕洗�。与前者差异的是，除去部门系统目录以外，其仅对11种格式的文件进行读取和上传。

图32.png

图32 窃取和上传用户敏感文件

（4）USB文件窃取

该指令通过python解析器调用drives�？槔赐瓿�。其主要功效为窃取USB中17种格式的文件，并将这些文件上传至黑客服务器。

图33.png

图33 窃取和上传USB中敏感文件

（5）下载执行脚本文件

从攻击者服务器上获取后续阶段的脚本文件，并使用python解析器执行该脚本。通过该脚本攻击者可以扩展实现加载后续攻击武器或更新自身�？榈雀喙π�。

图34.png

图34 下载和执行脚本文件

（6）版本信息

回传后门版本信息，我们检察代码，发现此次后门的版本是“Version kaiser 1.0”。

图35.png

图35 打印版本信息

（7）cmd指令

除了已知的控制指令以外，其它都视为执行cmd命令，参数由控制指令决定。

图36.png

图36 执行cmd指令

四、总结

通过本文分析可以看出，Machete组织在此次攻击活动中精心收集了大量涉及军事、政治等敏感行业的内部文件，以针对委内瑞拉军事部门实施精准的定向攻击。从攻击技术上来看，该组织恒久以来不停地革新升级其TTPS，包罗攻击手法的优化、攻击武器的升级、C&C隐藏技术的革新等等来逃避检测机制，以期提高攻击的乐成率，增强攻击活动隐秘性和黑客基础设施的宁静性，如此次攻击中就新增了4个功效�？橛糜谇炕韭矶允芎χ骰舾形募木蓟匀∧芰驮黾幼陨淼哪？楦履芰�。此外需要注意的是，该组织近期开始大量利用合法厂商服务器作为C&C存储点，如利用blogspot博客标题进行C&C隐藏，从而增加宁静检测和追踪的难度。

鉴于该黑客组织恒久通过钓鱼邮件进行攻击的惯用手段，我们建议相关用户不要随意打开和下载未知来源的邮件附件及链接，做好邮件系统的防护。特别是一些极具诱惑性的诱饵文档或双后缀文件（隐藏后缀名）需要谨慎看待。如有需要可通过打开Office文档中的：文件-选项-信任中心-信任中心设置-宏设置，来禁用一切宏代码执行。同时也要留意如：WEB注入攻击、恶意USB设备熏染等其它攻击渠道，一旦系统或服务器泛起异常行为，及时陈诉并请专业人员进行排查，以消除宁静隐患。

上一篇下一篇

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

Copyright ? 东森平台版权所有京ICP备05032414号京公网安备11010802024551号