奇幻熊,英文名“Fancy Bear”,也被称为APT28、Sofacy或STRONTIUM,一个至少在2004年就已经开始活跃的俄罗斯黑客组织。
网络安全公司ESET于近日发文称,“奇幻熊”在8月20日发起了一起针对东欧、中亚国家使馆和外交部的新行动。
在这起行动中,“奇幻熊”使用了一种采用Nim语言开发的新型下载程序,以及使用Golang语言重写的Delphi后门新变种。
“毫不低调”的感染链
图1展示了这起行动的完整感染链,从收件人打开恶意电子邮件中的Word文档到新后门的部署。
感染链整体来说毫无隐蔽性可言,因为在部署最终的有效载荷之前,至少已经有6个恶意组件被释放到了收件人的计算机上,很容易被杀毒软件检测到。
附件中的Word文档不包含任何文字,但链接到一个通过托管在Dropbox的模板“wordData.dotm”。
在Word中打开此文档,将导致wordData.dotm被下载,如图2所示。
毫无疑问,wordData.dotm包含恶意宏以及一个ZIP压缩文件,而恶意宏的作用就是从这个压缩文件中提取文件,lmss.doc就是其中之一。
lmss.doc是另一个包含恶意宏的Word文档,负责执行同样从压缩文件中提取出来的lmss.exe可执行文件(即采用Nim语言开发的新型下载程序)。
此外,lmss.doc还包含一个base64编码的可执行文件。分析表明,这个可执行文件实际上是一个采用AutoIt语言开发的下载程序(SHA-1:6b300486d17d07a02365d32b673cd6638bd384f3),曾在“奇幻熊”此前的行动中被使用过。
新型Nim下载程序
虽然新型Nim下载程序只具备简单的功能——下载和执行,但也具有一些反沙箱技巧。例如,它会检查执行文件的第一个字母是否已更改。
此外,它还对下载链接字符串进行了混淆处理,从而给静态分析带来了麻烦。
Nim下载程序被用于下载一个名为“ospsvc.dll”的文件,并通过regsvr32 /s将它作为服务运行。
分析表明,ospsvc.dll是一个采用Golang语言编写的下载器,它的函数main_init()包含大量已初始化的库函数。
除下载下一阶段的有效载荷外,进行桌面屏幕截图以及执行来自C2服务器的命令,也是ospsvc.dll的会进行的操作。
在ospsvc.dll执行的前几分钟里,它会每35秒进行一次屏幕截图,然后将它们以base64编码的形式上传到C2服务器。
根据ESET公司的分析,ospsvc.dll已被用于执行三种不同的恶意软件:Zebrocy木马、Delphi后门,以及在文章最开始提到的Golang新后门。
采用Golang语言重写的新后门
如上所述,新后门是采用Golang重写的,新增的内容包括AES算法、十六进制编码和屏幕截图功能。
不过,新后门仍保留了Delphi后门的大多数功能,例如:
- 创建、修改或删除文件
- 屏幕截图
- 驱动器枚举
- 命令执行(通过cmd.exe)
- 在Windows\Software\OSDebug下调度一个任务
结论
新行动,说明“奇幻熊”黑客组织仍在保持活跃;新型下载程序、新的编程语言、新的后门,说明“奇幻熊”黑客组织不仅仍在保持活跃,而且一直在更新升级他们的“武器”。
选择使用新的编程语言来重写旧的恶意软件,不得不说是一个明智之举,因为如此一来,并不需要改变整个TTP(战术、技术和程序),就能够轻松逃过杀毒软件的检测,发起有效的攻击。
