APT28以NATO主题为诱饵投递Zebrocy恶意软件

执行摘要

1. 
   

2. 9月8日，QuoINT研究人员检测到APT28组织的相关行动，该行动可能始于8月5日。

   
   

3. 此次攻击使用Delphi编写的Zebrocy恶意软件。首次提交VirusTotal检测时，所有组件的反病毒(AV)检测率都非常低。

   
   

4. 发现此次攻击时，其托管在法国的C2基础设施仍处于活跃状态。

   
   

5. 此次攻击活动使用NATO即将举行的培训为诱饵。

   
   

6. 此次攻击活动针对阿塞拜疆的政府机构，攻击者也可能以北约成员国或其他参与北约的国家为目标。

   
   

7. 通过分析，研究人员在8月发现此次行动和ReconHell / BlackWater行动之间存在关联。

   
   

8. 研究人员将此次发现的恶意C2上报给了法国当局，并向北约发出警报。

   
   

介绍

8月9日，QuoINT研究人员向其政府客户发出警报，警报表明APT28（又名Sofacy、Sednit、Fancy Bear和STRONTIUM等）针对北约成员国（或伙伴国）发起了新一波网络攻击。研究人员分析了一个上传到VirusTotal的恶意文件，该文件最终将释放Zebrocy 恶意软件，并与法国的C2进行通信。

Zebrocy是APT28(又称Sofacy)组织专用的恶意软件，近两年多家安全厂商都对其进行了报导。
研究人员的调查结果显示，此次攻击始于8月5日，至少针对中东的一个政府机构，北约成员国也可能遭到了攻击。

技术细节

该样本第一眼看上去是一个有效的JPEG文件：

但事实上，如果将文件后缀更改为JPG，则操作系统将显示位于比利时的北约欧洲盟军最高司令部（SHAPE）的徽标。

然而，进一步的分析表明该样本连接了一个Zip文件。该技术之所以有效，是因为JPEG文件是从文件头开始解析的，而一些Zip文件的索引位于文件末尾，所以从文件末尾开始解析，而无需查看前面的签名。

该技术也被威胁攻击者用来逃避AV检测或其它过滤器，因为它们可能会将其误认为是JPEG图片而跳过该文件。有趣的是，为了使用户单击后能在Windows上解压该文档，需要满足以下两个条件：a)文件后缀名必须为.zip(x)；b)必须使用WinRAR打开文件。如果受害者使用WinZip或默认的Windows程序打开，将弹出一条错误消息，声称文件已损坏。

Zip文件解压后，将释放以下两个样本：

1. Course 5 – 16 October 2020.exe (Zebrocy恶意软件) SHA256:aac3b1221366cf7e4421bdd555d0bc33d4b92d6f65fa58c1bb4d8474db883fec
2. Course 5 – 16 October 2020.xls (损坏的文件) SHA256: b45dc885949d29cba06595305923a0ed8969774dae995f0ce5b947b5ab5fe185
   

此次攻击以北约图片为诱饵，而攻击者之所以选择这些文件名，可能是为了利用即将在2020年10月举行的北约课程。此外，Excel文件(XLS)已损坏，不能通过Microsoft Excel打开，文档中似乎包含参与“非洲索马里特派团”军事任务的军事人员的相关信息，包括姓名、职级、单位和到达/离开日期等。

需要注意，QuoINT研究人员无法确认文件中的所包含的信息是否合法。

损坏文件可能是攻击者的一种策略，为了使用户先尝试打开XLS文件，然后再次打开具有相同文件名的exe文件。exe文件使用PDF图标进行伪装，以诱使目标用户打开恶意可执行文件。

经过分析后，研究人员发现该样本是Delphi可执行文件。自2015年以来，已经有许多安全人员对使用Delphi编写的Zebrocy恶意软件进行了深入分析。有趣的是，最后的观察结果表明Delphi版本似乎并不连续，后续出现了使用go语言编写的新版本。

行为分析

执行后，样本将自身复制到%AppData%\Roaming\Service\12345678\sqlservice.exe中，并将160个随机字节添加到新文件中。填充后释放的恶意软件将始终具有不同的哈希值，以此逃避哈希值匹配的安全检测。

接下来，恶意软件将创建一个新的计划任务，并使用/s参数执行。

该任务将定期执行，并通过POST请求将窃取的数据(如屏幕截图）发送到hxxp://194.32.78[.]245/protect/get-upd-id[.]php。

一眼看去，该数据似乎被混淆和加密了，另一个请求如下所示：

标题号12345678（原始的8位数字已删除）似乎是恒定的，作为受感染机器的唯一ID。值得注意的是，在创建包含sqlservice.exe的文件夹时，恶意软件也会使用相同的数字。
研究人员在分析过程中发现，当样本与其在Internet上的实际C2进行对话后，其实际行为并不会有所改变。该恶意软件每分钟发送一次POST请求，但并没有响应返回。此外，服务器在等待10秒后将关闭连接。之所以无响应返回，可能是因为C2对该受感染的机器并不感兴趣。

最终，C2通信流量将触发新兴威胁(ET)IDS规则：

1. ET TROJAN Zebrocy Screenshot Upload” (SID: 2030122)
   

受害者和归因

QuoINT研究人员高度确认此次活动至少针对阿塞拜疆的一个政府组织。尽管阿塞拜疆不是北约成员国，但它与北大西洋组织密切合作并参加北约演习。此外，该攻击活动很可能针对其它北约成员国或参与北约演习的国家。

通过分析此次活动涉及的战术、技术、过程(TTP)，攻击目标和使用的诱饵主题，研究人员将其归因于APT28 / Zebrocy组织。