CARROTBAT 恶意软件被用于针对东南亚的攻击

针对朝鲜半岛的 络钓鱼活动正在使用一种名为CARROTBAT的恶意 络捕获器向受害者提供诱饵文件和辅助有效负载，例如远程访问特洛伊木马。

迄今为止，Palo Alto Networks第42部门的研究人员共识别出29种独特的CARROTBAT样品，共包含12种经确认的独特诱饵文件。这些样本于今年3月开始出现，大部分活动在过去3个月内进行。

初始攻击

2017年12月13日，一封鱼叉钓鱼邮件从yuri.sidorav@yandex[.]ru这个电子邮件地址发送给了英国政府机构内的高级别人员。此电子邮件包含以下主题，附带相同名称的附件：美国将“无条件”与朝鲜对话。

附加的Word文件文档名为“Tillerson：美国将“无条件”与朝鲜对话Seungmock Oh 道”。该文档引用了NKNews[.]org当天发表的文章，文章讨论了美国和朝鲜之间的外交问题。

诱饵文件引用的文章

附加文档利用DDE漏洞最终执行以下代码：

Palo Alto Networks于2017年5月首次发现这种DDE漏洞利用技术，此后攻击者继续利用该漏洞。此特定恶意软件示例运行的命令尝试下载名为0_31.doc的远程可执行文件，该文件又在执行前以文件名AAA.exe放置在受害者的％TEMP％目录中。

有效负载属于SYSCON恶意软件系列。它通过FTP与ftp.bytehost31[.]org通信以进行命令和控制（C2）。

执行过程中发现的SYSCON 络流量

研究人员通过托管SYSCON样本的域881.000webhostapp[.]com，发现了许多其他样本，包括KONNI恶意软件系列样本和4个属于CARROTBAT恶意软件系列的64位可执行文件。经过进一步分析最终在该恶意软件系列中识别出29个独特的样本。

攻击活动

被称为破碎块（Fractured Block）的活动包括迄今为止发现的所有CARROTBAT样本。CARROTBAT本身是一个dropper，它允许攻击者删除并打开一个嵌入式诱饵文件，然后执行一个命令，该命令将在目标机器上下载并运行一个有效负载。总的来说，此恶意软件支持以下11种文件格式：

.doc

.docx

.eml

.hwp

.jpg

.pdf

.png

.ppt

.pptx

.xls

.xlsx

打开嵌入式诱饵文档后，会在系统上执行以下混淆命令：

此命令尝试通过Microsoft Windows内置certutil实用程序下载并执行远程文件。

29个独特的CARROTBAT恶意软件样本的编译时间戳在2018年3月到2018年9月之间。在这29个独特的样本中，有11个诱饵文件用于攻击，如下图所示：

诱饵文档时间线

针对韩国受害者的大多数诱饵文件的主题都与加密货币相关。在一个独特的案例中，诱饵文档中包含在COINVIL工作的个人名片，该组织宣布计划于2018年5月在菲律宾建立加密货币交易所。

其他主题包括实时政治事件，如美国和朝鲜之间的关系，以及美国总统唐纳德特朗普出访新加坡峰会。

CARROTBAT样品的有效载荷各不相同。在2018年3月到2018年7月期间，研究人员观察到了SYSCON恶意软件系列的多个样本。这些样本通过FTP与以下主机进行C2通信：

ftp.byethost7[.]com

ftp.byethost10[.]com

files.000webhost[.]com

61.14.210[.]72:7117

与其他威胁活动的关系

研究人员反复提到的另一层关系是使用SYSCON恶意软件系列。这个特殊的恶意软件系列于2017年10月首次被发现，并且已经观察到提供与朝鲜有关的诱饵文件。该恶意软件不复杂，利用远程FTP服务器进行C2通信。

结论

发现CARROTBAT为识别破碎块活动提供了重要的线索。研究人员通过CARROTBAT找到了相关的SYSCON和KONNI活动，并怀疑这种威胁活动可能都属于同一个威胁行为者。但是，我们认为目前没有足够的证据可以完全证明这一点。

CARROTBAT恶意软件系列是一种独特的dropper，虽然它支持各种类型的诱饵文件，并采用基本的命令混淆，但应该它并不复杂。

值得一提的是，破碎块活动背后的黑客仍然活跃。