8月7日,美安全公司FireEye发布了一份题为《APT41: A Dual Espionage and Cyber Crime Operation》的报告。
在这份报告中,FireEye全面介绍一个被该公司追踪为“APT41”的黑客组织,并声称该组织自2014年来一直针对医疗保健、高科技、电信行业、高等教育、旅游服务、新闻/媒体公司等领域开展网络间谍活动。
图1.FireEye认为APT41感兴趣的领域
本周一(8月19日),FireEye再次发布了一份有关APT41活动的新报告,题为《GAME OVER: Detecting and Stopping an APT41 Operation》。
在报告中,FireEye声称APT41在今年4月份进行了一次恶意攻击活动,但很快就被自己的产品“Managed Defense”通过网络签名检测到了,并且它的Managed Defense团队在几个小时内就成功完成了拦截,阻止了客户被攻击。
攻击者企图通过利用CVE-2019-3396漏洞入侵
FireEye表示,今年4月份,该公司旗下Managed Defense团队在美国一所研究型大学的网络服务器上发现了可疑活动,攻击者企图利用CVE-2019-3396漏洞(一个存在于Atlassian Confluence Server中的漏洞,允许路径遍历和远程代码执行)入侵该服务器。
图2.攻击代码片段
通过自定义JSON POST请求,攻击者能够运行命令并强制易受攻击的系统下载其他文件。
图3.攻击者发送的JSON数据列表
如上图所示,攻击者使用了一款在“hxxps[:]//github[.]com/Yt1g3r/CVE-2019-3396_EXP/blob/master/cmd.vm”上公开可用的工具,能够向易受攻击的系统发出任意命令。
图4. cmd.vm代码
图3中的HTTP POST请求来自IP地址67.229.97[.]229,旨在执行系统侦察并利用Windows certutil.exe下载一个位于“ hxxp[:]//67.229.97[.]229/pass_sqzr.jsp”的文件,并将其保存为“test.jsp(MD5:84d6e4ba1f4268e50810dacc7bbc3935)”。
攻击者使用了多种恶意软件
文件test.jsp最终被确定为China Chopper webshell的变种。
FireEye表示,在将test.jsp放置到易受攻击系统上后不久,攻击者就将两个额外的文件下载到了系统中:
- 64.dat(MD5:51e06382a88eb09639e1bc3565b444a6)
- Ins64.exe(MD5:e42555b218248d1a2ba92c1532ef6786)
这两个文件都托管在相同的IP地址“67[.]229[.]97[.]229”上,Ins64.exe用于在系统上部署HIGHNOON后门。HIGHNOON是一个后门,由多个组件组成,包括加载程序、动态链接库(DLL)和rootkit。
在接下来的35分钟里,攻击者利用test.jsp和HIGHNOON后门向系统发出了命令,以执行以下操作:
- 移动64.dat和Ins64.exe到“C:\Program Files\Atlassian\Confluence”
- 执行C:\Program Files\Atlassian\Confluence的目录列表
- 执行C:\Users的目录列表
如下图说,攻击者利用HIGHNOON发出了多个命令:
图5.攻击者发出的HIGHNOON命令(解码后)
如上图所示,攻击者利用HIGHNOON后门执行了一个PowerShell命令,试图从PowerSploit(GitHub上面的一个安全项目,上面有很多PowerShell攻击脚本)下载脚本,但似乎没有成功。
通过分析PowerShell命令“privilege::debug sekurlsa::logonpasswords exit exit”,FireEye认为攻击者可能想要下载脚本的是“Invoke-Mimikatz”,一款密码抓取工具。
进一步的分析表面,攻击者还利用HIGHNOON将另外两个文件下载到了“C:\Program Files\Atlassian\Confluence”目录下:
- c64.exe(MD5:846cdb921841ac671c86350d494abf9c)
- F64.data(MD5:a919b4454679ef60b39c82bd686ed141)
这两个文件分别是被称为“ACEHASH”的恶意软件的滴管组件(dropper)和加密/压缩的有效载荷组件(payload)。ACEHASH是一种凭证窃取和密码转储工具,它结合了Mimikatz、hashdump和Windows Credential Editor(WCE)等多种工具的功能。
在系统上放置了c64.exe和F64.data后,攻击者运行了如下命令:
c64.exe f64.data "9839D7F1A0 -m”
这个命名提供了一个密码“9839D7F1A0”,以解密F64.data的内容;“-m”则表明攻击者想复制Mimikatz的功能。在使用提供的密码后,c64.exe会将解密和解压缩的shellcode加载到内存中并窃取凭证。
FireEye还表示,除了网络间谍活动,APT41还存在经济动机。比如,攻击游戏公司、操纵虚拟货币,甚至试图部署勒索软件。
