背景
Lyceum,又名Hexane、Siamesekitten,最早由Secureworks於2019年公開披露並命名,是疑似具有中東地區國家背景的APT組織。據國外安全廠商研究表明,Lyceum可能早在2018年4月就已經活躍。其目標是中東地區的石油和天然氣公司,科威特是該組織主要攻擊對象。此外,Lyceum還曾針對中東、中亞和非洲的電信供應商展開過中間人攻擊。
根據此前披露該組織活動的報告,Lyceum 針對中東地區的能源和電信部門採取行動。在攻擊活動中,攻擊者使用了各種PowerShell腳本和一款名為「DanBot」的基於.NET的遠程管理工具,並且在DNS或HTTP基礎上使用自定義設計的協議與C&C 服務器通信。Lyceum入侵活動包括投遞惡意文檔,這些惡意文檔會釋放惡意軟件以建立後續活動的立足點。該組織在2019年初至年中加速其攻擊活動,這一時期恰逢中東地區局勢緊張,地緣政治和軍事衝突升級。
在去年的VB2021大會上,卡巴斯基披露了對Lyceum的研究調查【1】,該組織多年來不斷發展其武器庫,將其使用的惡意軟件從先前記錄的.NET版本轉移到用C++編寫的新版本。在樣本PDB路徑中發現了重複名稱之後,卡巴斯基將這些新的惡意軟件分為兩個不同的變體,並命名為「James」和「Kevin」。與之前的DanBot 實例一樣,兩個變體都支持通過DNS或HTTP隧道傳輸自定義的C&C協議。
概述
近期,國外安全廠商zscaler發布報告披露Lyceum組織利用新的DNS後門攻擊能源部門,該後門允許攻擊者遠程執行系統命令並在受感染的機器上上傳或下載數據【2】。同時,奇安信威脅情報中心紅雨滴團隊在日常的威脅狩獵中也捕獲了該組織近期的攻擊樣本,於第一時間在社交平台上進行了披露。
根據我們捕獲的攻擊樣本託管網址推測,初始攻擊入口可能是魚叉式釣魚郵件,誘騙受害者點擊下載docm文件或者偽裝的SCR屏幕保護程序。攻擊樣本被下載執行後,會釋放一個誘餌文件來迷惑受害者。從此次Lyceum的攻擊活動中,我們總結出該組織的攻擊手段具有以下特點:
(1) Lyceum組織通過planet-informer[.]me域託管攻擊樣本;
(2) SCR攻擊樣本實際為帶有密碼保護的SFX文件,SFX解壓得到的釋放器從偽裝的jpg圖片文件中提取出後門和誘餌釋放器的可執行文件數據;
(3) 第一階段釋放器和後門依然沿用了Lyceum組織此前樣本中使用的C#代碼控制流平坦化手段。
樣本信息
文件名
viewPDF.scr
MD5
29b6b195cf0671901b75b7d2ac6814f6
VT上傳時間
2022-06-16 04:40:39 UTC
VT上傳地
阿聯酋
該樣本實際為WinRAR打包壓縮的自解壓文件。
樣本攻擊流程如下所示。
釋放的誘餌PDF內容為「無人機擊中伊朗帕爾欽軍事基地」的新聞報道,原始報道發布時間為5月27日,可見攻擊者希望通過近期熱點事件迷惑受害者。
樣本分析
初始SCR文件
樣本帶有偽裝為Microsoft的數字簽名。
樣本運行後,會彈出如下對話框,點擊OK後才會繼續執行。該彈框的作用實際是向加密的SFX文件傳遞解壓密碼。
該對話框對應SFX文件資源中的GETPASSWORD1窗口,OK鍵傳遞的解壓密碼為"1234567890QwErTyUiOpAsDfGhJkLzXcVbNm"。
將樣本文件後綴改為rar,解密打開後發現其中包含兩個文件,自解壓腳本運行其中的s563.exe。
樣本在」%temp%\RarSFX0」目錄中釋放文件。
第一階段釋放器
文件名
s563.exe
MD5
b10a50cb12b82bde90124aad3f48180d
文件類型
.NET pe
s563.exe的主要功能為從同目錄下的f1.jpg文件中讀取後續待釋放文件數據,解密後釋放到指定位置,並啟動執行。
C#代碼中添加了大量無效語句進行混淆,整理其中與讀取待釋放文件數據相關的語句,如下圖所示。文件f1.jpg中包含了兩個待釋放文件的數據,文件數據逆序處理後再經過xor解密恢復。
文件數據讀取完畢,通過下面的for循環將數據分別釋放到指定路徑並啟動執行。
Class1.Ok1方法會根據傳入的參數不同而釋放不同文件,方法內部使用了控制流平坦化手段,因此沒有顯式的分支語句出現。
代碼控制流平坦化的核心是Thrd類,Thrd類維護一個工作線程,一個鍊表以及一個當前計數值。Thrd類的OK方法將被執行語句加入鍊表,加入時為其賦予一個key值;工作線程不斷從鍊表中取出待執行語句,如果語句對應的key值與當前計數值相等,則執行該語句。賦給待執行語句的key值和當前計數值默認都是加1遞增,而Thrd類的SetC方法可以修改當前計數值,Thrd類的SetMC方法可以修改賦予key值的基值,因此通過這兩個方法可以決定加入鍊表的哪些語句會被執行。
Class1.Ok1方法根據f1.jpg文件的最開始兩個字節設置Thrd對象的當前計數值,進而執行不同的分支:
(1) 讀取jpg第一個字節0xFF時,SetC的參數為25551,相應地,執行分支從代碼thrd.SetMC(25551)開始,釋放並啟動誘餌pdf釋放器,釋放路徑為」..\ tmnbo123\<時間戳>.exe」。(下圖為去掉無效指令後的C#代碼)
(2) 讀取jpg第二個字節0xd8時,SetC參數為21651,相應地,執行分支從代碼thrd.SetMC(21651)開始,釋放並啟動後門,釋放路徑為」..\verbs.exe」。(下圖為去掉無效指令後的C#代碼)
誘餌pdf釋放器
文件名
viewPDF.exe
MD5
7b4c70526b499e4d7f3d77a47235a67c
文件類型
.NET pe
該釋放器功能很簡單,從資源區加載pdf文件數據,釋放後打開誘餌文檔。
後門
文件名
verbs.exe
MD5
77d5ef3b26138baabf52fd14a0625298
文件類型
.NET pe
Constants類中包含了後門的配置信息,與Lyceum組織之前的後門樣本相似。
Reqss.OK方法首先以」|」為分隔符從接收的數據中分隔出指令碼,然後對指令參數字符串Base64解碼處理後再分隔出具體的參數,第一個參數是標識受害者的token,其他參數則用於設置指令的具體操作。同時,Reqss.OK方法的指令分發也採用了與第一階段釋放器相同的控制流平坦化方式。
部分後門功能代碼如下。列舉目錄信息。
上傳文件,文件上傳url為」https://89.39.149.18:6501/upload」。
文件下載。
獲取安裝的程序信息。
獲取屏幕截圖。
指令碼
對應Constants類的常量
功能
100000
TYPE_FILES_LIST
列舉指定目錄的子目錄和文件信息
110000
TYPE_FILES_DELETE
刪除指定文件
120000
TYPE_FILES_RUN
打開指定文件
130000
TYPE_FILES_UPLOAD_TO_SERVER
上傳指定文件
140000
TYPE_FILES_DELETE_FOLDER
刪除指定目錄
150000
TYPE_FILES_CREATE_FOLDER
創建指定目錄
160000
TYPE_FILES_DOWNLOAD_URL
從指定URL下載文件保存到指定位置
200000
TYPE_OPEN_CMD
啟動遠程CMD
210000
TYPE_CMD_RES
獲取遠程CMD輸出結果
220000
TYPE_CLOSE_CMD
關閉遠程CMD
230000
TYPE_CMD_REQ
遠程CMD執行指定命令
300000
TYPE_INSTALLED_APPS
獲取安裝的程序信息
400000
TYPE_SCREENSHOT
截屏並回傳
溯源關聯
託管域
在Lyceum組織本次的攻擊活動中,我們可以看到其使用planet-informer[.]me來託管其攻擊樣本。使用奇安信威脅情報分析平台【3】可以看到該域名解析的IP地址為89.39.149.19,與上述我們分析的後門IP地址在同一個C段。由此可見,Lyceum組織已將整個攻擊流程體系化,方便遷移與隱蔽。
通過對planet-informer[.]me域進一步分析發現,其還存在另一個鏈接http://planet-informer[.]me/pdf/45/RussiaWarCrime.docm,託管了武器化的docm文檔。雖然不能下載到該docm文檔,但我們猜測鏈接中的RussiaWarCrime.docm文檔是以俄烏戰爭為背景製作的武器化文檔。無獨有偶,早在今年3月份,國外安全廠商checkpoint披露過一起Lyceum組織活動【4】,其中使用的誘餌內容也是以俄烏戰爭為背景,誘使受害者點擊下載後續載荷,因此我們有把握猜測初始攻擊入口可能是魚叉式釣魚郵件。
另外,從上圖的誘餌內容可以看出,Lyceum組織誘騙受害者點擊的惡意載荷鏈接為http://news-spot[.]live/Reports/1/?id=1025&pid=d156,這與我們本次捕獲的URL鏈接結構上高度相似。
樣本同源性
在本次攻擊活動的進程鏈中,我們發現樣本7b4c70526b499e4d7f3d77a47235a67c擁有PDB調試路徑相關信息。通過對PDB路徑進行關聯,我們發現樣本8044dc6078b003698d6e1cbbd22a9ea6與之同源,其路徑中都包含『u1』這個用戶名。巧合的是,該樣本正屬於3月份國外安全廠商checkpoint披露Lyceum組織活動的攻擊樣本之一。
代碼相似性
在代碼層面,也與國外廠商披露的代碼相類似,在配置選項中除通訊端口外幾乎一模一樣。
攻擊目標
通過對誘餌文件的觀察,我們發現該誘餌pdf源自以色列時報的一篇報道【5】,Lyceum組織直接從網頁上將該報告保存為pdf作為誘餌使用。由此我們懷疑Lyceum組織的攻擊對象是以色列,但是我們捕獲的攻擊樣本上傳地為阿聯酋的阿布扎比,這使我們感到困惑。但是從checkpoint在3月份的分析報告中來看,本次活動疑似是3月份攻擊活動的延續,持續針對中東地區的能源部門。或許在最終明確其攻擊目標的這一工作中,我們還需繼續狩獵更多的樣本用於佐證。
總結
Lyceum組織以針對中東能源和電信領域而聞名,並且主要依賴基於.NET的惡意軟件。儘管近些年來不斷被安全廠商披露,但該組織並沒有任何收斂,而是採用更多相關誘餌,並不斷改進使用的惡意軟件,這些跡象都表明Lyceum組織將繼續在中東展開間諜活動。
奇安信紅雨滴團隊在此提醒廣大用戶,切勿打開社交媒體分享的來歷不明的鏈接,不點擊執行未知來源的郵件附件,不運行誇張標題的未知文件,不安裝非正規途徑來源的APP。做到及時備份重要文件,更新安裝補丁。
若需運行,安裝來歷不明的應用,可先通過奇安信威脅情報文件深度分析平台(https://sandbox.ti.qianxin.com/sandbox/page)進行判別。目前已支持包括Windows、安卓平台在內的多種格式文件深度分析。
目前,基於奇安信威脅情報中心的威脅情報數據的全線產品,包括奇安信威脅情報平台(TIP)、天擎、天眼高級威脅檢測系統、奇安信NGSOC、奇安信態勢感知等,都已經支持對此類攻擊的精確檢測。
IOCs
MD5
29B6B195CF0671901B75B7D2AC6814F6
E2F9B741BF07AA6EBC7AAFD62635EE5F
7B4C70526B499E4D7F3D77A47235A67C
B10A50CB12B82BDE90124AAD3F48180D
77D5EF3B26138BAABF52FD14A0625298
託管域
planet-informer.me
C2
89.39.149.18:{6500,6501}
參考鏈接
[1] https://securelist.com/lyceum-group-reborn/104586/
[2] https://www.zscaler.com/blogs/security-research/lyceum-net-dns-backdoor
[3] https://ti.qianxin.com/v2/search?type=domain&value=planet-informer.me
[4] https://research.checkpoint.com/2022/state-sponsored-attack-groups-capitalise-on-russia-ukraine-war-for-cyber-espionage/
[5] https://www.timesofisrael.com/suicide-drones-launched-from-inside-iran-said-to-have-hit-parchin-military-site/
點擊閱讀原文至ALPHA 5.0
即刻助力威脅研判
留言列表