怎么理解Donot組織利用RTF模板注入針對周邊地區(qū)的攻擊活動

本篇文章給大家分享的是有關怎么理解Donot組織利用RTF模板注入針對周邊地區(qū)的攻擊活動，小編覺得挺實用的，因此分享給大家學習，希望大家閱讀完這篇文章后可以有所收獲，話不多說，跟著小編一起來看看吧。

概述

Donot“肚腦蟲”（APT-C-35）是疑似具有南亞背景的APT組織，其主要以周邊國家的政府機構為目標進行網絡攻擊活動，通常以竊取敏感信息為目的。該組織具備針對Windows與Android雙平臺的攻擊能力。

近日，奇安信威脅情報中心紅雨滴在日常的威脅狩獵發(fā)現，Donot APT組織近期攻擊頻繁。其利用惡意RTF模板注入以及公式編輯漏洞利用樣本對周邊國家地區(qū)開展了多次攻擊活動。根據紅雨滴研究人員跟蹤分析，Donot此次的攻擊活動有如下特點：

此次攻擊活動中，Donot組織開始采用在RTF格式文檔中的\*\template目標控制字加載遠程惡意模板文件進行攻擊，該利用方式免殺效果好，樣本首次上傳VT時幾乎沒有殺軟查殺。

捕獲的樣本以“泰國皇家海軍第82指揮和參謀課程”、“OPS檢查細節(jié)”，“OPS需求”、“國防部副本”等標題作為誘餌文檔進行攻擊活動。其中OPS疑似是位于泰國的石油天然氣公司。根據誘餌標題猜測該組織疑似開始針對泰國開展攻擊活動。

此次活動與我們2月披露的攻擊活動中采用手法類似，其Payload均采用多層解密加載且大多存放在該組織服務器的”jack”目錄下。

未發(fā)現影響國內，基于奇安信威脅情報中心的威脅情報數據的全線產品，包括威脅情報平臺（TIP）、天眼高級威脅檢測系統(tǒng)、NGSOC、奇安信態(tài)勢感知等，都已經支持對此APT攻擊團伙攻擊活動的精準檢測。

樣本信息        

此次捕獲的樣本多以泰國相關信息為誘餌標題，部分樣本信息如下表所示：

樣本幾乎均采用RTF加載帶有公式編輯漏洞利用的方式開展攻擊活動，且存放的遠程鏈接采取了混淆處理，如下圖所示：

該利用方式免殺效果極好，當樣本首次上傳VT時，幾乎沒有殺軟查殺：

當樣本運行后，將嘗試從遠程模板獲取文件加載執(zhí)行，當帶有公式編輯器漏洞的遠程模板加載利用成功后，將經過多層解密下載執(zhí)行惡意載荷。整體執(zhí)行流程如下圖所示：

詳細分析

以5fdcbb85733f9e8686d582b2f1459961樣本為例，該樣本信息如下：

文件使用\*\template目標控制符，參數為url混淆后的unicode字符串。

RTF格式中使用\uN?表示一個unciode字符。\u后跟一個帶符號的16位十進制整數值接一個占位符，用？表示。N大于32767的話，則表示為負數。解混淆示例如下：

L"h" == 0x0068 == -(-0x0068) == -(0xFFFF+1-0x68) == -65432。

樣本運行后，可明顯看到嘗試加載遠程模板文件。

存放遠程模板文件的服務器是個開放目錄，其中存放著多個惡意文件，如下所示：

加載的遠程模板文件是帶有公式編輯漏洞利用的樣本，基本信息如下：

漏洞成功利用后將跳轉到shellcode執(zhí)行，首先進行異或解密：

解密后將通過URLDownloadToCacheFileA從"http[:]//worldoption.xyz/jack/6Tuni6MNu5EMiSHjVywGxKsA1KnRi8Se"下載文件。該文件為加密的shellcode數據

下載成功后，對其進行解密操作，解密算法為取反并異或0x64，，直到匹配到0xDEE89A75，并頭部是否為0x90，若等于0x90則進入下一步。

異或AB再次解密

之后通過卡巴斯基，avast，nod32，MacFree，360殺毒軟件的驅動文件檢測是否存在殺軟。

檢測再次與0xFE異或解密后0xD29字節(jié)shellcode，然后異或0xCE再解密0x100個字節(jié)

解密成功后，進入第二段shellcode執(zhí)行，并通過URLDownloadToFileA從http://worldoption.xyz/jack/6Tuni6MNu5EMiSHjVywGxKsA1KnRi8Se.dat下載文件到%Appdata%\\wingui.dll并修復DOS頭

再通過URLDownloadToFileA從http://worldoption.xyz/jack/6Tuni6MNu5EMiSHjVywGxKsA1KnRi8Se.doc  下載文件到%Temp%\\doucument.doc用以迷惑受害者。

下載成功后，創(chuàng)建計劃任務每三分鐘運行一次wingui.dll并調用其導出函數HPMG。

創(chuàng)建的計劃任務如下圖所示：

釋放的wingui.dll是Donot組織常用的惡意代碼，信息如下：

通過計劃任務加載成功后，將調用其導出函數HPMG首先通過兩次time64的差與參數進行判斷進行延時。

創(chuàng)建“WinMsCompany”的互斥變量，保證只有一個實例運行。

使用wmic檢測Vmware虛擬機環(huán)境。

獲取用戶名，計算機名，使用WQL語句查詢系統(tǒng)屬性，查詢CPU信息，查詢硬件信息

查詢系統(tǒng)盤下的"\\Program Files" "\\Program Files (x86)")文件信息

拼接格式化獲取到的系統(tǒng)信息

數據編碼與data字段拼接

會先去請求wiki兩次，再POST請求saltpodium.xyz /vocha/ogo，并下載數據到C:\ProgramData\MJuego\JacaPM.dll。

使用rundll32運行JacaPM.dll的導出函數HWG，并創(chuàng)建計劃任務。

在temp目錄寫入windows.bat 傳入參數并運行，卸載任務計劃，刪除自身

同時在相同主域名的queen目錄下也存放了多個惡意文件，分析發(fā)現其是64為版本的惡意代碼，功能代碼與32位程序一致。

溯源關聯(lián)

奇安信威脅情報中心紅雨滴團隊結合威脅情報中心ALPHAti.qianxin.com平臺，對此次攻擊活動的手法，惡意代碼等方面關聯(lián)分析發(fā)現，此次攻擊活動與donot存在高度相似性。在《2021年1月南亞地區(qū)APT組織攻擊活動總結分析》中的肚腦蟲樣本c92901f2ef13374f4afd950d840e02c1，存在功能和payload執(zhí)行流程的一致性，且在此次攻擊活動中DLL文件添加隱藏功能函數，替換了虛擬機沙箱檢測手段，說明肚腦蟲組織在不斷更新自身的攻擊武器。

根據樣本d4b45f7a937139e05f386a8ad0aba04e的請求域名cachepage.icu可以關聯(lián)到新的樣本7a6559ff13f2aecd89c64c1704a68588，該樣本通過線程注入shellcode下載后續(xù)payload。

總結

Donot是一個長期活躍的APT組織，同時具有Windows與Andorid雙平臺攻擊能力，且持續(xù)更新其武器庫，此次更是首次采用了RTF加載遠程模板文件的方式進行免殺，且效果極好。奇安信威脅情報中心將持續(xù)追蹤該組織攻擊活動。

奇安信威脅情報中心再次提醒各企業(yè)用戶，加強員工的安全意識培訓是企業(yè)信息安全建設中最重要的一環(huán)，如有需要，企業(yè)用戶可以建設態(tài)勢感知，完善資產管理及持續(xù)監(jiān)控能力，并積極引入威脅情報，以盡可能防御此類攻擊。

目前，基于奇安信威脅情報中心的威脅情報數據的全線產品，包括威脅情報平臺（TIP）、天眼高級威脅檢測系統(tǒng)、NGSOC、奇安信態(tài)勢感知等，都已經支持對此APT攻擊團伙攻擊活動的精準檢測。

以上就是怎么理解Donot組織利用RTF模板注入針對周邊地區(qū)的攻擊活動，小編相信有部分知識點可能是我們日常工作會見到或用到的。希望你能通過這篇文章學到更多知識。更多詳情敬請關注億速云行業(yè)資訊頻道。