一、發(fā)生了什么?

2018年3月，我們發(fā)現(xiàn)了一起正在進行的針對中亞國家數(shù)據(jù)中心的攻擊行動，該行動自2017年秋季以來一直活躍。目標的選擇使得這一行動特別重要，這意味著攻擊者可以訪問廣泛的政府資源。我們相信這種訪問被濫用，例如，通過在國家官方網(wǎng)站插入惡意腳本來進行水坑攻擊。

運營者使用HyperBro特洛伊木馬作為其最后一個階段駐留在內(nèi)存的遠程管理工具（RAT）。這些模塊的時間戳從2017年12月到2018年1月。反檢測啟動程序和解壓程序使用了Metasploit的shikata_ga_nai編碼器以及LZNT1壓縮。

卡巴斯基實驗室檢測到了此行動中使用的不同部件，并作出以下判決：Trojan.Win32.Generic，Trojan-Downloader.Win32.Upatre和Backdoor.Win32.HyperBro。我們的情報報告服務提供了完整的技術報告，IoC和YARA規(guī)則（聯(lián)系intelligence@kaspersky.com）。

二、誰是幕后推手?

跟據(jù)使用的工具和策略，我們將該行動歸因于LuckyMouse，一個講中文的攻擊組織（也被稱為Emissary Panda和APT27）。此外，C2域名update.iaacstudio [.] com在之前的攻擊行動中使用過。本次行動中發(fā)現(xiàn)的工具，例如HyperBro Trojan，經(jīng)常被各種講中文的攻擊者使用。關于Metasploit的shikata_ga_nai編碼器，盡管適用于所有人，并且不能作為歸因的依據(jù)，但我們知道這種編碼器以前曾被LuckyMouse使用過。

包括中亞在內(nèi)的政府實體也成為攻擊者的目標。由于LuckyMouse持續(xù)對政府網(wǎng)站及相應日期進行維護，我們懷疑此行動的目的之一是通過數(shù)據(jù)中心訪問網(wǎng)頁并向其中注入JavaScript。

三、惡意軟件如何傳播?

針對數(shù)據(jù)中心的攻擊中使用的初始感染向量尚不清楚。即使我們觀察到LuckyMouse使用帶有CVE-2017-118822（Microsoft Office公式編輯器，自2017年12月以來被講中文的攻擊者廣泛使用）的武器化文檔，我們也無法證明它們與此特定攻擊有關。攻擊者可能使用水坑來感染數(shù)據(jù)中心員工。

此攻擊中使用的主要C2是bbs.sonypsps [.] com，它解析的IP地址屬于烏克蘭ISP網(wǎng)絡，為使用固件版本6.34.4（2016年3月起）的Mikrotik路由器，SMBv1處于開啟狀態(tài)。我們懷疑此路由器是作為攻擊的一部分被黑客入侵的，就是為了處理惡意軟件的HTTP請求。Sonypsps [.] com域名在GoDaddy上于2017-05-05更新，有效期至2019-03-13。

2017年3月，Wikileaks發(fā)布了一個名為ChimayRed的影響Mikrotik的漏洞的詳細信息。但是，根據(jù)文檔，它不適用于高于6.30的固件版本。該路由器使用的版本為6.34。

從2017年11月中旬開始，受感染的數(shù)據(jù)中心中就有一些HyperBro的痕跡。此后不久，該國不同的用戶開始被重定向到惡意域名update.iaacstudio [.]com。這些事件表明，感染HyperBro的數(shù)據(jù)中心和水坑攻擊已連成一線。

四、惡意軟件做了什么?

反檢測階段。不同的顏色顯示三個釋放的模塊：合法應用程序（藍色），啟動程序（綠色）和解壓縮程序與木馬（紅色）

初始模塊會釋放三種典型的講中文攻擊者的文件：用于DLL側載的合法Symantec pcAnywhere（IntgStat.exe），.dll啟動程序（pcalocalresloader.dll）和最后一個階段的解壓縮程序（thumb.db）。作為所有這些步驟的結果，最后階段的木馬被注入到svchost.exe進程的內(nèi)存中。

使用臭名昭著的Metasploit的shikata_ga_nai編碼器混淆的啟動模塊對于所有釋放器都是一樣的。生成的去混淆代碼執(zhí)行典型的側加載：它將內(nèi)存中的pcAnywhere鏡像修改為入口點。修改后的代碼跳回到解密器的第二個shikata_ga_nai迭代，但這次是作為白名單應用程序的一部分。

這個Metasploit的編碼器混淆了啟動程序代碼的最后部分，啟動代碼解析必要的API并將thumb.db映射到同一進程的（pcAnywhere）內(nèi)存中。映射的thumb.db中的第一條指令用于新的shikata_ga_nai迭代。解密的代碼解析必要的API函數(shù)，使用LZNT1通過RtlCompressBuffer()解壓嵌入的PE文件并將其映射到內(nèi)存中。

五、水坑攻擊

這些網(wǎng)站遭到入侵，將訪問者重定向到ScanBox和BEeF。這些重定向是通過添加兩個使用類似于Dean Edwards的工具混淆的惡意腳本來實現(xiàn)的。

遭到入侵的政府網(wǎng)頁上的腳本

用戶被重定向到BEeF實例https://google-updata [.] tk:443/hook.js以及一個空的ScanBox實例https://windows-updata [.] tk:443 /scanv1.8 /i/?1，響應了一小段JavaScript代碼。

六、總結

LuckyMouse最近非常活躍。這個行動的TTP對于說中文的攻擊者來說非常普遍，他們通常會為RAT（HyperBro）提供新的殼（本例中使用了shikata_ga_nai保護的啟動程序和解壓縮程序）。

最不尋常和有趣的一點是目標，因為國家數(shù)據(jù)中心是一種寶貴的數(shù)據(jù)來源，所以也可能被濫用來危害官方網(wǎng)站。另一個有趣的地方是Mikrotik路由器，我們認為它是專門因這次活動而被黑客入侵的。其原因并不清楚：通常講中文的攻擊者不會打擾自己的行動。也許這是一個新的隱身方法的第一步。

IoC指標

Droppers

22CBE2B0F1EF3F2B18B4C5AED6D7BB79
0D0320878946A73749111E6C94BF1525

Launcher
ac337bd5f6f18b8fe009e45d65a2b09b

HyperBro in-memory Trojan
04dece2662f648f619d9c0377a7ba7c0

Domains and IPs
bbs.sonypsps[.]com
update.iaacstudio[.]com
wh0am1.itbaydns[.]com
google-updata[.]tk
windows-updata[.]tk