近日,思科Talos团队发现了一场新的网络间谍活动。在活动中,攻击者使用了一种此前从未被公开报道过的远控木马,基于代码中对英国诗人兼剧作家威廉·莎士比亚的大量引用,Talos团队将其命名为“PoetRAT”。
另据Talos团队的说法,他们并不认为这场间谍活动与目前已知的任何一个黑客组织存在关联,即攻击者有很大可能是一个新近成立的黑客组织。有一点可以肯定的是,这场间谍活动是专门针对阿塞拜疆发起的,攻击者尤其对工控系统感兴趣,如ICS和SCADA系统。
诱饵文档
Talos团队表示,目前的PoetRAT间谍活动主要波及到几个阿塞拜疆公共和私营部门,尤其是能源部门。
2020年2月:section_policies.docx
图1.诱饵文档截图
诱饵文档的内容由模糊的图片组成,只能依稀可以看到印度国防研究与发展组织(DRDO)的图标。
图2.DRDO的图标
2020年4月:C19.docx
图3.诱饵文档截图
诱饵文档被命名为“C19.doc”,但内容确实一堆乱码。
2020年4月:Azerbaijan_special.doc
诱饵文档看起来更加真实,攻击者显然是想要继续借助“新型冠状病毒”这个社会热点来提高攻击的成功率。
图4.诱饵文档示例1截图
图5.诱饵文档示例2截图
恶意软件
无论文档名或者内容是什么,诱饵文档均充当dropper的角色,包含一个将执行后续恶意行为的Visual Basic脚本。
脚本首先会将文档加载到内存中,然后从文档末尾复制7,074,638个字节,并将剩余字节写回磁盘。
图6.RAT提取
写入磁盘的文件实际上是一个ZIP文件,它包含一个Python解释器和一个RAT Python脚本。
接下来,Word宏将解压缩并执行被命名为“launcher.py”的主脚本。启动程序脚本负责检查当前环境——它假定所有沙盒的硬盘驱动器均小于62GB。
如果检测到身处沙盒环境之中,那么它将使用文件“License.txt”的内容覆盖恶意软件脚本并退出,从而将其自身删除。
图7.防沙盒代码
如果确定不是在沙盒环境中运行,那么它将生成一个唯一的ID,然后在执行之前将其替换为主脚本的Python源代码。
RAT由两个需要协同工作的脚本组成:frown.py和smile.py。其中,frown.py负责与命令和控件(C2)的通信,而smile.py则负责C2命令的解释和执行,可用的命令如下:
- Ls-列出文件
- cd-更改当前目录
- sysinfo-收集有关系统的信息
- download-使用ftp将文件上传到C2
- upload-从C2下载文件
- shot-截取屏幕截图,并使用ftp上传到C2
- cp-复制文件
- mv-移动文件
- link-在文件之间创建链接
- register-修改注册表
- hide-根据文件的当前状态隐藏或取消隐藏文件
- compress-使用zip功能压缩文件
- jobs-执行各种操作,如杀死、清除、终止进程(默认情况下将列出所有进程)
- -如果上述命令都不执行,则将执行该命令
手动安装的其他黑客工具
在使用RAT成功感染目标系统后,攻击者部署了一系列黑客工具,部分如下:
dog.exe
分析表明,dog.exe是采用.NET编写的,允许攻击者监视硬盘驱动器路径,以及通过电子邮箱帐户或FTP转移窃取的数据。
配置文件名为“dconf.json”,内容格式如下:
图8.dconf.json内容格式
Bewmac
Bewmac是一个内容极短的Python脚本,被用于控制受感染主机的网络摄像头。
图9.脚本代码
分析表明,该脚本使用了OpenCV库,每次执行时会拍摄10张照片,照片被保存在本地文件系统中,而不是自动上传到C2。
其他工具
Klog.exe:键盘记录程序
Browdec.exe:浏览器凭证窃取程序
voStro.exe:凭证窃取程序Mimikatz的Python版本
Tre.py:用于使用文件/目录树创建文件的脚本
WinPwnage:权限提升开源框架
Nmap:一种开源的渗透测试和网络扫描工具
结语
在这场网络间谍活动中,攻击者不仅使用了一种全新的远控木马,而且还使用了多种已知的黑客工具,旨在获取更多有关受害者的信息以及高价值的凭证。
攻击者的目标十分明确,主要针对的是阿塞拜疆的公共部门和私营部门,特别是能源领域中的ICS和SCADA系统,但最终的目的尚不能断言。
