2024 年 9 月 2 日,卡巴斯基发布了一篇关于 Head Mare 组织的博客,该组织于 2023 年首次出现。Head Mare 是一个针对俄罗斯和白俄罗斯组织的黑客活动组织,其目标是造成最大损失,而不是获取经济利益。他们使用最新的策略(例如利用 WinRAR 中的CVE-2023-38831漏洞)来获取初始访问权限并传递恶意负载。该组织在 X 上保持公开存在,并在那里披露有关其受害者的信息。
他们的目标涉及多个行业,包括政府、交通、能源、制造业和娱乐业。与其他组织不同的是,Head Mare 还会索要数据解密赎金。
图 1 – 威胁行为者概况
CRIL 最近发现了一项针对俄罗斯人的攻击活动,该活动与臭名昭著的 Head Mare 组织有关。尽管最初的感染媒介尚不清楚,但该组织通常通过垃圾邮件接触用户。在这次攻击活动中,发现了一个名为“ Doc.Zip ”的 ZIP 存档,其中包含一个恶意 LNK 文件、一个伪装成“ Doc.zip ”的可执行文件(标识为_PhantomCore_ )和一个损坏的 PDF。
执行 LNK 文件后,它会将“Doc.Zip”存档提取到“ C:/ProgramData ”目录中,并使用 cmd.exe 执行文件“Doc.zip”。执行后,恶意软件会收集受害者的信息,例如公共 IP 地址、Windows 版本用户名等,并将其发送到由 TA 控制的命令和控制 (C&C) 服务器。然后,它会等待来自 C&C 服务器的进一步命令来执行其他恶意活动。下图显示了感染链。
图 2 – 感染链
此前,PhantomCore 样本是使用 GoLang 开发的。然而,在最新的活动中,威胁行为者使用的是 C++ 编译的 PhantomCore 二进制文件。此外,C++ 版本的 PhantomCore 还集成了 Boost.Beast库,这有助于受感染系统与命令和控制 (C&C) 服务器通过 HTTP WebSockets 进行通信。
技术分析
从文件共享网站_hxxps://filetransfer[.]io/data-package/AiveGg6u/download 下载_的ZIP 存档“ Doc.zip ”被怀疑是通过垃圾邮件发送给受害者的。该电子邮件可能带有社会工程学主题,旨在使其看起来合法,例如商品发票或类似的财务文件。该主题旨在欺骗收件人与恶意附件进行交互,最终导致恶意负载的传递。
该 zip 存档包含多个文件,包括两个 LNK 文件、一个损坏的诱饵 PDF 文件和一个伪装成“.zip”文件扩展名的可执行文件。存档中的所有文件均采用俄语,如下表所示。
| 实际文件名 | 翻译的名字 |
| Список товаров и услуг.pdf.lnk | 商品和服务清单.pdf.lnk |
| Счет-фактура.pdf.lnk | 发票.pdf.lnk |
| Контактные данные для оплаты.pdf | 付款联系方式.pdf |
LNK 文件配置为执行 PowerShell 命令,该命令定位“Doc.zip”存档并将其提取到“C:\ProgramData”目录中。提取后,使用 cmd.exe start 命令启动包含可执行文件的“Doc.zip”存档。下图说明了 LNK 文件的内容。
图 3 – Список товаров и услуг.pdf.lnk 的内容
执行后,Doc.zip 文件会使用_SetConsoleCP_和_SetConsoleOutputCP_ Win32 API 将输入和输出代码页都设置为 OEM 俄语(西里尔文)。此外,它还会将受害计算机的语言环境设置为“ ru_RU.UTF-8 ”,以将系统配置为使用 UTF-8 编码的俄语语言环境。
图 4 – 将语言环境设置为俄罗斯
配置区域设置后,恶意软件会尝试使用 User-Agent 字符串“Boost.Beast/353”连接到 45.10.247[.]152 上的 C&C 服务器。它会不断重试连接,直到成功为止,每次尝试之间都会休眠 10 秒。
图 5 – 连接请求
成功建立连接后,恶意软件会收集受害者的信息,包括 Buildname、Windows 版本、公共 IP 地址、计算机名称、用户名和域详细信息。Buildname 可能有所不同(例如 ZIP、URL),可能表示感染媒介。然后,收集到的数据通过“init”端点发送到 C&C 服务器,如下图所示。
图 6 – 收集受害者的信息
图7 – 发送受害者的详细信息
在发送包含受害者详细信息和 UUID 的初始请求后,恶意软件会等待 TA 的响应。然而,在分析过程中,我们无法捕获响应。尽管如此,代码分析表明 TA 的典型响应遵循类似于下面显示的格式。
图 8 – TA 的响应
此外,TA 可以在受害者的机器上执行命令并从 C&C 服务器下载其他有效载荷。这使他们能够升级攻击、进行进一步的恶意活动或通过部署特定命令和有效载荷来扩大攻击。恶意软件使用以下端点进行 C&C 通信并接收命令
- hxxp:// [C&C IP地址]/connect
- hxxp:// [C&C IP地址]/init
- hxxp:// [C&C IP地址]/check
- hxxp:// [C&C IP 地址]/命令
TA使用以下方法来执行命令并部署额外的有效载荷。
通过管道执行命令
执行过程包括创建管道并将 WritePipe 句柄重定向到标准输出 (stdout) 和标准错误 (stderr)。然后使用命令_“cmd.exe /c”启动新进程以执行指定的命令。执行命令后,通过使用__“ReadFile”_ API 和_ReadPipe_句柄从管道读取来检索输出。此外,还会生成日志来监视和跟踪管道创建和命令执行的成功或失败。
下面的代码演示了TA通过管道执行命令、读取命令输出以及解析命令以通过管道执行的能力。
图 9 – PIPE 创建
创建新流程
该恶意软件还可以根据调用函数的输入创建新进程。如果成功,它会关闭进程和线程句柄,使用成功消息更新日志,并设置一个标志来通知调用进程。如果失败,它会记录一条错误消息并设置不同的标志来指示失败。
图 10 – 新流程创建
据悉,Head Mare 组织在之前的攻击中部署过勒索软件,针对各种系统和环境。其中包括使用广为人知的勒索软件,例如针对 Windows 计算机的 LockBit 和针对 ESXi (VMware) 环境的 Babuk。这些勒索软件因其能够加密有价值的数据并要求受害者支付赎金以换取解密密钥而臭名昭著。
可以从链接的 Github 存储库下载用于检测此活动的Yara 和 Sigma 规则。
结论
Head Mare 组织的攻击活动继续针对俄罗斯组织,使用 PhantomCore 后门和不断发展的策略,包括使用 C++ 编译的二进制文件和社会工程技术。该组织能够收集受害者数据并部署包括勒索软件在内的其他有效载荷,凸显了其构成的持续威胁。组织必须保持警惕并加强安全措施以防御此类攻击。
MITRE ATT&CK® 技术
| 策略 | 技术 | 程序 |
| 初始访问(TA0001) | 网络钓鱼 ( T1566 ) | ZIP 档案可能会通过钓鱼电子邮件发送给目标用户 |
| 执行(TA0002) | 命令和脚本解释器:PowerShell(T1059.001) | 使用 Powershell 提取存档文件 |
| 执行(TA0002) | Windows 命令 Shell(T1059.003) | Cmd.exe用于通过PIPE执行命令,启动命令 |
| 执行(TA0002) | 本机 API(T1106) | SetConsoleCP、SetConsoleOutputCP 和其他用于配置区域设置的 Win32 API |
| 指挥与控制(TA0011) | 系统信息发现(T1082) | 收集受害者详细信息,包括操作系统版本、计算机名称、用户名和域详细信息 |
| 指挥与控制(TA0011) | 应用层协议:Web 协议(T1071.001) | 使用“Boost.Beast”库通过 HTTP 与 C&C 服务器通信。 |
攻击指标
| Indicator | Indicator type | Comments |
| 6ac2d57d066ef791b906c3b4c6b5e5c54081d6657af459115eb6abb1a9d1085d | SHA-256 | coYLaSU4TQum |
| 0f578e437f5c09fb81059f4b5e6ee0b93cfc0cdf8b31a29abc8396b6137d10c3 | SHA-256 | Список товаров и услуг.pdf.lnk |
| dd49fd0e614ac3f6f89bae7b7a6aa9cdab3b338d2a8d11a11a774ecc9d287d6f | SHA-256 | Счет-фактура.pdf.lnk |
| 57848d222cfbf05309d7684123128f9a2bffd173f48aa3217590f79612f4c773 | SHA-256 | Doc.zip |
| 4b62da75898d1f685b675e7cbaec24472eb7162474d2fd66f3678fb86322ef0a | SHA-256 | Phantomcore Backdoor |
| 44b1f97e1bbdd56afeb1efd477aa4e0ecaa79645032e44c7783f997f377d749f | SHA-256 | Phantomcore Backdoor |
| 2dccb526de9a17a07e39bdedc54fbd66288277f05fb45c7cba56f88df00e86a7 | SHA-256 | Phantomcore Backdoor |
| 1a2d1654d8ff10f200c47015d96d2fcb1d4d40ee027beb55bb46199c11b810cc | SHA-256 | Phantomcore Backdoor |
| 8aad7f80f0120d1455320489ff1f807222c02c8703bd46250dd7c3868164ab70 | SHA-256 | Phantomcore Backdoor |
| 9df6afb2afbd903289f3b4794be4768214c223a3024a90f954ae6d2bb093bea3 | SHA-256 | Phantomcore Backdoor |
| hxxps://city-tuning[.]ru/collection/srvhost.exe | URL | Phantomcore Backdoor Download URL |
| hxxps://filetransfer[.]io/data-package/AiveGg6u/download | URL | ZIP file download URL |
| hxxp://45.10.247[.]152/init | URL | C&C |
| hxxp://45.10.247[.]152/check | URL | C&C |
| hxxp://45.10.247[.]152/connect | URL | C&C |
| hxxp://45.10.247[.]152/command | URL | C&C |
| hxxp://185.80.91[.]84/command | URL | C&C |
| hxxp://185.80.91[.]84/connect | URL | C&C |
| hxxp://185.80.91[.]84/check | URL | C&C |
| hxxp://185.80.91[.]84/init | URL | C&C |
| hxxp://45.87.245[.]53/init | URL | C&C |
| hxxp://45.87.245[.]53/check | URL | C&C |
| hxxp://45.87.245[.]53/connect | URL | C&C |
| hxxp://45.87.245[.]53/command | URL | C&C |
