介绍
2024 年 11 月 27 日星期三,俄罗斯总统普京对哈萨克斯坦进行了为期两天的国事访问,与当地代表讨论能源项目的实施,并对抗中国和西方的影响。普京说他正在拜访他的“真正的盟友”,但 Sekoia 调查了一场正在进行的网络间谍活动,该活动使用了合法的 Office 文件,这些文件被评估为来自哈萨克斯坦共和国外交部,这些文件被进一步武器化,可能用于收集中亚的战略情报,包括哈萨克斯坦及其与亚洲和西方国家的外交和经济关系。我们评估,这次活动可能是由与俄罗斯有关的入侵集 UAC-0063 进行的,与 APT28 有重叠。
一、UAC-0063背景
UAC-0063是一个至少自 2021 年以来就活跃的入侵集,于 2023 年 4 月首次被CERT-UA曝光,该入侵集针对乌克兰、以色列和印度等多个国家开展网络间谍活动,其中包括多个中亚国家(哈萨克斯坦、吉尔吉斯斯坦和塔吉克斯坦)。CERT-UA 分析师发现了塔吉克斯坦驻乌克兰大使馆一个被入侵的官方邮箱发送的带有恶意宏的鱼叉式网络钓鱼诱饵 Word 文档。
UAC-0063 的目标表明重点是政府等领域的情报收集,包括外交、非政府组织、学术界、能源和国防,地理重点是****乌克兰、中亚和东欧。
随后,2024年7月,CERT-UA又发布了另一份报告,揭露了UAC-0063针对乌克兰科研机构开展的新恶意软件(代号为HATVIBE和CHERRYSPY)活动。该报告以中等可信度将入侵集UAC-0063与APT28关联起来。
需要提醒的是,APT28 是一个经过深入研究的入侵组织,至少自 2004 年以来一直活跃,多个政府和网络安全专家认为该组织是俄罗斯总参谋部情报总局( GRU ) 26165 军事单位所为。该入侵组织尤其以在武装冲突(乌克兰 2015 年、2017 年、2022 年)、选举操纵(2016 年美国和 2017 年法国总统大选)和与俄罗斯有关的外交危机(TV5 Monde 2015 年)边缘进行的混合行动而闻名。来自Recorded Future 的
同事正在跟踪别名 TAG-110 下的 UAC-0063,评估其活动与 APT28 的战略利益重叠,但尚未根据技术要素确认 CERT-UA 与 APT28 的中等可信度关联。
二. 初步调查结果
2024 年 7 月下旬,CERT-UA 发表了一篇文章,详细介绍了 UAC-0063 入侵集的活动,利用 HATVIBE 和 CHERRYSPY 恶意软件对政府机构进行网络间谍活动,引起了我们的注意。我们进行了进一步的研究,以确定未来命令和控制 (C2) 服务器的模式,并通过我们的Sekoia C2 Trackers项目对其进行进一步跟踪。我们还创建了一组 YARA 规则来检测感染链和部署的恶意软件。
2024 年 10 月 16 日,我们的一条检测恶意宏的 YARA 规则捕获了一个上传到 VirusTotal 的恶意文件。标题为_Rev5_Joint Statement C5+GER_clean version.doc 的_Office 文档似乎是一份外交声明的草稿版本,其中包含一个恶意宏,该宏会提示用户授予执行权限并导致主机被入侵。
在宏的一个函数中,我们发现文档保护被一个高度独特的密码所解除。通过利用这个密码,我们能够识别出另外 10 个尚未公开披露的 Word 文档。
我们的调查发现了 18 个嵌入宏的 DOCX 文件,其中包括 7 个属于同一感染链的空白文档。几乎所有文件可能最初都属于哈萨克斯坦共和国外交部,无论是信函、草稿文件还是内部行政说明。它们的日期从 2021 年到 2024 年 10 月(基于内部日期和元数据)。
最新文件是两封外交信函,一封来自哈萨克斯坦驻阿富汗大使馆,另一封来自哈萨克斯坦驻比利时大使馆,两封信函均是发给中央外交部的,涉及外交合作和经济问题。两封信函的日期均为 2024 年 9 月初。
另一份已确定的武器化文件是 2024 年 9 月 16 日在阿斯塔纳举行外交会议后德国、哈萨克斯坦和中亚领导人(吉尔吉斯斯坦、塔吉克斯坦、土库曼斯坦、乌兹别克斯坦)发表的联合声明草案,该声明目前正在审查中。我们发现该声明的最终版本已发布在德国政府官方网站上,这进一步证明诱饵文件并非伪造。
其他文件是行政报告或哈萨克斯坦官员与外国利益相关者正式会晤的简报,例如2024 年 10 月哈萨克斯坦总统托卡耶夫****对蒙古进行国事访问或2024 年 9 月在第 78 届联合国大会期间 在纽约会见美国公司高管。****唯一一份似乎不是由哈萨克斯坦共和国外交部发布的文件是吉尔吉斯共和国国防部为中亚国家之间的军事合作而发的一封信函。其内容涉及有关_“中华人民共和国先前宣布的针对台湾的特别行动”_的情报共享。塞科亚评估它可能指的是 2022 年中国环台军事演习,这是中国人民解放军于 2022 年 8 月包围台湾的一系列军事演习。
最后但并非最不重要的一点是,一份看似最古老的文件是哈萨克斯坦外交部 2021 年的一份内部行政说明,警告哈萨克斯坦官员注意网络间谍 企图和一般信息安全,该文件为此目的而被武器化。
三、HATVIBE 和 CHERRYSPY 感染链
与此活动相关的感染链包括恶意软件 HATVIBE 和 CHERRYSPY。它之前已在开源中部分记录。2023 年 5 月,Bitdefender 强调了HATVIBE 和 CHERRYSPY 恶意软件,它们至少自 2022 年底以来就已用于针对亚洲的网络间谍活动。几天后,CERT-UA 也报告了这些恶意软件,并将它们与塔吉克斯坦驻乌克兰大使馆官方电子邮件账户可能被入侵联系起来,该账户曾被用于针对哈萨克斯坦、吉尔吉斯斯坦、蒙古、以色列和印度。
一年多后,即 2024 年 7 月,CERT-UA 披露,乌克兰的科研机构再次通过一名员工的电子邮件账户遭到入侵,证明当时该活动仍在进行中。最后,在 2024 年 11 月,Recorded Future 揭示了该活动的规模,报告称自 2024 年 7 月以来,中亚、东亚和欧洲共有 62 名确认的受害者。
尽管感染链已被部分记录,但塞科亚发现的十个文档表现出以前未知的恶意代码,同时保留了类似的执行结构。
本次分析中,我们将关注一份名为_Rev5_联合声明C5+GER_clean version.doc_ (MD5: 35fee95e38e47d80b470ee1069dd5c9c)的Word文档,这是中亚国家元首和德国总理的联合声明的评论稿。
2024 年 9 月 13 日,该文档被恶意宏武器化,旨在创建另一个恶意文档。第二个文档由初始宏自动在隐藏的 Word 实例中打开,以删除并执行恶意 HTA(HTML 应用程序)文件,该文件嵌入了 CERT-UA 昵称为“HATVIBE”的 VBS 后门。由于此感染链非常独特,我们将其命名为 Double-Tap 并决定对其进行研究。
双击感染链导致 HATVIBE 被处决
当打开_Rev5_Joint Statement C5+GER_clean version.doc_文档时,系统会提示用户执行恶意宏。执行后,此宏会执行以下几项操作:
- 它通过修改 HKCU\Software\Microsoft\Office[VERSION]\Word\Security\AccessVBOM 注册表项来降低要求用户执行宏的安全设置。这将导致在未经用户确认的情况下执行第二个文档的恶意宏。
- 它使用硬编码密码解除文档保护,删除攻击者在其上实施的形状并保存它。使用形状是一种相当常见的社会工程技术,因为它会迫使目标激活宏以查看文档的内容。
- 它会在 C:\Users[USER]\AppData\Local\Temp\ 下创建第二个空白文档。第二个文档由第一个文档的 settings.xml 中的变量填充,并通过向其中添加恶意宏来利用该文档。此恶意宏也是从第一个文档的 settings.xml 中提取的。
- 然后,它在隐藏的 Microsoft Word 实例中启动第二个恶意文档,由于 AccessVBOM 注册表项之前已被更改,该文档将完全静默地执行其宏。
第二个文档中嵌入的宏更加简单。它从 settings.xml 文件中的变量中获取要执行的恶意 VBA 代码。然后从此代码中执行两种方法:
- 第一种方法是提取在 settings.xml 中嵌入 HATVIBE 变量的 HTA 文件的内容,并将其保存在 C:\Users[USER]\AppData\Local\Settings\locale 下(不带任何扩展名)。
- 第二种方法是使用 RegisterTaskDefinition 创建一个名为“Settings\ServiceDispatch”的计划任务。此任务旨在通过启动 mshta.exe 每四分钟执行一次包含 HATVIBE 代码的 HTA。
完整的链条可以概括如下:
此 Double-Tap 感染链的独特之处在于,它采用了许多技巧来绕过安全解决方案,例如将真正的恶意宏代码存储在 settings.xml 文件中并创建计划任务而不为第二个文档生成 schtasks.exe,或者对于第一个文档使用反模拟技巧,旨在查看执行时间是否没有被更改,否则宏将被停止。
关注HATVIBE
计划任务启动的 HTA 包含 CERT-UA 命名为“HATVIBE”的 VBS 后门。该后门的目的是从远程 C2 服务器接收 VBS 模块并执行。接收后,HATVIBE 使用简单的 XOR 算法解密每个模块,将其放在两个 <script> 标签之间,然后将其添加到 HTA 文件的 HTML 主体中,从而自动执行接收到的模块。
这些模块似乎是串联在一起的,每个模块似乎都从不同的 C2 端点接收,例如“/setup.php”、“/local.php”或“/upset.php”。在我们分析期间,在向“/setup.php”发送 PUT 请求后,我们收到了第一个要执行的 VBS 模块。此模块的目的是,一旦执行,就会向“/local.php”发送另一个 PUT 请求。
从“/local.php”接收到的有效载荷有两种形式。第一种是另一个 VBS 模块,用于解密并在 HTA 文件内执行。第二种是写入磁盘但不执行的文件。
我们多次尝试从“/local.php”端点接收任何类型的有效负载。然而,每次尝试都失败了。根据 CERT-UA 和 Recorded Future 的说法,HATVIBE 下载并最终启动了一个名为 CHERRYSPY 的更复杂的 Python 后门。
与 APT28 相关的 Zebrocy 活动可能存在重叠
Zebrocy 是一个后门程序的名称,也是一个据称的 APT28 分支,该分支在 2015 年至 2020 年间针对中亚国家政府机构(包括国防和外交机构)开展了网络间谍活动。据包括卡巴斯基在内的网络安全供应商称,Zebrocy 活动与 APT28 共享部分基础设施、受害者和利益。
Double-Tap 活动与旧的 Zebrocy 感染链有一些相似之处,包括使用 VBA 脚本来放置后门。Zebrocy 和 UAC-0063 明显具有以下共同点:
- 双击文档技术(一个 Word 文档执行另一个 Word 文档);
- 使用 PHP 后端的 C2;
- 修改 Windows 注册表项以绕过安全机制 (AccessVBOM);
- 创建计划任务以确保持久性。
根据共同的受害者特征、活动区域和技术相似性,Sekoia 分析师以中等信心评估UAC-0063与 CERT-UA 评估的GRU 操作的 APT28 入侵套件有关。
四、从哈萨克斯坦到中亚:关注更广泛的战略间谍活动
在分析了发现的有关主题和收件人的鱼叉式网络钓鱼 Word 文档后,Sekoia 分析师评估认为,所有文件均为哈萨克斯坦共和国外交部发布的合法文件,然后被用作针对中亚外交相关实体的鱼叉式网络钓鱼诱饵。
这些文件可能是同一入侵组织在同一次行动中早些时候通过网络行动泄露的。然而,我们没有技术证据来证实这种可能性。这些文件也可能是由另一个入侵组织通过网络行动、开源收集或物理行动(情报人员偷走笔记本电脑)获得的,然后交给这次行动的操作员制成武器。
如果没有技术证据表明哈萨克斯坦是最终目标,我们仍然认为哈萨克斯坦是 UAC-0063 针对中亚的网络间谍活动的主要目标之一(经 CERT-UA 评估)的可能性很大。诱饵文件的主题和特定的地缘政治背景支持这一假设。
哈萨克斯坦地缘政治背景
近年来,地缘政治的变化日益促使哈萨克斯坦与俄罗斯保持距离,并与其他大国(尤其是西方国家和中国)建立更紧密的经济和战略联系。自 2022 年 2 月俄罗斯入侵乌克兰以来,作为中亚主要大国和前苏联成员国的哈萨克斯坦****在乌克兰战争问题上保持了平衡立场,支持乌克兰的领土完整,而没有公开谴责俄罗斯的入侵。
这一旨在对俄罗斯和西方国家施加影响的立场也为阿斯塔纳带来了经济机遇,阿斯塔纳的目标是成为中国和欧洲之间的关键贸易纽带。事实上,哈萨克斯坦完全有能力从中亚的“中间走廊”中获益,这是一个由公路、铁路和海上航线组成的网络,由于乌克兰战争而获得了新的经济动力。
阿斯塔纳还发展了与中亚国家的经济关系,例如新塔利班统治的阿富汗,哈萨克斯坦通过将塔利班从恐怖组织名单中删除,恢复了与阿富汗的谈判。2024 年 10 月,托卡耶夫总统访问蒙古,两国签署了《战略伙伴关系联合宣言》,其中包括联合地球观测卫星系统,这是哈萨克斯坦首次出口卫星。
另一个值得注意的进展是,哈萨克斯坦即将建造其第一座民用核电站,法国 (EDF)、俄罗斯 (Rosatom)、中国 (CNNC) 和韩国 (KHNP) 正在竞相竞标该项目。这一举措具有重大的经济和地缘政治影响,可能是俄罗斯情报部门关注的焦点。
哈萨克斯坦瞄准更广泛的情报收集
上述所有地缘政治话题都极有可能是俄罗斯情报部门感兴趣的主题,因此很可能解释了该武器化文件的大部分主题。
因此,我们认为,我们的调查结果表明,这是针对中亚国家,特别是哈萨克斯坦对外关系的 全球网络间谍活动的一部分。这与 Bitdefender、CERT-UA 和 Recorded Future 的评估一致。
这次部分未被发现的活动的目标可能是收集哈萨克斯坦与西亚和中亚国家关系的战略和经济情报,旨在维护俄罗斯在历史上属于其控制范围的地区的影响力。最终,俄罗斯的目标是确保哈萨克斯坦保持政治一致,以抵消竞争对手的影响,并确保其在该地区的经济和战略立足点。
五、检测机会
分析之前概述的感染链时,有几个有价值的检测机会。
注册表更改
首次打开 Microsoft Word 文档时,会发生注册表项修改,以启用持久宏执行。此修改涉及将设置为 1 的“AccessVBOM”值添加到相关注册表路径,该路径因 Microsoft Office 版本的不同而不同:
Computer\HKEY_CURRENT_USER\Software\Microsoft\Office\*\Word\Security
多年来,这种技术在攻击者中广为人知,尤其是在宏作为恶意入口点兴起的时期。此设置允许宏在不提示用户许可的情况下执行。在此活动中,无缝运行第二个 Microsoft Word 文档及其宏至关重要,无需用户交互。
收集与注册表更改相关的 Microsoft Windows 事件对于检测此类修改至关重要。我们在下面提供了用于识别这些更改的 Sigma 检测规则:
detection:
registry:
registry.value:
- AccessVBOM
- VbaWarnings
registry.data.strings: 'DWORD (0x00000001)'
cmdline_vbom:
process.command_line|contains|all:
- 'reg'
- 'add'
- '\SOFTWARE\Microsoft\Office\'
- 'AccessVBOM'
cmdline_warning:
process.command_line|contains|all:
- 'reg'
- 'add'
- '\SOFTWARE\Microsoft\Office\'
- 'VbaWarnings'
condition: registry or 1 of cmdline_*
计划任务
另一个检测机会是使用“mshta.exe”二进制文件,该文件使用连接到攻击者的命令和控制 (C2) 服务器的有效负载执行。当从之前创建的计划任务运行时,此行为会脱颖而出,因为它在大多数环境中并不常见。这也可以与 mshta.exe 进程向 Internet 发起网络请求相关联。
通过依靠 Windows 事件日志或 EDR 遥测来监控进程父子关系,我们创建了 Sigma 检测规则来识别计划任务的执行:
detection:
selection:
process.name: mshta.exe
process.command_line: '*'
process.parent.name: svchost.exe
process.parent.command_line|contains|all:
- "-k"
- "netsvcs"
- "-p"
- "-s"
- "Schedule"
condition: selection
该模式可以通过第二次检测来补充,以识别由“mshta.exe”发起的网络连接:
detection:
selection:
process.name: mshta.exe
process.command_line: '*'
event.type: connection
condition: selection
用于传播HATVIBE 的感染链利用了众所周知但相对较旧的技术。利用宏和“mshta.exe”等离地二进制文件继续证明是有效的,即使对于针对特定组织的网络间谍入侵也是如此。对于防御者来说,这些提供了拦截攻击者入侵的真正机会:根据我们客户的遥测,我们没有发现这两条规则的任何误报。
结论
根据通过 YARA 追踪器发现的结果,我们能够记录与俄罗斯有关的入侵集 UAC-0063 的 HATBIVE 感染链。我们的调查扩展了 Bitdefender、CERT-UA 和 Recorded Future 的初步调查结果,并添加了独家 IOC,表明截至 2024 年 11 月,该活动仍在进行中。
HATVIBE 呈现出与 APT28 相关的 Zebrocy 活动重叠的技术相似性和受害者特征,使我们能够中等程度地评估 UAC-0063 与 APT28 和 GRU 网络活动有关。
鱼叉式网络钓鱼武器化文件这一主题表明,俄罗斯情报机构的网络间谍活动重点是收集有关中亚国家外交关系的战略情报,尤其是哈萨克斯坦的外交关系。这一重点与莫斯科的战略利益相一致,莫斯科的目标是维护俄罗斯在历史上控制范围内的地区的影响力。
感谢您阅读这篇博文。请随时提供对我们出版物的反馈。您可以通过 tdr[at]sekoia.io 联系我们进行进一步讨论,获得同行的反馈总是一件好事。
附录
C2
| 领域 | 领域 | 首次出现 |
|---|---|---|
| 背景服务[.]网络 | 2.58.15[.]158 | 2024 年 3 月 9 日 |
| 查找[.]ink | Cloudflare | 2024 年 9 月 17 日 |
| 下载资源[.]信息 | 213.159.79[.]56 | 2024 年 10 月 22 日 |
| [无域名] | 38.180.207[.]137 | 2024 年 4 月 10 日 |
| [无域名] | 38.180.206[.]61 | 2024 年 2 月 10 日 |
武器化文件
- 06e4084e2d043f216c0bc7931781ce3e1cea4eca1b6092c0e34b01a89e2a6dea
- 3b87dc25a11b6268019d5eae49a6b93271dfdc262f2607cfefa35d196f724997
- 47092548660d5200ea368aacbfe03435c88b6674b0975bb87a124736052bd7c3
- 6edf3d03bd38c800d5d1e297d59c2496968202358f4be47e1f07e57a52485e0c
- c61e9326421d05d62cafd6c04041ab1a8f57c0a21d424b9ca04b6a1fc275af19
- e3a0be8852d77771dc3f44f3e9a051e7fe56547b569aad5a178ae44ef31713b9
- e440bad60823642e8976528bd450364ce2542d15a69778ff20996eb107158b8d
- efc99e6f3cdd10313c52a8ad099424e3f39ab85b75375b8db82717d61c7f0118
- fd78051817b5e2375c92d14588f9a4ba1adc92cc1564e55e6150ae350ed6c889
反混淆的 HATVIBE VBA 代码
雅拉
rule apt_UAC0063_HATVIBE_loader_obfuscated_VBA {
meta:
malware = "HATVIBE"
intrusion_set = "UAC-0063"
description = "Detects obfuscated HATVIBE HTA file"
source = "Sekoia.io"
creation_date = "2024-12-03"
classification = "TLP:GREEN"
hash = "332d9db35daa83c5ad226b9bf50e992713bc6a69c9ecd52a1223b81e992bc725"
strings:
$ = "<HEAD><HTA:APPLICATION ID=\"" ascii
$ = "<span id=" ascii
$ = "<script Language=\"VBScript.Encode" ascii
condition:
filesize < 1MB
and all of them
}
rule apt_UAC0063_HATVIBE_loader_deobfuscated_VBA {
meta:
malware = "HATVIBE"
intrusion_set = "UAC-0063"
description = "Detects obfuscated HATVIBE HTA file"
source = "Sekoia.io"
creation_date = "2024-12-03"
classification = "TLP:GREEN"
hash = "0fa7e3ffb8a9ca246cc1f1e3f6118ced7a7b785de510d777b316dfcefdddb0be"
strings:
$ = "window.resizeTo 0,0" ascii
$ = ".InnerHTML =" ascii fullword
$ = "Chr(Asc(Mid(" ascii fullword
$ = "Xor Asc(Mid(" ascii fullword
$ = "Mod Len(" ascii fullword
$ = "\"script>"
condition:
3 of them
}
rule apt_UAC0063_HATVIBE_loader_malicious_xml_content1 {
meta:
intrusion_set = "UAC-0063"
description = "Detects some suspected APT28 document settings.xml"
source = "Sekoia.io"
creation_date = "2024-12-03"
classification = "TLP:GREEN"
hashVariantA = "e8c0f309df515733ad8233b409d6b64d005f88bf1d549567365c2b21a90cf05c"
hashVariantB = "51ca8b4aa5744148ed049a529b2676eb95229aedc213b874c0c78ff82c7de559"
strings:
$subVariantA_1 = "Sub baads()" nocase ascii
$subVariantA_2 = "Sub goods()" nocase ascii
$subVariantB_1 = "Sub pop()" nocase ascii
$subVariantB_2 = "Sub push()" nocase ascii
$docOpen = "docUment_oPen" nocase ascii
$localAppData = "%LOCALAPPDATA%" nocase ascii
$mshta = "mshta.exe" nocase ascii
$scheduledTask = "Schedule.Service" nocase ascii
$docVar = "<w:docVar w:name="
condition:
filesize < 5MB
and (
all of ($subVariantA_*)
or
all of ($subVariantB_*)
)
and $docOpen
and $localAppData
and $mshta
and $scheduledTask
and $docVar
}
rule apt_UAC0063_Stage_1_Malicious_Macro_compiled {
meta:
intrusion_set = "UAC-0063"
description = "Detects malicious VBA file based on password"
source = "Sekoia.io"
creation_date = "2024-12-03"
classification = "TLP:GREEN"
hash = "a502b51d44a3e2e59218618ab7a30971"
strings:
$ = "oikmseM#*inmowefj8349an3" ascii
condition:
uint32be(0) == 0xd0cf11e0 and
filesize < 50KB and
all of them
}
rule apt_UAC0063_Stage_1_Malicious_Macro_clear {
meta:
intrusion_set = "UAC-0063"
description = "Detect clear version of the malicious Stage 1 Macro by UAC-0063"
source = "Sekoia.io"
creation_date = "2024-12-03"
classification = "TLP:GREEN"
hash = "6f5a9ce100dd650dedbc3e68f74c3b97"
strings:
$ = ".RegWrite"
$ = "< TimeValue("
$ = "Word.Application"
$ = "ActiveDocument.Name"
$ = "While Now"
condition:
all of them and filesize < 3KB
}
rule apt_UAC0063_Stage_2_Malicious_Macro_clear {
meta:
intrusion_set = "UAC-0063"
description = "Detect clear version of the malicious VBA by UAC-0063"
source = "Sekoia.io"
creation_date = "2024-12-03"
classification = "TLP:GREEN"
strings:
$ = "appdir = CreateObject"
$ = "svc.NewTask("
$ = ".RegisterTaskDefinition"
$ = ".Variables.Count"
$ = "Schedule.Service"
condition:
all of them and filesize < 3KB
}
rule apt_UAC0063_Settings_xml_containing_VBE {
meta:
intrusion_set = "UAC-0063"
description = "Detects settings.xml file containing a VBE in hex"
source = "Sekoia.io"
creation_date = "2024-12-03"
classification = "TLP:GREEN"
hash = "e3f6d079d99eeb54566fc37fa24ff6f7"
strings:
$start = "<w:settings"
$vbe_head = "23407e5e"
$vbe_tail = "5e237e40"
$var = "w:val="
condition:
filesize < 50KB
and $start
and $vbe_head
and $vbe_tail
and #var > 100
}
rule apt_UAC0063_HATVIBE_vbe {
meta:
malware = "HATVIBE"
intrusion_set = "UAC-0063"
description = "Detects the HATVIBE header in VBE"
source = "Sekoia.io"
creation_date = "2024-12-03"
classification = "TLP:GREEN"
hash = "78db9584ff4f7cd8f006eb6c12cac575"
strings:
// On Error Resume Next / window.resizeTo 0,0 / window.moveTo -2000,-2000
$header = "#@~^EwwAAA==6 P3MDKDP\"+k;:.PH+XY@#@&Skx9GhcD+kr\"+:W,!S!@#@&SkUNKARsW-n:WPR+Z!T~ +Z!T"
condition:
$header
}
rule apt_UAC0063_HATVIBE_decoded {
meta:
malware = "HATVIBE"
intrusion_set = "UAC-0063"
description = "Detects decoded HATVIBE's VBE"
source = "Sekoia.io"
creation_date = "2024-12-03"
classification = "TLP:GREEN"
strings:
$ = "window.resizeTo 0,0"
$ = "window.moveTo -2000,-2000"
$ = ".InnerHTML ="
$ = "& Chr(Asc(Mid("
condition:
all of them
}
rule apt_UAC0063_HATVIBE_module_decoded {
meta:
malware = "HATVIBE"
intrusion_set = "UAC-0063"
description = "Detects decoded HATVIBE's modules received through HTTP"
source = "Sekoia.io"
creation_date = "2024-12-03"
classification = "TLP:GREEN"
strings:
$ = "Mid(http_obj.reponseText,1"
$ = "innerHTML = strHTML"
$ = "http_obj.Open \"PUT"
$ = "<script Language=VBScript"
condition:
2 of them
}
:Secret-Blizzard入侵Storm-0156基础设施以进行间谍活动-1-390x220.webp)