概述
2024 年 11 月 18 日,TA397(第三方研究人员也将其称为Bitter)利用鱼叉式网络钓鱼诱饵攻击了土耳其的一个国防部门组织。该电子邮件包含一个压缩存档 (RAR) 文件附件,其中包含一个诱饵 PDF (~tmp.pdf) 文件,该文件详细介绍了世界银行在马达加斯加的基础设施发展公共倡议、一个伪装成 PDF 的快捷方式 (LNK) 文件(PUBLIC INVESTMENTS PROJECTS 2025.pdf.lnk)以及一个包含 PowerShell 代码的备用数据流 (ADS) 文件。
诱饵包含主题“公共投资项目 2025 _ 马达加斯加”,与 RAR 档案中伪装成 PDF 的 LNK 文件名非常匹配:“公共投资项目 2025.pdf.lnk”。这个主题行主题对于 TA397 来说非常常见,因为他们针对的大多数组织要么属于公共部门,要么接受公共投资,这表明他们的活动具有针对性。
使用 RAR 存档是 TA397 有效载荷传递的主要策略。在 2024 年上半年,Proofpoint 观察到 TA397 使用 RAR 存档中的 Microsoft 编译帮助文件 (CHM) 文件作为在目标机器上创建计划任务的一种方式。
这篇博文详细介绍了 TA397 如何结合使用 NTFS 备用数据流 (ADS) 和 PDF 和 LNK 文件来获得持久性,从而有助于部署更多恶意软件。这项研究还着眼于 TA397 对 wmRAT 的持续使用、最近发现的 MiyaRAT(威胁行为者武器库中的新成员)以及 TA397 的相关基础设施。
感染链
这封鱼叉式网络钓鱼邮件来自一个被盗的政府组织电子邮件账户,其中包含一个 RAR 存档,其中包含各种文件。除了 LNK 文件外,还有一个“~tmp.pdf”文件和两个 NTFS 备用数据流 (ADS),一个名为“Participation”,另一个名为“Zone.Identifier”。
TA397 感染链图解。
打开 RAR 文件时,目标只能看到 LNK 文件,因为使用 Windows 内置的 RAR 提取实用程序或 WinRAR 时,ADS 流对用户是隐藏的。此外,PDF 启用了“隐藏、系统和文件准备存档(HSA)”属性,因此由于扩展名为 pdf.lnk,用户会误以为正在打开的是 PDF 文件。默认情况下,Windows 会隐藏文件的真实扩展名。但是,如果在 7-Zip 中打开 RAR,用户可以在 Windows 系统(NTFS 文件格式系统)上查看和提取 NTFS ADS 流:
7-Zip 查看 53a653aae9678075276bdb8ccf5eaff947f9121f73b8dcf24858c0447922d0b1。
ADS 流是 Windows 中 NTFS 文件系统的一项功能,允许用户将数据流附加到文件。某些存档格式和软件允许将 ADS 流与文件一起包含在存档容器中。此攻击链中使用的存档格式是 RAR v5,它允许存储 NTFS ADS 流。
Zone.Identifier 流是旧版 Windows 中引入的 ADS,作为一项安全功能。它存储有关文件来源的信息,例如 URL 安全区域(例如,互联网的区域 3),以确定文件是否可信。通过浏览器下载的文件会自动接收此流。此外,当使用 Windows 资源管理器从下载的存档中提取文件时,提取的文件会继承 Zone.Identifier 流,其中 ReferrerUrl 指向原始存档。Zone.Identifier ADS 非常常见,并不是此攻击链成功的必要条件,但它可以为取证分析提供有用的信息。
Zone.Identifier ADS 包含有关“~tmp.pdf”文件来源的信息,如下所示:
PDF Zone.Identifier 详细信息的屏幕截图。
“~tmp.pdf”文件是从世界银行下载的合法PDF文件,详细介绍了马达加斯加的铺装道路基础设施项目。如下图所示:
活动中,合法 PDF 被用作诱饵文档。
第二个 ADS 是“参与”ADS。“参与”流内有一个 base64 编码的 PowerShell blob:
来自“参与”的 Base64 编码 PowerShell。
LNK 运行以下 conhost 命令:
--headless cmd /k "cmd < ~tmp.pdf:参与与退出"
这导致 ~tmp.pdf 文件运行“参与”ADS 流中包含的 base64 编码的 PowerShell,并解码为以下命令:
解码的 PowerShell 命令。
此 PowerShell 命令打开 PDF 诱饵文件,该文件向用户显示世界银行诱饵文档,然后该命令设置了一个名为“DsSvcCleanup”的计划任务。此计划任务尝试每 17 分钟使用 curl 实用程序将目标主机信息(用户名和计算机名称)发送到域 jacknwoods[.]com。TA397 经常使用此 URI 结构。成功检索有效载荷后,将使用命令提示符启动下载的文件。即使有效载荷被投放到受害者机器上,任务仍将继续运行。
这些请求的结构如下:
