- 思科 Talos 发现了多起针对政府、制造业、电信和媒体的网络间谍活动,并提供了 Sagerunex 和其他黑客工具用于后续活动。
- Talos 将这些攻击归咎于名为Lotus Blossom 的威胁行为者。Lotus Blossom 自 2012 年以来一直积极开展网络间谍活动,并且至今仍在继续运作。
- 根据我们对这些活动中使用的策略、技术和程序 (TTP) 的检查,以及 Lotus Blossom 独家使用的后门家族 Sagerunex 的部署,我们高度确信这些活动是 Lotus Blossom 组织所为。
- 我们还观察到 Lotus Blossom 使用特定命令在系统注册表中安装 Sagerunex 后门并将其配置为在受感染端点上作为服务运行,从而获得持久性。
- Lotus Blossom 还开发了 Sagerunex 的新变种,它不仅使用传统的命令和控制 (C2) 服务器,还使用合法的第三方云服务(如 Dropbox、Twitter 和 Zimbra 开源网络邮件)作为 C2 隧道。
一项涉及多个活动、多种变体的后门操作
Talos 高度确信 Lotus Blossom(也称为Spring Dragon、Billbug、Thrip)威胁行为者对这些活动负责。该组织此前曾被公开披露为一个自 2012 年以来活跃的间谍组织。我们的评估基于与每项活动相关的 TTP、后门和受害者资料。我们的观察表明,Lotus Blossom 至少从 2016 年开始使用 Sagerunex 后门,并且越来越多地使用长期持久性命令 shell 并开发 Sagerunex 恶意软件套件的新变种。该行动似乎取得了重大成功,目标是菲律宾、越南、香港和台湾等地区的政府、制造业、电信和媒体等领域的组织。
我们的调查发现了 Sagerunex 后门的两个新变种,它们是在针对电信和媒体公司的攻击中检测到的,以及在政府和制造业中持续存在的许多 Sagerunex 变种。这些新变种不再依赖原始的虚拟专用服务器 (VPS) 作为其 C2 服务器。相反,它们使用第三方云服务(例如Dropbox、Twitter和Zimbra开源 Webmail 服务)作为 C2 隧道来逃避检测。在我们的恶意软件分析部分,我们将深入研究每个 Sagerunex 后门变种的技术细节并说明它们的配置。一些配置揭示了恶意软件可能的原始文件路径,从而深入了解威胁行为者的主机路径。
我们还通过分析我们观察到的活动数据、第三方报告、恶意软件编译时间戳以及 C2 服务上受害者上传的时间戳,编制了 Sagerunex 演变的时间表:
将袭击归咎于 Lotus Blossom
Talos 已找到强有力的证据将这些活动归因于 Lotus Blossom 组织,主要是因为这些行动中存在Sagerunex后门。Sagerunex 是一种远程访问工具 (RAT),经评估为较旧的Billbug 工具 Evora 的演变。Sagerunex 旨在作为动态链接库 (DLL) 注入受感染的端点并直接在内存中执行。
我们还观察到 Sagerunex 后门采用了各种网络连接策略,以确保其始终处于攻击者的控制之下。尽管开发了三种不同的变体,但后门的基础结构和核心功能仍然保持一致。这些一致的元素使我们能够自信地将所有已识别的变体后门归类为 Sagerunex 家族的一部分。
此外,这些活动中发现的受害者特征和 TTP的一致性模式有力地支持了我们对 Lotus Blossom 间谍组织的归因。从目标选择和所用方法可以看出,这种一致性与 Lotus Blossom 已知的行动特征相符,提供了令人信服的证据,表明这些活动是由这个特定的威胁行为者策划的。
Lotus Blossom 的最新攻击链
我们对攻击的主要元素进行了研究,包括每种恶意软件的具体功能以及 Lotus Blossom 如何成功逃避检测长达数月。我们还观察到威胁行为者利用多种黑客和开源工具来实现其目标。
- Cookie 窃取工具:Chrome Cookie 窃取程序的 Pyinstaller 软件包,它是来自github的开源工具。Lotus Blossom 使用它来获取 Chrome 浏览器凭据。
- Venom代理工具:使用 Go 语言为渗透测试人员开发的代理工具。威胁行为者定制了此 Venom 工具,并在每次活动中对目标 IP 地址进行硬编码。
- 调整权限工具:使威胁行为者能够检索另一个进程令牌并调整启动进程的权限。
- 归档工具:一种定制的压缩加密工具,使攻击者能够窃取每个文件或整个文件夹到受保护的特定文件路径。例如,该工具归档了Chrome和Firefox浏览器的cookie文件夹。
- 端口中继工具:威胁行为者将此工具命名为“mtrain V1.01”,它是HTran修改后的代理中继工具。该工具允许威胁行为者将受害者机器的连接中继到互联网。
- RAR 工具:威胁行为者用来存档或压缩文件的存档管理器。
延长持久性
Lotus Blossom 经常使用 Impacket 工具在受害者环境中执行远程进程和命令,这与已知的 Lotus Blossom TTP 一致。一旦他们获得目标的访问权限,他们的行动通常会分多个阶段展开。每个阶段都经过精心执行,表明他们制定了旨在实现长期目标的精心策划的战略。这种多阶段方法使他们能够在网络中保持长时间的存在,通常几个月都不会被发现。以下是整体攻击链可视化的示例。
在受感染的环境中,威胁行为者会执行各种命令,例如“net”、“tasklist”、“quser”、“ipconfig”、“netstat”和“dir”。这些命令用于收集有关用户帐户、目录结构、进程活动和网络配置的详细信息。在初步侦察之后,威胁行为者会评估受感染的计算机是否可以连接到互联网。如果互联网访问受到限制,则威胁行为者有两种策略:使用目标的代理设置建立连接或使用 Venom 代理工具将隔离的计算机链接到可访问互联网的系统。此外,我们注意到威胁行为者经常将后门和黑客工具存放在“public\pictures”子文件夹中。此位置可供所有用户公开访问,并且与系统文件夹不同,它没有隐藏或保护,因此是逃避和继续访问的战略选择。
除了运行用于发现和横向移动的命令外,我们还观察到 Lotus Blossom 使用特定命令在系统注册表中安装其臭名昭著的 Sagerunex 后门,并将其配置为作为服务运行。下面介绍的是攻击者用于将后门安装为服务的命令行。
| reg add HKLM\SYSTEM\CurrentControlSet\Services\tapisrv\Parameters /v ServiceDll /t REG_EXPAND_SZ /d c:\windows\tapisrv.dll /f <br><br>reg add HKLM\SYSTEM\CurrentControlSet\Services\tapisrv /v Start /t REG_DWORD /d 2 /f |
| reg add HKLM\SYSTEM\CurrentControlSet\Services\swprv\Parameters /v ServiceDll /t REG_EXPAND_SZ /d c:\windows\swprv.dll /f <br><br>reg add HKLM\SYSTEM\CurrentControlSet\Services\swprv\Parameters /v ServiceDll /t REG_EXPAND_SZ /d c:\windows\system32\swprv.dll /f |
| reg add HKLM\SYSTEM\CurrentControlSet\Services\appmgmt\Parameters /v ServiceDll /t REG_EXPAND_SZ /d c:\windows\swprv.dll /f <br><br>reg add HKLM\SYSTEM\CurrentControlSet\Services\appmgmt /v Start /t REG_DWORD /d 2 /f |
| reg add HKLM\SYSTEM\CurrentControlSet\Services\appmgmt\Parameters /v ServiceDll /t REG_EXPAND_SZ /d c:\windows\system32\appmgmts.dll /f |
参与者使用以下命令来验证后门是否可以成功作为服务运行:
reg query HKLM\SYSTEM\CurrentControlSet\Services\swprv\Parameters
reg query HKLM\SYSTEM\CurrentControlSet\Services\tapisrv\Parameters
reg query HKLM\SYSTEM\CurrentControlSet\Services\appmgmt\Parameters
Sagerunex 恶意软件分析
在本节中,我们将对 Sagerunex 后门的多个变体进行深入的技术分析。我们的探索将从详细检查某个 Sagerunex 后门变体开始,该变体与其他供应商博客文章中描述的代码和工作流程高度相似。此分析将有助于建立联系并突出显示在不同 Sagerunex 变体中观察到的共同特征。
接下来,我们将重点关注 Sagerunex 后门的另一个有趣变体,该变体利用 Dropbox 作为其 C2 服务器。这种非常规的第三方云服务选择说明了威胁行为者的适应性和逃避检测的努力。此外,我们还发现了 Sagerunex 后门的另一个变体,该变体利用 Zimbra 开源网络邮件服务进行 C2 操作。这一发现进一步强调了 Lotus Blossom 为保持控制并在受感染环境中持续存在而采用的多种策略。
我们检查了加载程序代码的相似性,以识别 Sagerunex 后门的众多变体。通过分析加载程序和 Sagerunex 后门的行为,我们可以将恶意软件归类为 Sagerunex 家族。尽管加载程序体积小巧,主要功能是将 Sagerunex 后门注入内存,但我们还是发现了两种不同的加载程序模式。第一种模式涉及解密算法:加载程序嵌入并加密 Sagerunex 后门,利用定制的解密过程来提取它。第二种模式是“servicemain”函数,加载程序在其中验证其环境,确保它只能作为服务执行。
此外,我们还观察到攻击者使用软件保护工具 VMProtect 来混淆 Sagerunex 代码并逃避防病毒产品的检测。这些复杂的技术用于维持 Sagerunex 后门变体的持久性。
Sagerunex 恶意软件相似性
在初始执行期间,Sagerunex 会在向其 C2 服务器发送信标之前进行多项检查。这些验证功能存在于所有 Sagerunex 变体中。初始检查涉及在临时文件夹中搜索调试日志文件。无论此调试日志文件是否存在,所有 Sagerunex 变体都将继续执行。如果找到调试日志,后门将加密调试字符串以及时间戳并将其存储在日志文件中。以下是显示所有 Sagerunex 变体的调试文件名的屏幕截图。从左到右,版本包括:“Beta”版本,其代码流中有清晰的调试字符串;原始版本,之前在另一篇博客文章中讨论过,代码流与 Beta 版本相同;Dropbox 和 Twitter 版本,利用这些第三方云服务作为 C2 渠道;最后是 Zimbra 版本,它使用 Zimbra 网络邮件服务进行 C2 目的。
第二项检查涉及验证后门配置文件是否存在于特定目录中并位于指定的文件名下。下面,我们提供了在研究中发现的不同版本的 Sagerunex 配置文件路径和文件名的示例。我们怀疑可能还有其他目录未被发现。这些目录的排序方式与上一段相同。
随后,Sagerunex 后门会检查系统时间,以决定是立即执行其主要功能还是延迟执行。每个 Sagerunex 变体都拥有自己的时间检查逻辑。例如,一个变体会检查其是否在工作时间内运行(例如上午 10:00 至下午 7:00),而另一个变体会确保系统小时数不超过系统分钟数。尽管 Sagerunex 后门的检查策略略有不同,但它们都使用相同的暂停 API“WaitForSingleObject”,并统一等待 300,000 毫秒,然后再继续执行时间检查逻辑。
所有 Sagerunex 变体的最后一个共同特征是它们的代理配置方法,这使后门能够成功连接到 C2 服务器。虽然恶意软件包含几个与代理相关的功能,但并非所有变体都利用了所有可用选项。有些变体仅依靠 Web 代理“自动发现”来访问代理服务。此外,我们在 Sagerunex 配置文件中发现了硬编码的代理服务器以及代理用户名和密码。这一发现有力地支持了我们的判断,即 Lotus Blossom 的活动旨在进行间谍活动。
Sagerunex 测试版
Sagerunex 的 Beta 版本与本文前面讨论的 Sagerunex 后门非常相似。但是,此 Beta 版本包含更多调试字符串,其中包含更完整的句子,这就是我们将其称为 Sagerunex 的 Beta 版本的原因。例如,如下面的屏幕截图所示,虽然典型的 Sagerunex 调试字符串通常使用“0x00”作为前缀,后跟错误或行为快捷字符串,但 Beta 版本提供了更详细的信息,例如“Online Fail!Wait for %d mins\r\n”。此外,此 Beta 版本还让我们更清楚地了解 Sagerunex 的工作流程。
图左侧是Sagerunex的Beta版本,右侧是典型的Sagerunex。
一旦绕过所有检查,Sagerunex 的 Beta 版本就会从目标主机收集信息,包括主机名、MAC 地址和 IP 地址。它还使用“api.ipaddress[.]com”查询公共 IP 地址。然后,这些收集到的信息会被加密并发送回 C2 服务器。收到加密数据后,Sagerunex 会对其进行解密,成功使后门上线,并使威胁行为者能够控制目标。以下是指示成功上线状态的调试字符串和后门命令函数。
图左边是在线调试字符串,右边是后门命令函数。
Sagerunex 后门 Beta 版整体感染链如下所示。
Sagerunex 的 Dropbox 和 Twitter 版本
Talos 还发现了 Sagerunex 后门的另一个变种,它使用 Dropbox 和 Twitter API 作为 C2 服务。在绕过初始检查步骤后,此后门变种会检索必要的 Dropbox 或 Twitter 令牌,以成功使后门上线。一旦后门发送信标消息并收到响应 ID,它就会评估 ID 号以确定后续操作。如果 ID 小于 16,该函数将返回,提示后门发送另一个信标消息并等待新的 ID。如果 ID 介于 16 和 32 之间,后门将继续收集主机信息并执行配对的后门命令函数。在收集信息并执行命令后,后门会加密并存档所有收集的数据,然后将其传回 Dropbox 或 Twitter。当收到的 ID 等于 39 时,后门将从 Dropbox 文件或 Twitter 状态更新中检索数据以确认后门服务的状态。以下是 Dropbox 和 Twitter 连接测试功能以及此变种的命令功能的屏幕截图。
图左边是在线调试字符串,右边是后门命令函数。
此外,我们对 Sagerunex 后门的这个版本进行逆向工程后,发现了一个有趣的现象。我们发现,这个版本的配置文件不仅包含 Dropbox 令牌和 Twitter 令牌,还揭示了其原始文件路径,我们认为该路径可能来自攻击者的机器。下面,我们提供了我们识别的所有文件路径的列表,以及配置文件的屏幕截图。
- C:\Users\aa\Desktop\dpst.dll
- C:\Users\3\Desktop\DT-1-64-G\msiscsii.dll
- C:\Users\balabala\Desktop\swprve64.dll
- C:\Users\test04\Desktop\a\dtsvc32.dll
- C:\Users\USER\Documents\dtj32\dj32.dll
此外,我们对 Dropbox 文件和 Twitter 内容时间戳的观察表明,该版本的后门主要在 2018 年至 2022 年期间活跃,我们评估该版本的后门现在可能仍然活跃。这个时间范围表明多年来一直保持着一致的使用模式,凸显了这种威胁在野外的长期性和持久性。下面是我们从其中一个 Dropbox 帐户中提取文件详细信息的示例。
Sagerunex 后门感染链的 Dropbox 和 Twitter 版本如下所示。
Sagerunex 的 Zimbra 网络邮件版本
Talos 发现的 Sagerunex 后门的最后一个变种使用 Zimbra API 连接到合法的 Zimbra 邮件服务,将其用作 C2 通道来窃取受害者信息。与其他版本一样,此 Sagerunex 变种在建立其初始信标连接之前会执行所有必要的检查。它使用 Zimbra 网络邮件 URL 以及用户名和密码登录并获取身份验证令牌。成功获取此令牌后,后门会同步帐户的文件夹和文档,并利用搜索功能 API 来验证连接的功能。连接和同步过程完成后,后门会收集主机信息、加密信息并将数据保存为“mail_report.rar”。rar 文件将附加到用户电子邮件帐户草稿文件夹中的草稿电子邮件中。完成这些步骤后,信标连接已成功建立。
Sagerunex 的 Zimbra webmail 版本不仅旨在收集受害者信息并将其发送到 Zimbra 邮箱,还允许攻击者使用 Zimbra 邮件内容下达命令并控制受害者机器。如果邮箱中有合法的命令内容 ,后门将下载内容并提取命令,否则后门将删除内容并等待合法命令。一旦完成命令执行,后门将打包命令结果并将数据保存为“mail_report.rar”。rar 文件将附加到用户电子邮件帐户垃圾文件夹中的草稿电子邮件中。
图左侧为Zimbra状态路径,右侧为后门命令函数。
Talos 观察到该版本的 Sagerunex 后门自 2019 年以来一直活跃,并且仍有多个 Zimbra 邮箱接收受感染机器的信标信息。
Zimbra 版本的 Sagerunex 后门感染链如下所示。
Indicators of compromise (IOCs)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.213.245.95
103.224.80.102
103.232.223.117
103.234.97.19
103.243.131.205
103.74.192.105
117.18.5.141
118.193.240.214
122.10.118.125
122.10.91.36
122.10.91.37
123.60.167.7
160.124.251.105
185.243.42.80
185.243.43.197
185.243.43.202
43.252.161.22
43.254.217.138
43.254.218.69
43.255.104.100
45.32.127.121
45.32.127.212
58.64.193.166
58.64.193.225
59.188.254.21
59.188.254.79
59.188.69.190
59.188.77.188
cebucafe.net
cebucfg.org
davaotour.net
davoport.org
jf.doyourbestyet.com
ns1.poorgoddaay.com
www.acdserv.com
www.ilovekalias.com
www.sensor-data.online
www.serthk.com
zg.poorgoddaay.com
