Securonixdiscovered 的分析师发现了这些攻击,但无法将该活动归因于任何已知的威胁参与者,尽管报告中提到了与过去的 APT37 (Konni) 攻击的一些相似之处。

以员工为目标

针对员工的网络钓鱼电子邮件包含一个 ZIP 附件,其中包含一个快捷方式文件(“Company & Benefits.pdf.lnk”),该文件在执行时会连接到 C2 并启动一系列 PowerShell 脚本,从而使系统感染恶意软件。

有趣的是,快捷方式文件并没有使用经常被滥用的“cmd.exe”或“powershell.exe”工具,而是依赖于不常见的“C:\Windows\System32\ForFiles.exe”命令来执行命令。

下一步是解开一个七阶段的 PowerShell 执行链,其特点是使用多种技术的重度混淆。

竞选感染链
活动感染链 (Securonix)

Securonix 分析师看到的混淆技术是重新排序/符号混淆、IEX 混淆、字节值混淆、原始压缩、重新排序、字符串替换和反引号混淆。

此外,该脚本会扫描与调试和监控软件相关的进程列表,检查屏幕高度是否高于 777 像素,内存是否高于 4GB 以规避沙箱,并验证系统是否在三天前安装。

执行前执行的反分析检查
在恶意软件执行之前执行的反分析检查 (Securonix)

如果其中任何一项检查失败,脚本将禁用系统网络适配器,配置 Windows 防火墙以阻止所有流量,删除所有检测到的驱动器中的所有内容,然后关闭计算机。

恶意软件退出而没有造成任何损害的唯一情况是系统语言设置为俄语或中文。

如果所有检查都通过,脚本会继续禁用 PowerShell 脚本块日志记录,并为“.lnk”、“.rar”和“.exe”文件以及对恶意软件功能至关重要的目录添加 Windows Defender 排除项。

持久性是通过多种方法实现的,包括添加新的注册表项、将脚本嵌入到计划任务中、在启动目录中添加新条目以及 WMI 订阅。

修改注册表以实现持久性
修改注册表以实现持久性 (Securonix)

PowerShell stager 完成该过程后,将从 C2 下载 AES 加密的最终有效负载(“header.png”)。

研究人员解释说:“虽然我们能够下载并分析 header.png 文件,但我们无法对其进行解码,因为我们认为该活动已经完成,我们的理论是该文件已被替换以防止进一步分析。”

“我们解码有效载荷的尝试只会产生垃圾数据。”

C2 基础设施

分析师确定,用于支持该活动的 C2 基础设施的域已于 2022 年 7 月注册并托管在 DigitalOcean 上。

后来,威胁行为者将域转移到 Cloudflare,以从其 CDN 和安全服务中受益,包括 IP 地址屏蔽、地理封锁和 HTTPS/TLS 加密。

报告中提到的一些 C2 域包括“terma[.]wiki”、“terma[.]ink”、“terma[.]dev”、“terma[.]app”和“cobham-satcom.onrender[.] com”。

总而言之,这个活动看起来像是一个知道如何在雷达下飞行的老练威胁参与者的工作,因此请务必检查Securonix 报告中的狩猎查询和共享 IoC 。