TA402组织针对中东各国政府传播LastConn恶意软件

Proofpoint研究人员发现TA402组织在攻击活动中传播名为LastConn的恶意软件。该恶意软件的目标是中东的政府机构以及与该地区地缘政治相关的全球政府组织。

概述
Proofpoint研究人员发现TA402组织在攻击活动中传播名为LastConn的恶意软件。该恶意软件的目标是中东的政府机构以及与该地区地缘政治相关的全球政府组织。TA402也称Molerats和GazaHackerTeam除中东其他地区外,该组织还经常针对以色列和巴勒斯坦的实体。
 
该组织长期针对中东地区的政府机构和外交实体进行鱼叉式钓鱼活动。但在2021年3月突然停止攻击,中断两个月后于6月初又恢复鱼叉钓鱼活动,并在活动中分发LastConn恶意软件。经分析,研究人员认为LastConn是SharpStage恶意软件的更新版本。
攻击链路
TA402在6月的活动中使用了包含恶意链接或PDF附件的鱼叉式钓鱼邮件。PDF附件中嵌入了一个或多个地理防御URL, 只有当源IP地址属于中东的目标国家/地区时,才会将受害者引向一个受密码保护的RAR压缩文档,否则受害者将被重定向到合法网站,如阿拉伯新闻网站。攻击链路如下图所示:
 

TA402组织针对中东各国政府传播LastConn恶意软件

图1. 利用PDF附件的攻击链路
攻击者所使用的电子邮件和PDF通常都是用阿拉伯语编写的,诱惑文档通常与影响中东的地缘政治话题紧密相扣,尤其是加沙冲突。RAR压缩文档的密码包含在PDF文本中,该文档解压后将释放LastConn恶意软件。

TA402组织针对中东各国政府传播LastConn恶意软件

图2. 攻击者使用的PDF示例

恶意软件分析

LastConn是SharpStage恶意软件的更新版本或新变体。LastConn意软件仅针对安装了阿拉伯语言包的计算机,以确保它只感染特定目标。它使用Dropbox提供所有C2功能和基础设施。该恶意软件使用了多种反检测技术,试图阻止自动和手动恶意软件分析。

“LastConn”这个名称是基于恶意软件Dropbox帐户中保存的的“LastConn.txt”文本文件 ,该文件用于记录恶意软件何时处于活跃状态:

TA402组织针对中东各国政府传播LastConn恶意软件

图3. “LastConn”名称的由来

恶意软件样本中使用了第三方.NET代码混淆器,它能够执行名称混淆、垃圾代码填充、控制流混淆、日期检查,以及字符串加密等操作。

恶意软件及其组件中的字符串都以加密的方式存储在.NET资源中。一旦资源被解密,字符串就会被索引引用。当计算机上安装了阿拉伯语言包的受害者,点击鼠标后,该恶意软件才会继续执行下一步动作。

TA402组织针对中东各国政府传播LastConn恶意软件

图4. 阿拉伯语检查

首次运行时,LastConn会执行“RunFileOnes”函数。该函数使用合法的Dropbox API和“txt_TokenRunOne”身份验证令牌,将“txt_FileOpen”文件下载到“txt_PathDir”并打开。研究人员认为这是为了显示诱饵文档。

打开诱饵文档后,恶意软件将执行“StartFolder”函数。该函数使用Dropbox API 和“txt_MyToken”身份验证令牌,在恶意软件的Dropbox上创建一个名为“<computer_name><username>”的工作目录。然后将一个名为“txt_FileToDown”的空文件上传到该工作目录中。研究人员认为,这个空文件用于表明恶意软件已初始化并准备好执行命令。

最后,恶意软件将执行“GetUpload”函数,用户维护“txt_LastConn”恶意软件活动日志;下载包含用于命令处理的第三个Dropbox身份验证令牌的“txt_Setting”文件;下载合法的Rar.exe和“txt_FileName”.rar文件,最终执行恶意指令。

总结

TA402是一个高效且有能力的威胁行为体,它对中东各国政府实体来说是一个巨大的威胁。该组织在2021年6月恢复了每周一次的威胁活动,因此研究人员推测TA402将在中东地区持续活跃,并继续开发和修改定制的恶意软件植入器,包括增加规避检测和自动分析的功能。

IOC

文件哈希:

f55e2050733576fa16452e2589a187f4bf202ca3b54b1497ba2c006e8d3bdd45 

0db46fea5a0be8624069f978f115e4270833df29ed776c712182327a758fd639 

557c60ae9c613164fda3189720eaf78fe60b6bd8191f4d208ca3bbbdceffee36 

0f36088ed9f5ffd4b42d35789113e99d8839edc52e554dbee0969bcad0200cfb 

1cf18ce4becf2244fb715aa52eb4d56b569a95f2a1e7a835d217a20a2757a2d8 

6d65804ca8f71e21b18de08176a53d8f203bc23629dd822ef3c0da217f95f119 

cd60488acc0cc596c0de63eb0a7bca4ada4748fc4e76a86ca0fab42f15050347 

URL:

hxxp[:]//192[.]210[.]151[.]43/CVDWwr42525[.]php 

hxxps://script[.]google[.]com/macros/s/AKfycbxhRyJqO682mzT4C3-aNwSULjNPuHvhqpGYElJedUBPfaG60fZSOEQ/exec 

版权归原作者所有,如若转载,请注明出处:https://www.ciocso.com/article/6416.html

发表评论

登录后才能评论
跳至工具栏