Login
凛冬将至,恶魔重新降临 —— 浅析 Hacking Team 新活动
背景
Hacking Team 是为数不多在全球范围内出售网络武器的公司之一,从 2003 年成立以来便因向政府机构出售监视工具而臭名昭著。
2015年7月,Hacking Team 遭受黑客攻击,其 400GB 的内部数据,包括曾经保密的客户列表,内部邮件以及工程化的漏洞和后门代码被全部公开。随后,有关 hacking team 的活动突然销声匿迹。
2018年3月 ESET 的报告指出:Hacking Team 一直处于活跃状态,其后门版本也一直保持着稳定的更新。
2018年12月360高级威胁应对团队的报告披露了 Hacking Team 使用 Flash 0day 的”毒针”行动。
2019年11月360高级威胁应对团队的报告披露了 APT-C-34 组织使用 Hacking Team 网络武器进行攻击。
2020年4月360诺亚实验室的报告披露出 Hacking Team 新的攻击活动。
以上信息表明,Hacking Team 依旧处于活跃状态,并且仍然保持着高水准的网络武器开发能力。
概述
2020年9月11日,VirusTotal 上传了一份来自白俄罗斯的 rtf 恶意文档样本,该样本疑似 CVE-2020-0968 漏洞首次被发现在野利用。国内友商将此攻击事件称为“多米诺行动”,但并未对其进行更丰富的归因。
我们分析相关样本后发现,该行动中使用的后门程序为 Hacking Team scout 后门的 38 版本。
此版本的后门使用了打印机图标,伪装成 Microsoft Windows Fax and Scan 程序。
和之前的版本一样,该样本依然加了VMP壳,并使用了有效的数字签名:
此样本的后门 ID 为031b000000015
C2 为 185.243.112[.]57
和之前的版本相同,scout 使用 post 方式,将加密信息上传至 185.243.112[.]57/search,且使用了相同的 UserAgent。由于其版本间的功能变化不大,我们在此不再对其进行详细分析。若对 scout 后门技术细节感兴趣,可以参考我们之前发布的报告。
关联分析
通过签名我们关联到另外一起针对俄罗斯的攻击事件。
关联到的样本名为: дело1502-20памятка_эл72129.rtf,中文翻译为:案例 1502-20 备忘录。rtf运行后,会从远程服务器 23.106.122[.]190 下载 mswfs.cab 文件,并释放后门程序到 %UserProfile%\AppData\Local\Comms\mswfs.exe。9月26日分析时,从服务器下载的 mswfs.cab 文件为正常的 winrar 安装包文件。
mswfs.exe 同样为 scout 后门38版本。
与针对白俄罗斯的攻击中的样本相同,该样本伪装成 Microsoft Windows Fax and Scan 程序,并使用了相同的数字签名。
此样本后门 ID 和 C2 如下图所示。
通过对远程服务器 23.106.122[.]190 进行分析,我们发现该 ip 关联的域名为 gvpgov[.]ru,注册日期为2020年9月11号。该域名为 gvp.gov.ru 的伪装域名,直接访问 23.106.122[.]190 会跳转到 https://www.gvp.gov.ru/gvp/documents ,即俄罗斯军事检察官办公室门户。
结论
结合白俄罗斯上传的 “СВЕДЕНИЯ О ПОДСУДИМОМ.rtf” (中文翻译为“有关被告的信息”)样本和关联到的新样本,我们可以推测,此次行动是攻击者使用 Hacking Team 网络武器库针对俄罗斯与白俄罗斯军事/司法部门相关人员的一次定向攻击事件。
结合当前时间节点,俄罗斯、白俄罗斯和中国军队在俄罗斯阿斯特拉罕州卡普斯京亚尔靶场举行“高加索-2020”战略演习,白俄罗斯与俄罗斯联合开展“斯拉夫兄弟情2020”联合战术演习,9月14日的俄白总统会谈,以及白俄罗斯的示威活动,也给此次攻击增添了重重政治意味。
关于HT
2019年4月,Hacking Team 这家意大利公司被另一家网络安全公司收购并更名为 Memento Labs。一年多之后的2020年5月,Hacking Team 的创始人和前首席执行官 David Vincenzetti 在其官方 LinkedIn 账号上发布了一条简短的消息:
Hacking Team is dead.
Hacking Team 的几名主要员工离职后,尽管新产品的开发速度有所减缓,但通过观测到的 scout 后门版本的更新情况,我们发现 Hacking Team 仍然保持着较高频率的活跃,这也说明 Memento Labs 一直在努力试图崛起。
| 观测到的时间 | scout版本号 | 签名 | 签名有效期 | 伪装的程序 |
|---|---|---|---|---|
| 2019-10 | 35 | KELSUREIWT LTD | 2018.10-2019.10 | ActiveSync RAPI Manager |
| 2020-01 | 35 | CODEMAT LTD | 2019.06-2020.06 | ActiveSync RAPI Manager |
| 2020-05 | 36 | Pribyl Handels GmbH | 2019.12-2020.12 | ActiveSync RAPI Manager |
| 2020-09 | 38 | Sizg Solutions GmbH | 2019.12-2020.12 | Microsoft Windows Fax and Scan |
IoCs
针对俄罗斯的攻击
Hash
9E570B21929325284CF41C8FCAE4B712 mswfs.exe
BACKDOOR_ID
71f8000000015
IP
23.106.122[.]190
87.120.37[.]47
针对白俄罗斯的攻击
hash
60981545a5007e5c28c8275d5f51d8f0 СВЕДЕНИЯ О ПОДСУДИМОМ.rtf
ba1fa3cc9c79b550c2e09e8a6830e318 dll
f927659fc6f97b3f6be2648aed4064e1 exe
BACKDOOR_ID
031b000000015
IP
94.156.174[.]7
185.243.112[.]57
