背景

Hacking Team 是为数不多在全球范围内出售网络武器的公司之一，从 2003 年成立以来便因向政府机构出售监视工具而臭名昭著。

2015年7月，Hacking Team 遭受黑客攻击，其 400GB 的内部数据，包括曾经保密的客户列表，内部邮件以及工程化的漏洞和后门代码被全部公开。随后，有关 hacking team 的活动突然销声匿迹。

2018年3月 ESET 的报告指出：Hacking Team 一直处于活跃状态，其后门版本也一直保持着稳定的更新。

2018年12月360高级威胁应对团队的报告披露了 Hacking Team 使用 Flash 0day 的”毒针”行动。

2019年11月360高级威胁应对团队的报告披露了 APT-C-34 组织使用 Hacking Team 网络武器进行攻击。

2020年4月360诺亚实验室的报告披露出 Hacking Team 新的攻击活动。

以上信息表明，Hacking Team 依旧处于活跃状态，并且仍然保持着高水准的网络武器开发能力。

概述

2020年9月11日，VirusTotal 上传了一份来自白俄罗斯的 rtf 恶意文档样本，该样本疑似 CVE-2020-0968 漏洞首次被发现在野利用。国内友商将此攻击事件称为“多米诺行动”，但并未对其进行更丰富的归因。

我们分析相关样本后发现，该行动中使用的后门程序为 Hacking Team scout 后门的 38 版本。

此版本的后门使用了打印机图标，伪装成 Microsoft Windows Fax and Scan 程序。

和之前的版本一样，该样本依然加了VMP壳，并使用了有效的数字签名：

此样本的后门 ID 为031b000000015

C2 为 185.243.112[.]57

和之前的版本相同，scout 使用 post 方式，将加密信息上传至 185.243.112[.]57/search，且使用了相同的 UserAgent。由于其版本间的功能变化不大，我们在此不再对其进行详细分析。若对 scout 后门技术细节感兴趣，可以参考我们之前发布的报告。

关联分析

通过签名我们关联到另外一起针对俄罗斯的攻击事件。

关联到的样本名为: дело1502-20памятка_эл72129.rtf，中文翻译为：案例 1502-20 备忘录。rtf运行后，会从远程服务器 23.106.122[.]190 下载 mswfs.cab 文件，并释放后门程序到 %UserProfile%\AppData\Local\Comms\mswfs.exe。9月26日分析时，从服务器下载的 mswfs.cab 文件为正常的 winrar 安装包文件。

mswfs.exe 同样为 scout 后门38版本。

与针对白俄罗斯的攻击中的样本相同，该样本伪装成 Microsoft Windows Fax and Scan 程序，并使用了相同的数字签名。

此样本后门 ID 和 C2 如下图所示。

通过对远程服务器 23.106.122[.]190 进行分析，我们发现该 ip 关联的域名为 gvpgov[.]ru，注册日期为2020年9月11号。该域名为 gvp.gov.ru 的伪装域名，直接访问 23.106.122[.]190 会跳转到 https://www.gvp.gov.ru/gvp/documents ，即俄罗斯军事检察官办公室门户。

结论

结合白俄罗斯上传的 “СВЕДЕНИЯ О ПОДСУДИМОМ.rtf” (中文翻译为“有关被告的信息”)样本和关联到的新样本，我们可以推测，此次行动是攻击者使用 Hacking Team 网络武器库针对俄罗斯与白俄罗斯军事/司法部门相关人员的一次定向攻击事件。

结合当前时间节点，俄罗斯、白俄罗斯和中国军队在俄罗斯阿斯特拉罕州卡普斯京亚尔靶场举行“高加索-2020”战略演习，白俄罗斯与俄罗斯联合开展“斯拉夫兄弟情2020”联合战术演习，9月14日的俄白总统会谈，以及白俄罗斯的示威活动，也给此次攻击增添了重重政治意味。

关于HT

2019年4月，Hacking Team 这家意大利公司被另一家网络安全公司收购并更名为 Memento Labs。一年多之后的2020年5月，Hacking Team 的创始人和前首席执行官 David Vincenzetti 在其官方 LinkedIn 账号上发布了一条简短的消息：

Hacking Team is dead.

Hacking Team 的几名主要员工离职后，尽管新产品的开发速度有所减缓，但通过观测到的 scout 后门版本的更新情况，我们发现 Hacking Team 仍然保持着较高频率的活跃，这也说明 Memento Labs 一直在努力试图崛起。

观测到的时间	scout版本号	签名	签名有效期	伪装的程序
2019-10	35	KELSUREIWT LTD	2018.10-2019.10	ActiveSync RAPI Manager
2020-01	35	CODEMAT LTD	2019.06-2020.06	ActiveSync RAPI Manager
2020-05	36	Pribyl Handels GmbH	2019.12-2020.12	ActiveSync RAPI Manager
2020-09	38	Sizg Solutions GmbH	2019.12-2020.12	Microsoft Windows Fax and Scan

IoCs

针对俄罗斯的攻击

Hash

9E570B21929325284CF41C8FCAE4B712 mswfs.exe

BACKDOOR_ID

71f8000000015

IP

23.106.122[.]190
87.120.37[.]47

针对白俄罗斯的攻击

hash

60981545a5007e5c28c8275d5f51d8f0 СВЕДЕНИЯ О ПОДСУДИМОМ.rtf
ba1fa3cc9c79b550c2e09e8a6830e318 dll
f927659fc6f97b3f6be2648aed4064e1 exe

BACKDOOR_ID

031b000000015

IP

94.156.174[.]7
185.243.112[.]57