安全报告
首页 > 新闻报道 > 安全报告> 正文

Rotten Tomato APT组织仍在行动

作者:Kender
2016-10-03 12:01:59
次阅读
来源:http://www.freebuf.com/articles/system/115612.html

尽管CVE-2015-1641和CVE-2015-2545已经成为Office系列最受黑客青睐的漏洞,但是一个看似老旧的CVE-2012-0158仍然在被黑客利用。 据国外安全公司Sophos统计,最近的APT行动中所用到的Office漏洞,CVE-2015-1641占66%,CVE-2015-2545占17%,CVE-2012-0158占12%。

据亚信安全病毒监测中心监控数数据,8月份以来CVE-2012-0158漏洞利用有抬头之势,漏洞利用携带的攻击载荷主要为监控类或账号窃取类木马,攻击目标针对企业,以制造业、金融业和医疗行业居多。

Sophos曾经报道过Rotten Tomato攻击行动,组合攻击CVE-2012-0158和CVE-2014-1761漏洞,携带Zbot攻击载荷。最近,我们发现这一组织仍然在活跃,并利用被攻陷的网站作为木马更新的地址。

事件时间线

到达系统的方式

攻击者通常使用邮件的方式,携带含有漏洞攻击的附件,我们监控到的发件者IP定位均在美国。这种方式以电子邮件为诱饵,正文内容通常是清单、通知、快递信息等等,诱使接收者点击。一旦点击之后,精心构造好的恶意文档会利用Office套件的漏洞执行指定命令,向系统内植入木马等恶意程序。

以下是截获到的RTF格式文档的信息

基本信息

Shellcode

CVE-2012-0158漏洞利用分析

CVE-2012-0158是一个位于微软Office系列软件中的Buffer Overflow的漏洞,漏洞所在的模块是MSCOMCTL ActiveX dll。ListView, TreeView等 ActiveX控件都要用到这一组件,也就是说所有调用这一dll的软件都受到该漏洞的影响。通常该漏洞的利用以恶意的.rtf文档形式出现。

有漏洞的函数如下

由于软件作者错误判断了拷贝字节的大小,导致可以向目标数组拷贝超长字节,最终形成溢出,溢出的字节复制循环如下,

复制完成,函数返回时栈底的返回地址已经被覆盖为jmp esp,函数返回时将直接转到Shellcode执行。

这个样本的Shellcode如下,大致流程是获取TEB->PEB->kernel32.dll的基地址->IAT

获取GetProcAddress和LoadLibrary函数地址

调用URLDownloadToFile从指定URL下载文件

下载地址是http://www.pgathailand.com/which.exe,下载完成后调用WinExec运行。

攻击载荷分析

www.pgathailand.com这个域名解析到的IP是128.199.127.7,该网站属于泰国高尔夫球协会。

据历史监控,该网站目录下曾监测到大量恶意软件样本,疑似被黑。目前恶意软件已清除。

黑客用已经入侵好的服务器作为木马更新源,增加了对攻击源头的追溯难度。

这个木马的基本信息如下。

MD5    5e9253e78527e6db7d2f1a1c0e4f7284
文件类型    application/x-rar
文件大小    200933
编译时间    2014-05-06 12:07:12

该文件是一个自解压型程序,运行之后释放出文件%TEMP%\RarSFX0\Hnmsiy.exe并执行。

这是一个TROJ_Fareit木马的变种。能够窃取用户账号密码,并下载和执行Zbot家族木马。

获取以下文件,威胁登录账号安全。

%APPDATA%\Mozilla\Firefox\Profiles\4thzac8r.default\key3.db

%APPDATA%\Mozilla\Firefox\Profiles\4thzac8r.default\cert8.db

%APPDATA%\Mozilla\Firefox\Profiles\4thzac8r.default\secmod.db

%APPDATA%\Mozilla\Firefox\profiles.ini

%APPDATA%\Mozilla\Firefox\Profiles\4thzac8r.default\signons.sqlite

%APPDATA%\Mozilla\Firefox\Profiles\4thzac8r.default\signons2.txt
这些文件能添加系统自启动项,并注入自身傀儡进程逃避检测。该木马会连接到C&C服务器,地址为http://209.133.221.62/%7Efifaregi/ifeoma/gate.php,这是一个典型的木马C&C服务器URL pattern。

我们用交叉关联的方法发现这个209.133.221.62的IP还与其他恶意软件传播活动有关,

其在9月18日对外发送过钓鱼邮件。

整个行动的流程示意图

目标地理分布

目标行业分布

受感染操作系统

总结

虽然该案例看似旧瓶装新酒,但对一些中小企业还是有比较大的杀伤力。由于软件版本过旧以及补丁不及时,往往给漏洞利用留下通道。加上企业内部人员安全意识参差不齐,防病毒和入侵检测系统部署不到位,容易一封鱼叉式钓鱼邮件即可直达内网,严重威胁企业信息安全,造成重要信息外流。未来的企业信息安全要着眼于构建多层防护体制,同时也要加强员工信息安全培训,养成良好的安全意识,不随意打开陌生来源的邮件附件,定期更新系统和应用软件补丁,定期升级安全软件特征库。

本文涉及到的样本哈希值和相关域名/IP信息如下。

文件MD5:

97bd51b665022f48ee5442ec330edaa9

3f41edee216ff14121c4185717101829

5e9253e78527e6db7d2f1a1c0e4f7284

039b76303243efeaa659003c25de0308

2e0f18aec0b3fa2c0fbdfab70572fa4c

3ea9f80d6971e12967e96da7d961f1a6

IP:

13.84.153.222

13.85.81.89

Domain:

http://www.pgathailand.com/which.exe

http://209.133.221.62/%7Efifaregi/ifeoma/gate.php

crm.baminds.com

azure.baminds.com

上一篇:移动平台流量黑产研究:色情播放器类恶意软件产业链
下一篇:2016年中国互联网仿冒态势分析报告

已有 条评论

推荐阅读

小组Security交流群: 199852440
关注网络攻防小组微信公众号
每日精选文章推送

新浪微博