飞龙之眼:维吾尔主题相关网络攻击活动调查

Kong 2016-11-11 16:34:07


概要背景

该报告描述了以中国境外维吾尔活动人士为目标的一系列网络攻击活动。攻击使用钓鱼邮件,通过恶意附件配合CVE-2012-0158漏洞利用代码释放木马程序。我们从受害者系统中收集到了大量与攻击相关的证据信息,攻击产生了多个与维吾尔相关的回连域名。攻击使用了PlugX、Gh0stRAT、Saker/Xbox和其它未被发现的恶意软件。

该报告仅对攻击使用的恶意软件和回连域名进行分析,未针对特定属性进行归因调查。近年来,多个案例表明相关维吾尔机构或人士受到了定向网络攻击,此报告中涉及的恶意软件至少从2004年就开始持续存在。然而,幕后攻击者的猜想让人值得沉思。Palo Alto Networks早前也捕获到了相关恶意样本并发布了技术分析报告Recent MNKit Exploit ActivityReveals Some Common Threads。

维吾尔主题的恶意软件攻击

PlugX后门使用的恶意域名-www.yawropauyghur[.]top

2016年3月,ASERT监测到了一例使用维吾尔主题域名www.yawropauyghur[.]top的PlugX后门程序,而该域名曾在我们之前的调查The-Four-Element-Sword-Engagement提及。

域名www.yawropauyghur[.]top注册时间为11-04-2015,解析指向C2 IP地址118.193.240[.]195。而PlugX后门程序的编辑日期为2015-11-18 09:15:19,样本哈希值SHA-256为a351040c0da2837f19b357baea4bffe194b0cd0d86bf262f8be1126e3a9d44d8,PlugX的配置文件如下:

其中包括回连域名配置、认证字符配置和P2P功能配置。

Gh0stRAT LURK0 恶意软件使用的域名-www.amerikauyghur[.]top

Gh0stRAT LURK0变体曾被攻击者多次用于针对相关独立活动人士的网络攻击,在前期的调查中发现,Gh0stRAT LURK0 恶意软件回连曾指向118.193.240[.]195:666,在对样本最近的网络流量分析中发现,其触发了以下网络签名:

ddd.jpg

Saker/Xbox恶意软件使用的域名-www.amerikauyghur[.]top

另一恶意软件样本也使用了域名www.amerikauyghur[.]top:

http://www.amerikauyghur.top:993/301000000000F0FD01003632323636363644323837353232373100000000000000000000000000000000000000000054455155494C41424F4F4D424F4F4D0000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000001000007006A616E65747465646F65000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000

有趣的是,该样本与C2的通信中包含一个看似错误的User-Agent字段值:用”Wis”代替了”Win”

User-Agent:Mozilla/6.0(compatible;MSIE 9.0; Wis NT!8.1; .NET CLR 2.13431)

Palo Alto Networks和FireEye也从大量的恶意http请求中发现了这一伪装的User-Agent值,其作用可能为攻击者用来识别和统计攻击活动。

针对19位维吾尔活动人士的鱼叉式钓鱼邮件攻击

为了配合此次调查,我们对相关捕获样本进行了筛查,一封2016年3月份的钓鱼邮件引起了我们的注意,该邮件发送目标为不同地区的19位维族人士,邮件附件为一个恶意RTF文档:uqturush.doc。

此RTF文档具备较早的时间戳:2012年5月,并且利用了一个早期的漏洞CVE-2012-0158。如果缺乏及时和有效的更新,一些目标系统将存在风险,可能会被攻击者利用。Palo Alto Networks调查显示,该文档内置MNKit恶意软件变体。虽然MNKit恶意软件近年来被多个攻击活动所利用,但感染传播范围不大。当恶意软件在目标系统中被触发之后 ,将会产生和运行以下文件:

从受害者分布来看,攻击目标多为与维吾尔问题相关的机构人士,攻击者可能对受害者邮箱进行了长期信息收集和监控。而据总部在海牙的“无代表国家及民族组织”(UNPO)声称,维吾尔问题相关的电邮通信一直受到严密监控。

恶意附件释放了一个dll文件和一个exe文件,并产生了与IP地址118.193.240[.]195:993的网络连接,该IP地址曾被用来针对西藏、香港、台湾的媒体和书商,以及中国维权群体发起网络攻击。

从18.193.240[.]195被动DNS记录来看,与之相关的域名turkiyeuyghur[.]com在2015年转变化为另一个IP地址指向210.209.118[.]87,该IP地址在早先的调查报告中显示,其一直托管着攻击者用作恶意回连多个域名,其中包括8个维吾尔主题相关域名:

经调查发现,域名注册人联系邮箱为2732115454[@]qq.com,该邮箱还注册了其它多个无使用记录的域名,如russiauyghur[.]top,这些域名可能是攻击者用来做备用或后续攻击使用。通过分析发现,该邮箱还注册了freetibet[.]top和tibetantimes[.]top两个域名,注册人名称为“Wang Qiong? Wang Qiong”。

以上域名一直围绕以下4个IP地址进行解析:

另外,通过whois信息发现,注册人名称为“Wang Qiong?Wang Qiong”的另一个注册域名为XingLeHui.top,注册机构为“深圳市星乐汇餐饮管理有限公司”,该域名指向IP地址59.188.83[.]144,此IP地址还托管有17个域名地址,目前,还未发现这些域名与攻击活动有明显的关联证据。

Saker/Xbox恶意软件使用域名-www.turkiyeuyghur.com

另一指向域名turkiyeuyghur[.]com的样本,与Gh0stRAT LURK0产生的样本行为相似,具备以下网络连接:

http://turkiyeuyghur.com:666/301000000000F0FD01003632323636363644323837353232373100000000000000000000000000000000000000000054455155494C41424F4F4D424F4F4D0000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000001000007006A616E65747465646F65000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000

样本运行之后,将会释放以下文件:

? C:\Documents!and!Settings\Admin\Application!Data\mntat
? C:\Documents!and!Settings\Admin\Application!Data\mntat\msexc.exe
? C:\Documents!and!Settings\Admin\Start!Menu\Programs\Startup\msexw.lnk
? C:\Documents!and!Settings\Admin\Application!Data\mntat\msexw.zip

同时,将在系统启动菜单下为释放程序C:\Users\admin\AppData\Roaming\mntat\msexc.exe建立自启动.lnk文件。

恶意程序将会创建一个变量互斥进程pcdebug.1,而经过关联分析发现,以下两个捕获的恶意样本也会创建该进程:

这两个样本的PEhash值同为59781db8be6bb162f5c8ee8cf950fe191417baa4,据此,我们又发现了其它4个相同样本:

这些样本大部分被杀毒软件检测为下载者病毒或Zeus木马,编辑日期都为2015-09-02 01:59:21。

其它维吾尔主题的恶意文档- cve-2012-0158

以下为其它针对维吾尔机构或人士开展网络攻击使用的恶意文档样本:

总结

从现有的技术分析来看,对维吾尔特定目标人群的网络攻击持续存在。虽然本报告描述的系列攻击中使用了一个早期的漏洞利用代码(CVE-2012-0158),但不排除攻击者还有其它更高级更复杂的定向攻击手段。

详细威胁指标下载:IOC