ऑपरेशन (That () उत्तर सितारा एक नौकरी की पेशकश सच है कि बहुत अच्छा है?

कार्यकारी सारांश

हम एक आर्थिक मंदी के बीच हैं [1], वहाँ से अधिक उम्मीदवारों के साथ वहाँ काम कर रहे हैं, कुछ है जो दुर्भावनापूर्ण अभिनेताओं द्वारा लीवरेज किया गया है ताकि पीड़ितों को मालवेयर से लदे दस्तावेजों को खोलने के लिए लालच दिया जा सके। जबकि इस अभूतपूर्व समय के दौरान हमलों की व्यापकता काफी हद तक निम्न-स्तरीय धोखेबाजों द्वारा की गई है, अधिक सक्षम खतरे वाले अभिनेताओं ने इस संकट को सादे दृष्टि में छिपाने के अवसर के रूप में भी इस्तेमाल किया है।

ऐसा ही एक उदाहरण एक अभियान है जिसे McAfee Advanced Threat Research (ATR) ने एयरोस्पेस एंड डिफेंस इंडस्ट्री को लक्षित करने वाली दुर्भावनापूर्ण साइबर गतिविधि में वृद्धि के रूप में देखा। 2020 के इस अभियान में McAfee ATR ने बहुत ही लक्षित अंदाज में, दुर्भावनापूर्ण दस्तावेजों की एक श्रृंखला की खोज की, जिसमें प्रमुख रक्षा ठेकेदारों से ली जाने वाली लेग्स के रूप में इस्तेमाल किया गया। इन दुर्भावनापूर्ण दस्तावेजों को पीड़ितों को एक डेटा इकट्ठा करने वाले प्रत्यारोपण को स्थापित करने के लिए भेजा जाना था। इन अभियानों का शिकार इस समय स्पष्ट नहीं है, हालांकि, नौकरी के विवरण के आधार पर, वे लोगों को कौशल और अनुभव के साथ लोगों को लक्षित करने के लिए प्रेरित करते हैं, जो कि दस्तावेज़ों में सामग्री से संबंधित हैं। यह अभियान उद्योग द्वारा कहीं और बताई गई गतिविधि के समान प्रतीत होता है, हालाँकि इस विश्लेषण में इस अभियान में निहितार्थ और लालच के दस्तावेज़ अलग-अलग हैं। [2], इस प्रकार हम यह निष्कर्ष निकाल सकते हैं कि यह अनुसंधान एक अलग गतिविधि सेट का हिस्सा है। यह अभियान कई यूरोपीय देशों से अपनी कमांड को नियंत्रित करने और बुनियादी ढांचे को नियंत्रित करने और पीड़ितों को लक्षित करने के लिए प्रत्यारोपण वितरित करने के लिए कई बुनियादी ढांचे का उपयोग कर रहा है।

इस तरह का अभियान 2017 और 2019 से पहले प्रमुख सैन्य और रक्षा प्रौद्योगिकियों के आस-पास खुफिया जानकारी इकट्ठा करने के लक्ष्य के साथ समान तरीकों का उपयोग करते हुए दिखाई दिया है [3]। 2017 के अभियान में प्रमुख रक्षा ठेकेदारों से नौकरी पोस्टिंग के साथ लालच दस्तावेजों का भी उपयोग किया गया; यह ऑपरेशन उन रक्षा ठेकेदारों द्वारा नियोजित व्यक्तियों को लक्षित कर रहा था, जो कि इस्तेमाल में लाते हैं। भाला फ़िशिंग ईमेल से प्राप्त कुछ अंतर्दृष्टि के आधार पर, उस अभियान का मिशन अपने नियोक्ताओं द्वारा विकसित की जा रही कुछ परियोजनाओं के आसपास डेटा एकत्र करना था।

2020 की गतिविधि की तकनीक, रणनीति और प्रक्रियाएं (टीटीपी) उन पिछले अभियानों के समान हैं जो हमने 2017 और 2019 में देखे थे। हमारे विश्लेषण से यह 2018 के अभियान की निरंतरता प्रतीत होती है, जिसमें कई समानताएं हैं। देखे गए। ये समानताएँ दोनों Visual Basic कोड में मौजूद हैं जिनका उपयोग इम्प्लांट को निष्पादित करने के लिए किया जाता है और कुछ मुख्य कार्यक्षमता जो 2019 और 2020 के बीच मौजूद हैं।

इस प्रकार, 2020 अभियान के संकेतक 2017 और 2019 से पिछली गतिविधि की ओर इशारा करते हैं, जिसे पहले छिपे हुए कोबरा के रूप में जाना जाने वाले खतरे अभिनेता समूह को जिम्मेदार ठहराया गया था। [4]। हिडन कोबरा एक छाता शब्द है, जिसका इस्तेमाल अमेरिकी सरकार द्वारा उत्तर कोरिया के लिए धमकी भरे समूहों को संदर्भित करने के लिए किया जाता है [1]। छिपे हुए कोबरा उद्योग के लेबल से लेज़र, किमस्की, कोनी और एपीटी 37 के रूप में खतरे की गतिविधि के होते हैं। दुनिया भर के संगठनों को लक्षित करने वाले इन समूहों के लिए जिम्मेदार साइबर आक्रामक कार्यक्रमों को वर्षों से प्रलेखित किया गया है। उनके लक्ष्य प्रमुख प्रौद्योगिकियों से क्रिप्टो मुद्रा चोरी के लिए सैन्य प्रौद्योगिकियों के आसपास डेटा एकत्र करने से लेकर हैं।

हमारा विश्लेषण बताता है कि 2020 में गतिविधि का एक उद्देश्य पीड़ितों की मशीनों पर डेटा एकत्रण प्रत्यारोपण स्थापित करना था। इन डीएलएल प्रत्यारोपण का उद्देश्य पीड़ितों की मशीनों से पीड़ितों की पहचान के उद्देश्य से बुनियादी जानकारी एकत्र करना था। लक्ष्य मशीन से एकत्र किया गया डेटा लक्ष्य के मूल्य को वर्गीकृत करने में उपयोगी हो सकता है। McAfee ATR ने देखा कि 2020 के अभियानों में कई अलग-अलग प्रकार के प्रत्यारोपणों का इस्तेमाल किया गया था।

ये अभियान दुर्भावनापूर्ण साइबर अभियानों के साथ दक्षिण कोरिया और विदेशी देशों की सुरक्षा को प्रभावित करते हैं। इस ब्लॉग में McAfee ATR 2020 के पहले भाग में किए गए कई अभियानों का विश्लेषण करता है।

अंत में, हम रक्षा और एयरोस्पेस के बाहर अन्य क्षेत्रों में झूठी नौकरी भर्ती अभियान का विस्तार करते हुए देखते हैं, जैसे कि एक प्रमुख एनीमेशन स्टूडियो के लिए वित्त स्थिति के रूप में एक दस्तावेज।

इस ब्लॉग में हम कवर करेंगे:

रुचि का लक्ष्य – रक्षा और एयरोस्पेस अभियान

यह पहली बार नहीं है जब हमने रक्षा और एयरोस्पेस उद्योग में दुर्भावनापूर्ण दस्तावेजों के रूप में उपयोग करते हुए खतरे वाले अभिनेताओं को देखा है। 2017 और 2019 में, लक्ष्य के लिए दुर्भावनापूर्ण दस्तावेज़ भेजने का प्रयास किया गया था जिसमें प्रमुख रक्षा ठेकेदारों के पदों के लिए नौकरी की पोस्टिंग थी3

इन अभियानों का उद्देश्य विशिष्ट कार्यक्रमों और प्रौद्योगिकियों के बारे में जानकारी एकत्र करना था। 2017 के अभियान की तरह, 2020 के अभियान ने भी कई प्रमुख रक्षा और एयरोस्पेस संगठनों से वैध नौकरी पोस्टिंग का उपयोग किया। मैक्एफ़ी एटीआर ने 2020 के अभियान में, 2017 ऑपरेशन के कुछ समान रक्षा ठेकेदारों को फिर से दुर्भावनापूर्ण दस्तावेजों में लालच के रूप में इस्तेमाल किया।

2020 में नोट की गई इस नई गतिविधि में 2017 के अभियान में देखे गए लोगों के समान तकनीक, रणनीति और प्रक्रिया (टीटीपी) का उपयोग किया गया है जो रक्षा औद्योगिक बेस में व्यक्तियों को लक्षित करते हैं (डीआईबी)। 2017 की गतिविधि को अमेरिकी सरकार द्वारा एक अभियोग में शामिल किया गया था और हिडन कोबरा धमकी समूह के लिए जिम्मेदार ठहराया गया था4

हमला अवलोकन

चरण एक: प्रारंभिक संपर्क

इस हालिया अभियान ने टेम्प्लेट इंजेक्शन हमले का उपयोग करके लक्षित प्रणाली पर मैलवेयर स्थापित करने के लिए दुर्भावनापूर्ण दस्तावेज़ों का उपयोग किया। यह तकनीक एक हथियार वाले दस्तावेज़ को मैक्रोज़ वाले बाहरी वर्ड टेम्पलेट को डाउनलोड करने की अनुमति देती है जिसे निष्पादित किया जाएगा। यह एक ज्ञात ट्रिक है जिसका उपयोग स्थैतिक दुर्भावनापूर्ण दस्तावेज़ विश्लेषण को बायपास करने के लिए किया जाता है, साथ ही मैक्रो को डाउनलोड किए गए टेम्पलेट में एम्बेड किया जाता है।

इसके अलावा, इन दुर्भावनापूर्ण वर्ड दस्तावेजों में इन प्रमुख रक्षा ठेकेदारों के वैध नौकरियों से संबंधित सामग्री थी। सभी तीन संगठनों में अमेरिकी सरकार के साथ अलग-अलग आकार और दायरे के रक्षा अनुबंध हैं।

इन दस्तावेजों की समय-सीमा, जो कि अज्ञात संख्या में लक्ष्य के लिए भेजी गई थी, 31 मार्च से 18 मई 2020 के बीच चली।

दस्तावेज़ निर्माण समयरेखा

पीड़ित के वातावरण में दुर्भावनापूर्ण कोड पेश करने के लिए घातक दस्तावेज मुख्य प्रवेश बिंदु थे। इन दस्तावेजों में रक्षा, एयरोस्पेस और अन्य क्षेत्रों से नौकरी के विवरण शामिल थे। उद्देश्य इन दस्तावेजों को पीड़ित के ईमेल पर भेजना होगा, जिस इरादे से वे खुले, देखें और अंततः पेलोड को निष्पादित करें।

जैसा कि हमने उल्लेख किया है, विरोधी ने टेम्प्लेट इंजेक्शन नामक एक तकनीक का उपयोग किया है। जब किसी दस्तावेज़ में .docx एक्सटेंशन होता है, तो हमारे मामले में, इसका मतलब है कि हम ओपन ऑफिस XML मानक के साथ काम कर रहे हैं। A .docx फ़ाइल एक ज़िप फ़ाइल है जिसमें कई भाग होते हैं। टेम्प्लेट इंजेक्शन तकनीक का उपयोग करते हुए, विरोधी .XML फ़ाइलों में से एक में टेम्प्लेट फ़ाइल की ओर एक लिंक डालता है, उदाहरण के लिए लिंक settings.xml.rels में है, जबकि बाहरी ओलेओबजेक्ट लोड document.xml.rels में है। लिंक एक दूरस्थ सर्वर से टेम्पलेट फ़ाइल (DOTM) को लोड करेगा। यह एक चतुर तकनीक है जिसका हम कई सलाहकारों द्वारा उपयोग किया जा रहा है [5] और शुरू में साफ-सुथरा मालवेयर लोड करने के लिए शुरू में साफ होने के लिए एक दस्तावेज बनाने का इरादा है। इन टेम्पलेट फ़ाइलों में से कुछ को JPEG फ़ाइलों के रूप में बदला जाता है जब किसी भी संदेह और बायपास का पता लगाने से बचने के लिए एक दूरस्थ सर्वर पर होस्ट किया जाता है। इन टेम्प्लेट फ़ाइलों में विज़ुअल बेसिक मैक्रो कोड होता है, जो पीड़ित के सिस्टम पर DLL इम्प्लांट को लोड करेगा। वर्तमान McAfee प्रौद्योगिकियां वर्तमान में इस खतरे से बचाती हैं।

हमने पहले उल्लेख किया था कि डॉक्स फाइलें (जैसे xlsx और pptx) OOXML मानक का हिस्सा हैं। इस मानक को परिभाषित करने वाला दस्तावेज़[6], वाक्यविन्यास और मूल्यों का वर्णन करता है जिनका उपयोग एक उदाहरण के रूप में किया जा सकता है। देखने के लिए एक दिलचस्प फ़ाइल ‘settings.xml’ फ़ाइल है जिसे डॉक्स ज़िप फ़ाइल के ’वर्ड’ कंटेनर में खोजा जा सकता है। इस फ़ाइल में भाषा, मार्कअप और बहुत कुछ के संबंध में सेटिंग्स हैं। सबसे पहले, हमने settings.xml फ़ाइलों से सभी डेटा निकाले और तुलना करना शुरू किया। नीचे दिए गए सभी दस्तावेजों में समान भाषा मूल्य शामिल हैं:

w: वैल = “en-US”
w: eastAsia = “ko-के.आर.”

XML फ़ाइल एक GUID मान के साथ समाप्त होती है जो “w15” मान से शुरू होती है।

उदाहरण: w15: val = “{932E534D-8C12-4996-B261-816995D50C69}” />

Microsoft प्रलेखन के अनुसार, w15 PersistentDocumentId वर्ग को परिभाषित करता है। जब ऑब्जेक्ट को xml के रूप में क्रमबद्ध किया जाता है, तो इसका योग्य नाम w15: docId है। 128-बिट GUID को ST_Guid विशेषता के रूप में सेट किया गया है, जो Microsoft प्रलेखन के अनुसार, एक अद्वितीय टोकन को संदर्भित करता है। उपयोग किया गया वर्ग DocID के रूप में उपयोग के लिए एक GUID बनाता है और संबंधित कुंजी उत्पन्न करता है। क्लाइंट GUID को उस संरचना में संग्रहीत करता है और डॉक्टर फ़ाइल में बना रहता है। यदि, उदाहरण के लिए, हम एक दस्तावेज बनाएंगे और “सेव एज़” कहेंगे, तो w15: docId GUID नए बनाए गए दस्तावेज़ में मौजूद रहेगा। ऊपर हमारी सूची के लिए इसका क्या अर्थ होगा? उसी GUID मान वाले दस्तावेज़ों को कालानुक्रमिक क्रम में रखा जाना चाहिए और फिर हम बता सकते हैं कि प्रारंभिक दस्तावेज़ बाकी के लिए मूल है, उदाहरण के लिए:

उपरोक्त तालिका से हम जो कह सकते हैं वह यह है कि can _IFG_536R.docx ”पहला दस्तावेज था जिसे हमने देखा और बाद में उसी आधार दस्तावेज़ से एक ही docID मान वाले दस्तावेज़ बनाए गए।

इस दावे में जोड़ने के लिए; settings.xml में फ़ाइल का मान “rsid” (शैली परिभाषा के लिए संशोधन पहचानकर्ता) पाया जा सकता है। Microsoft के दस्तावेज़ के अनुसार: “यह तत्व एक अद्वितीय चार-अंकीय संख्या निर्दिष्ट करता है जिसका उपयोग संपादन सत्र को निर्धारित करने के लिए किया जाएगा जिसमें यह शैली परिभाषा अंतिम रूप से संशोधित की गई थी। यह मान इस निम्नलिखित बाधा का पालन करेगा: सभी दस्तावेज़ तत्व जो समान rsid को निर्दिष्ट करते हैं * मान उसी संपादन सत्र के दौरान किए गए परिवर्तनों के अनुरूप होंगे। एक संपादन सत्र को संपादन की अवधि के रूप में परिभाषित किया गया है जो कि किसी भी दो बाद की बचत क्रियाओं के बीच होता है। “

चलो “* _IFG_536R.docx” से rsid तत्व मानों के साथ शुरू करें:

और “* _PMS.docx” से rsid तत्व मानों के साथ तुलना करें:

Rsid तत्व दोनों दस्तावेज़ों के पहले चार संपादन सत्रों के लिए समान हैं। यह इंगित करता है कि ये दस्तावेज़, हालांकि वे अब अलग हैं, एक ही दस्तावेज़ से उत्पन्न हुए हैं।

अधिक मूल्यों और मेटाडेटा में खुदाई (हम जानते हैं कि उन्हें हेरफेर किया जा सकता है), हमने क्रोनोलॉजिकल ऑर्डर में निम्नलिखित अवलोकन बनाया है: निर्माण तिथि के आधार पर:

जब हम DocID “932E534d (..) पर ज़ूम इन करते हैं, तो हम XML कोड में एक टेम्प्लेट फ़ाइल का मूल्य पढ़ते हैं:“ सिंगल स्पेसेड (रिक्त) .dotx ”- यह टेम्प्लेट नाम कई“ ऑथर ”नामों से उपयोग किया जाता है। संशोधन संख्या दस्तावेज़ में संभावित परिवर्तनों को इंगित करती है।

नोट: “नो डॉकिड” वाली तालिका में दस्तावेज़ मैक्रोज़ / पेलोड वाली “डॉट” फाइलें थीं।

सभी फाइलें वर्ड 2016 के साथ बनाई गई थीं और इसमें अंग्रेजी और कोरियाई दोनों भाषाओं को स्थापित किया गया था। मेटाडेटा में यह विश्लेषण बताता है कि एक सामान्य विश्वास है कि दुर्भावनापूर्ण दस्तावेज़ एक सामान्य रूट दस्तावेज़ से बनाए गए थे।

दस्तावेज़ टेम्पलेट

हमारी जाँच के दौरान गैर-दुर्भावनापूर्ण खोजे गए कई दस्तावेजों को चिह्नित किया गया था। पहली नज़र में वे महत्वपूर्ण या संबंधित नहीं लग रहे थे, लेकिन गहरी जांच से पता चला कि वे कैसे जुड़े थे। इन दस्तावेजों ने अंतिम दुर्भावनापूर्ण दस्तावेजों के निर्माण में भूमिका निभाई जो अंततः पीड़ितों को भेजे गए। मेटाडेटा जानकारी के आधार पर इन दस्तावेजों के आगे के विश्लेषण ने संकेत दिया कि उनके पास प्रतिकूल द्वारा बनाए गए प्राथमिक दस्तावेजों में संबंध थे।

दो प्रिंट फ़ाइलें (*** _ SPE_LEOS और *** _ HPC_SE) एयरोस्पेस और रक्षा उद्योग थीम्ड छवियों के साथ, Microsoft प्रिंट से पीडीएफ सेवा के माध्यम से बनाई गई, *** _ ECS_EPM.docx के साथ प्रस्तुत की गईं। इन पीडीएफ फाइलों का नामकरण सम्मेलन इस्तेमाल किए गए दुर्भावनापूर्ण दस्तावेजों के समान था। नाम में दुर्भावनापूर्ण दस्तावेजों की तरह रक्षा ठेकेदार के पदों के लिए संक्षिप्त विवरण शामिल हैं। Microsoft प्रिंट टू पीडीएफ सेवा एक Microsoft Word दस्तावेज़ की सामग्री को सीधे पीडीएफ में प्रिंट करने में सक्षम बनाती है। इस स्थिति में ये दो पीडीएफ फाइलें लेखक के मूल ‘डॉक्युमेंट’ के साथ एक मूल Microsoft वर्ड डॉक्यूमेंट से जेनरेट की गईं। लेखक ‘होम’ एयरोस्पेस, डिफेंस और एंटरटेनमेंट इंडस्ट्री से संबंधित नौकरी के विवरणों वाले कई दुर्भावनापूर्ण दस्तावेजों में दिखाई दिया। PDFs को एक आर्काइव फ़ाइल में खोजा गया था जो दर्शाता है कि लिंक्डइन संभावित पीड़ितों को लक्षित करने के लिए संभावित वेक्टर का उपयोग कर सकता है। यह एक समान वेक्टर है जिसे उद्योग द्वारा रिपोर्ट किए गए अभियान में देखा गया है[7]हालांकि, जैसा कि पहले उल्लेख किया गया है कि इस ब्लॉग में शामिल अनुसंधान एक अलग गतिविधि सेट का हिस्सा है।

पीडीएफ फाइल से मेटाडेटा संदर्भ के साथ संग्रह में *** _ ECS_EPM.docx के साथ प्रस्तुत किया गया है

विजुअल बेसिक मैक्रो कोड

रिमोट टेम्पलेट फ़ाइलों में खुदाई मैक्रो कोड की संरचना के विषय में कुछ अतिरिक्त अंतर्दृष्टि का पता चलता है। दूसरे चरण के दूरस्थ दस्तावेज़ टेम्प्लेट फ़ाइलों में विज़ुअल बेसिक मैक्रो कोड होता है जिसे डबल बेस 64 एनकोडेड डीएलएल इम्प्लांट निकालने के लिए डिज़ाइन किया जाता है। सामग्री सभी DOTM फ़ाइल में UserForm1 में एन्कोडेड है जो मैक्रो कोड द्वारा निकाली गई है।

एम्बेडेड DLL निकालने के लिए मैक्रो कोड (17.dotm)

इसके अलावा, कोड पीड़ित को प्रदर्शित करने के लिए एम्बेडेड डिकॉय दस्तावेज़ (नौकरी विवरण युक्त एक साफ दस्तावेज़) भी निकालेगा।

कोड (17.dotm) साफ डिकॉय दस्तावेज़ निकालने के लिए

मैक्रो कोड (****** _ dds_log.jpg) ऑटो निष्पादन पर निष्पादित

चरण दो: दुर्भावनापूर्ण DLL को छोड़ना

विपक्षी ने दुर्भावनापूर्ण DLL फ़ाइलों का उपयोग किया, लक्ष्य पर जासूसी करने के लिए चरण 2 दुर्भावनापूर्ण दस्तावेज़ों के माध्यम से वितरित किए गए। प्रारंभिक खुफिया जानकारी एकत्र करने के लिए पीड़ित के मशीन पर DLL प्रत्यारोपण को छोड़ने के लिए उन दुर्भावनापूर्ण दस्तावेज़ों को डिज़ाइन किया गया था। इस अभियान में विरोधी अपने लक्ष्यों से बुनियादी जानकारी इकट्ठा करने के लिए पैक्ड SQL लाइट DLL का उपयोग कर रहा था। इन DLL को कुछ परिस्थितियों में लागू किए जाने पर पीड़ित की मशीन पर निष्पादित होने वाले दुर्भावनापूर्ण कोड को शामिल करने के लिए संशोधित किया गया था। इन DLL का उद्देश्य संक्रमित पीड़ितों से मशीन की जानकारी एकत्र करना है, जिसका उपयोग अधिक दिलचस्प लक्ष्यों की पहचान करने के लिए किया जा सकता है।

लक्षित पीड़ितों को भेजे गए पहले चरण के दस्तावेज़ में एक अंतर्निहित लिंक था जो दूरस्थ दस्तावेज़ टेम्पलेट डाउनलोड करता था।

वर्ड / _rels / settings.xml.rels के भीतर एंबेडेड लिंक

डेटा एकत्र करने और इकट्ठा करने के लिए पीड़ित की मशीन पर पैच किए गए DLL को लोड करने के लिए DOTM (Office टेम्पलेट फ़िलाटाइप) फाइलें जिम्मेदार हैं। ये DOTM फाइलें DLL फाइल के साथ बनाई गई हैं जो सीधे फाइल के स्ट्रक्चर में एनकोडेड हैं। ये DOTM फाइलें दूरवर्ती सर्वरों पर मौजूद होती हैं जो प्रतिकूल परिस्थितियों से समझौता करती हैं; पहले चरण के दस्तावेज़ में एक एम्बेडेड लिंक है जो इस फ़ाइल के स्थान को संदर्भित करता है। जब पीड़ित दस्तावेज़ खोलता है, तो दूरस्थ DOTM फ़ाइल जिसमें दुर्भावनापूर्ण DLL लोड करने के लिए Visual Basic मैक्रो कोड होता है, लोड किया जाता है। हमारे विश्लेषण के आधार पर, इन DLL को पहली बार 20 अप्रैल 2020 को देखा गया और, आयु और व्यापकता के आंकड़ों के आधार पर हमारे ज्ञान के अनुसार, इन प्रत्यारोपणों को इस हमले के लिए अनुकूलित किया गया है।

हमले के वर्कफ़्लो को निम्नलिखित छवि द्वारा दर्शाया जा सकता है:

दुर्भावनापूर्ण डीएलएल की पहचान करने के लिए जो अंतिम प्रत्यारोपण को लोड या डाउनलोड करेगा, हमने त्रैमासिक चरण में पाई गई कार्यालय फाइलों से निकाला है, निम्नलिखित डीएलएल फाइलें:

SHA256 मूल फ़ाइल नाम संकलन दिनांक
bff4d04caeaf8472283906765df34421d657bd631f5562c902e82a3a0177d114

wsuser.db 2020/04/24
b76b6bbda8703fa801898f843692ec1968e4b0c90dfae9764404c1a54abf650b

अनजान 2020/04/24
37a3c01bb5eaf7ecbcfbfde1aab848956d782bb84445384c961edebe8d0e9969

onenote.db 2020/04/01
48b8486979973656a15ca902b7bb973ee5cde9a59e2f3da53c86102d48d7dad8 onenote.db 2020/04/01
bff4d04caeaf8472283906765df34421d657bd631f5562c902e82a3a0177d114

wsuser.db 2020/04/24

ये डीएलएल फाइलें गुडवेयर लाइब्रेरीज़ से वर्चस्वित वर्जन की तरह होती हैं, जो हमारे विश्लेषण में पाई जाने वाली SQLITE लाइब्रेरी की तरह हैं, और DOTM फ़ाइलों के भीतर निहित एक VBScript के माध्यम से भरी हुई हैं, जो इस विश्लेषण में वर्णित डबल बेस 64 एनकोडेड डीएलएल को लोड करती हैं। DLL UserForm1 (Microsoft Word मैक्रो के भीतर समाहित) में एन्कोडेड है और प्राथमिक मैक्रो कोड DLL इम्प्लांट को निकालने और डीकोड करने के लिए जिम्मेदार है।

DOTM दस्तावेज़ संरचना

Implant DLL UserForm1 में एन्कोड किया गया

हमारे विश्लेषण से, हम यह सत्यापित कर सकते हैं कि तीसरे चरण में उपयोग किए जाने वाले DLL एक दुर्भावनापूर्ण प्रत्यारोपण के साथ वैध सॉफ़्टवेयर थे जो हर बार एक विशिष्ट फ़ंक्शन को मापदंडों के एक सेट के साथ कॉल करने में सक्षम होंगे।

नमूने का सांख्यिकीय रूप से विश्लेषण करते हुए, इम्प्लांट को स्टोर करने के लिए उपयोग किए जाने वाले वैध सॉफ़्टवेयर को निकालना संभव था, उदाहरण के लिए, डीओटीएम फ़ाइलों में से डीएलएल फ़ाइलों में से एक डीएक्टेड SQLITE लाइब्रेरी थी। यदि हम निकाले गए डीएलएल के भीतर मूल पुस्तकालय की तुलना करते हैं, तो हम दो नमूनों में बहुत सी समानताएँ प्राप्त कर सकते हैं:

बाईं ओर वैध पुस्तकालय, दाईं ओर दुर्भावनापूर्ण पुस्तकालय

जैसा कि उल्लेख किया गया है, पैच DLL और मूल SQLITE लाइब्रेरी बहुत सारे कोड साझा करते हैं:

दोनों DLL आंतरिक रूप से बहुत सारे कोड साझा करते हैं

पहले DLL चरण को सिस्टम में सक्षम और लॉन्च करने के लिए कुछ मापदंडों की आवश्यकता होती है। हमारे द्वारा विश्लेषण की गई कार्यालय फ़ाइलों का मैक्रो कोड, इन मापदंडों का हिस्सा है:

दस्तावेज़ के पीसीकोड में मिली जानकारी

VBA मैक्रो में पाए गए डेटा में निम्नलिखित विवरण थे:

  • 32-बिट कुंजियाँ जो एक Windows SID की नकल करती हैं
    • पहला पैरामीटर दुर्भावनापूर्ण गतिविधि को शुरू करने के लिए उपयोग की जाने वाली डिक्रिप्शन कुंजी के अंतर्गत आता है।
    • यह लेखक द्वारा मूल्य को अधिक यथार्थवादी बनाने के लिए चुना जा सकता है
  • अभियान आईडी

DLL वर्कफ़्लो

Analysis डोकम ’फाइलों (संक्रमण के दूसरे चरण) से निकाले गए DLL के विश्लेषण से इन DLL के लिए दो प्रकार के ऑपरेशन के अस्तित्व का पता चला:

DLL प्रत्यक्ष निष्पादन:

  • DLL सिस्टम में एक नया पेलोड अनपैक करता है।

ड्राइव-बाय DLL:

  • DLL सिस्टम में अतिरिक्त DLL पेलोड वितरित करने वाले दूरस्थ सर्वर से एक नया DLL इम्प्लांट डाउनलोड करता है।

दोनों विधियों के लिए, प्रत्यारोपण लक्ष्य जानकारी को एकत्र करना शुरू करता है और फिर कमांड और कंट्रोल (C2) सर्वर से संपर्क करता है

हमने अपने विश्लेषण को DLLs फ़ाइलों में केंद्रित किया है जो सिस्टम में अनपैक्ड हैं।

प्रत्यारोपण विश्लेषण

उपयोगकर्ता द्वारा Office फ़ाइल खोलने के बाद DLL प्रत्यारोपण निष्पादित किया जाएगा। जैसा कि हमने समझाया, वीबीए मैक्रो के पी-कोड में सिस्टम में इम्प्लांट को निष्पादित करने के लिए आवश्यक पैरामीटर के कुछ भाग होते हैं।

नई DLL इम्प्लांट फ़ाइल को सत्यापन में उपयोगकर्ता के AppData फ़ोल्डर के अंदर एक फ़ोल्डर के अंदर (अभियान आईडी के आधार पर) अनपैक किया जाएगा:

C: Users उपयोगकर्ता AppData Local Microsoft सूचना wsdts.db

अगर हम C2 डोमेन के भीतर दुर्भावनापूर्ण कनेक्शन का निरीक्षण करना चाहते हैं, तो DLL फ़ाइल को 5 विभिन्न मापदंडों के साथ लॉन्च किया जाना चाहिए; हमारे विश्लेषण में हमने देखा कि कैसे DLL को निम्न कमांड लाइन के साथ लॉन्च किया गया था:

C: Windows System32 rundll32.exe “C: Users user AppData Local Microsoft सूचना wsdts.db”, sqlite3_steps S-6-81-3811-75475205-060098-6872 0 0 61 1 1

दुर्भावनापूर्ण प्रत्यारोपण को लॉन्च करने के लिए आवश्यक पैरामीटर हैं:

पैरामीटर संख्या विवरण
1 डिक्रिप्शन कुंजी
2 अप्रयुक्त मूल्य, DLL में हार्डकोड किया गया
3 अप्रयुक्त मूल्य, DLL में हार्डकोड किया गया
4 अभियान पहचानकर्ता
5 अप्रयुक्त मूल्य, DLL में हार्डकोड किया गया

जैसा कि हमने समझाया, प्रत्यारोपण SQLITE फाइलें हैं और इसीलिए हम अतिरिक्त कार्यों को पा सकते हैं जो दुर्भावनापूर्ण प्रत्यारोपण को लॉन्च करने के लिए उपयोग किए जाते हैं, कुछ मापदंडों के साथ बाइनरी को निष्पादित करते हैं। एक विशिष्ट निर्यात l sqlite3_steps ’के साथ पहले उल्लिखित मापदंडों का उपयोग करना आवश्यक है।

कोड का सांख्यिकीय रूप से विश्लेषण करते हुए हम देख सकते हैं कि पेलोड इन 5 मापदंडों में से केवल 2 की जांच करता है, लेकिन इन सभी को प्रत्यारोपण को अंजाम देने के लिए मौजूद होना चाहिए:

स्क्वैलाइट दुर्भावनापूर्ण कार्य

तीन चरण: नेटवर्क चोरी तकनीक

हमलावर हमेशा अपने घुसपैठ में बने रहने की कोशिश कर रहे हैं, यही वजह है कि रडार के नीचे बने रहने के लिए सिस्टम में मौजूद एक ही उपयोगकर्ता-एजेंट की नकल करने जैसी तकनीकों का निरीक्षण करना आम है। उदाहरण के लिए, पीड़ित के वेब ब्राउज़र कॉन्फ़िगरेशन से समान उपयोगकर्ता-एजेंट स्ट्रिंग का उपयोग करना, नेटवर्क-आधारित पहचान प्रणालियों को निवर्तमान यातायात को संदिग्ध बनाने से रोकने में मदद करेगा। इस मामले में, हमने देखा कि कैसे, Windows API ObtainUserAgentString के उपयोग के माध्यम से, हमलावर ने उपयोगकर्ता-एजेंट प्राप्त किया और कमांड और कंट्रोल सर्वर से कनेक्ट होने के लिए मूल्य का उपयोग किया:

यदि इम्प्लांट सिस्टम में उपयोगकर्ता-एजेंट का पता नहीं लगा सकता है, तो वह इसके बजाय डिफ़ॉल्ट मोज़िला यूज़र-एजेंट का उपयोग करेगा:

नमूना को गतिशील रूप से चलाना और टीएलएस ट्रैफ़िक को रोकना, हम कमांड और कंट्रोल सर्वर से कनेक्शन देख सकते हैं:

दुर्भाग्य से, हमारे विश्लेषण के दौरान, C2 सक्रिय नहीं था, जिसने आगे के विश्लेषण के लिए हमारी क्षमता को सीमित कर दिया।

C2 चैनल को भेजे गए डेटा में निम्नलिखित जानकारी है:

पैरामीटर विवरण
सी 2 C2 उस अभियान के लिए कॉन्फ़िगर किया गया है
नेड अभियान पहचानकर्ता
कुंजी 1 एईएस कुंजी का उपयोग सी 2 के साथ संचार करने के लिए किया जाता है
कुंजी 2 एईएस कुंजी का उपयोग सी 2 के साथ संचार करने के लिए किया गया
नमूना पहचानकर्ता नमूना पहचानकर्ता C2 सर्वर को भेजा गया
जीएल आकार मान C2 सर्वर को भेजा गया
hl अज्ञात पैरामीटर हमेशा 0 पर सेट होता है

हम अपने विश्लेषण में कम से कम 5 अलग-अलग अभियान आईडी प्राप्त कर सकते हैं, जो बताता है कि इस दस्तावेज़ में विश्लेषण केवल हिमशैल का टिप है:

डॉटेक्स फ़ाइल अभियान आईडी
61.dotm 0
17.dotm 17
43.dotm 43
83878C91171338902E0FE0FB97A8C47A.dotm 204
****** _ dds_log 100

चरण चार: दृढ़ता

हमारे विश्लेषण में हम यह देख सकते हैं कि कैसे एक एलएनके फ़ाइल को स्टार्टअप फ़ोल्डर में वितरित करके विपक्षी दृढ़ता को सुनिश्चित करता है

इस लगातार LNK फ़ाइल का मूल्य हर नमूने के अंदर हार्डकोड किया गया है:

गतिशील रूप से, और Windows APIs NtCreateFile और NtWriteFile के माध्यम से, LNK स्टार्टअप फ़ोल्डर में लिखा जाता है। LNK फ़ाइल में आवश्यक पैरामीटर के साथ DLL फ़ाइल को निष्पादित करने का पथ है।

अतिरिक्त मुद्राएं: 2020 राजनयिक और राजनीतिक अभियान का संबंध

2020 की अभियान गतिविधि में आगे की जांच में अतिरिक्त लिंक से पता चला है कि प्रतिकूल स्थिति घरेलू दक्षिण कोरियाई राजनीति को लालच के रूप में इस्तेमाल कर रही थी। विरोधी ने कोरियाई भाषा में उन्हीं तकनीकों का उपयोग करते हुए कई दस्तावेज बनाए, जो रक्षा उद्योग के क्षेत्र में देखे गए थे। शीर्षक के साथ एक उल्लेखनीय दस्तावेज यूएस-आरओके संबंध और राजनयिक सुरक्षा कोरियाई और अंग्रेजी दोनों में, 6 अप्रैल 2020 को दस्तावेज़ लेखक JangSY के साथ दिखाई दिया।

यूएस-आरओके रिलेशन और डिप्लोमैटिक सिक्योरिटी

दस्तावेज़ को फ़ाइल साझाकरण साइट पर होस्ट किया गया था hxxps: //web.opendrive.com/api/v1/download/file.json/MzBfMjA1Njc0ODhf इनलाइन = 0 और इसमें एक अंतर्निहित लिंक है जो एक दूरस्थ डीओटीएम फाइल का जिक्र करता है जो अन्य फाइल शेयरिंग साइट (od.lk) पर होस्ट की गई है। BASE64 कोडित मान MzBfMjA1Njc0ODhf फ़ाइल साझाकरण मंच od.lk के साथ जुड़े उपयोगकर्ता के लिए एक विशिष्ट पहचानकर्ता है।

शीर्षक के साथ एक संबंधित दस्तावेज की खोज की test.docx संकेत दिया कि प्रतिकूल ने अप्रैल 2020 की शुरुआत में इन दस्तावेजों का परीक्षण शुरू किया। इस दस्तावेज़ में उपरोक्त सामग्री शामिल थी लेकिन इसे निजी आईपी पते पर होस्ट करके दूरस्थ टेम्पलेट फ़ाइल के डाउनलोड का परीक्षण करने के लिए डिज़ाइन किया गया था। दस्तावेज़ जो अपने दूरस्थ टेम्पलेट के लिए pubmaterial.dotm का उपयोग करता है, उसने URL hxxp: //saemaeul.mireene.com/skin/visit/basic/ से भी अनुरोध किया।

यह डोमेन (saemaeul.mireene.com) कई अन्य कोरियाई भाषा के दुर्भावनापूर्ण दस्तावेज़ों से जुड़ा है जो 2020 में राजनीतिक या राजनयिक संबंधों से संबंधित दस्तावेज़ों में भी दिखाई दिए। ऐसा ही एक दस्तावेज (81249fe1b8869241374966335fd912c3e0e64827) 21 का उपयोग कर रहा थासेंट शीर्षक के हिस्से के रूप में नेशनल असेंबली इलेक्शन, संभावित रूप से दक्षिण कोरिया में राजनीति में रुचि रखने वालों का संकेत था। उदाहरण के लिए, एक और दस्तावेज़ (16d421807502a0b2429160e0bd960fa57f37efc4) ने एक व्यक्ति, निर्देशक Jae-chun ली के नाम का उपयोग किया। इसने उसी मेटाडेटा को भी साझा किया।

इन दस्तावेजों के मूल लेखक एम्बेडेड मेटाडेटा जानकारी के अनुसार सेओंग जिन ली के रूप में सूचीबद्ध थे। हालांकि, दस्तावेज़ टेम्पलेट निर्माण के दौरान प्रतिकूल द्वारा उपयोग किए गए अंतिम संशोधन लेखक (रोबोट कार्ल) दुर्भावनापूर्ण दस्तावेजों के इस सेट के लिए अद्वितीय है। इसके अलावा, इन दस्तावेजों में दक्षिण कोरियाई घरेलू नीति से संबंधित राजनीतिक आकर्षण हैं जो बताता है कि इन दस्तावेजों के लक्ष्यों ने भी कोरियाई बात की थी।

2019 के लिए फर्जी नौकरी भर्ती अभियान से संबंध

2019 से भारत के एयरोस्पेस उद्योग का उपयोग करने वाले एक अल्पकालिक अभियान का उपयोग एक लालच के रूप में किया गया था जो 2020 में रक्षा उद्योग का उपयोग करते हुए इस नवीनतम अभियान के समान तरीके प्रतीत होते हैं। 2020 के अभियान से कुछ टीटीपी 2019 के अंत में हुए ऑपरेशन से मेल खाते हैं। 2019 की गतिविधि को उद्योग रिपोर्टिंग द्वारा हिडन कोबरा के लिए भी जिम्मेदार ठहराया गया है।

अक्टूबर २०१ ९ के अभियान ने भी एयरोस्पेस और रक्षा को एक लालच के रूप में इस्तेमाल किया, जैसे कि हमने २०२० के अभियान के साथ देखा, वैसे ही वैध नौकरियों की प्रतियों का उपयोग किया। हालाँकि, इस अभियान को भारतीय रक्षा क्षेत्र में अलग-थलग कर दिया गया था और हमारे ज्ञान से इसका विस्तार नहीं हुआ। इस दस्तावेज़ में भारत की एक प्रमुख एयरोनॉटिक्स कंपनी के लिए एक नौकरी पोस्टिंग भी शामिल थी; यह कंपनी एयरोस्पेस और रक्षा प्रणालियों पर केंद्रित है। यह लक्ष्यीकरण 2020 ऑपरेशन के साथ संरेखित करता है और हमारे विश्लेषण से पता चलता है कि इस अभियान में उपयोग किए जाने वाले DLL को SQL लाइट DLL भी संशोधित किया गया था।

हमारे विश्लेषण के आधार पर, इम्प्लांट के कई वेरिएंट अक्टूबर 2019 के टाइमफ्रेम में बनाए गए थे, जो अतिरिक्त दुर्भावनापूर्ण दस्तावेजों की संभावना को दर्शाता है।

SHA1 संकलन दिनांक फ़ाइल का नाम
f3847f5de342632f8f9e2901f16b7127472493ae 2019/10/12 MFC_dll.DLL
659c854bbdefe692ee8c52761e7a8c7ee35aa56c 2019/10/12 MFC_dll.DLL
35577959f79966b01f520e2f0283969155b8f8d7 2019/10/12 MFC_dll.DLL
975ae81997e6cd8c8a3901308d33c868f23e638f 2019/10/12 MFC_dll.DLL

2019 अभियान के साथ एक उल्लेखनीय अंतर यह है कि मुख्य दुर्भावनापूर्ण दस्तावेज़ में 2020 के अभियान के विपरीत इम्प्लांट पेलोड था, जो माइक्रोसॉफ्ट ऑफिस रिमोट टेम्पलेट इंजेक्शन तकनीक पर निर्भर था। भले ही तकनीक अलग है, हमने दूरस्थ टेम्प्लेट दस्तावेज़ को विघटित करने के लिए समानताएँ देखीं। दस्तावेज़ों में एम्बेडेड VBA कोड के भीतर कुछ प्रमुख समानताएँ हैं। नीचे हम दो आवश्यक कार्यों की 2019 (बाएं) और 2020 (दाएं) की साइड-बाय-साइड तुलना देखते हैं, जो कि वीबीए कोड के भीतर एक दूसरे से मेल खाते हैं, जो पेलोड को अर्क / ड्रॉप / निष्पादित करता है।

का VBA कोड 13c47e19182454efa60890656244ee11c76b4904 (बाएं) और acefc63a2ddbf24157fc102c6a11d6f27cc777d (दाएं)

VBA मैक्रो ने filepath पर थंबनेल.db का पहला पेलोड गिराया, जो 2020 में उपयोग किए जाने वाले फाइलपाथ से मिलता जुलता है।

VB कोड डीएलएल पेलोड, thumbnail.db पर डिक्रिप्शन कुंजी भी पास करता है। नीचे आप उन मानकों को स्वीकार करने वाले थंबनेल.db के भीतर कोड देख सकते हैं।

अनपैक्ड थंबनेल .b bff1d06b9ef381166de55959d73ff93b

क्या दिलचस्प है यह संरचना जिसमें यह जानकारी पार की जा रही है। यह 2019 का नमूना 2020 के अभियान में हमारे द्वारा प्रलेखित के समान है।

एक अन्य समानता की खोज 2019 और 2020 दोनों नमूनों के लिए एक ही स्थान पर मौजूद। Dll प्रत्यारोपण की स्थिति थी; “UserForms1” के अंतर्गत “ओ” फ़ील्ड।

13c47e19182454efa60890656244ee11c76b4904 का “o” फ़ील्ड

सभी 2020 .dotm IoCs में “UserForms1” के अंतर्गत “o” फ़ील्ड के भीतर एक ही .dll इम्प्लांट होता है, हालाँकि, अलग-अलग स्क्रीनशॉट के साथ इस राइट-अप को न करने के लिए, केवल एक नमूना नीचे दर्शाया गया है। यहां आप 2019 और 2020 “ओ” दोनों वर्गों के बीच समानांतर देख सकते हैं।

Ancefc63a2ddbf24157fc102c6a11d6f277777dd का “o” फ़ील्ड

एक और समानता डबल बेस 64 की एन्कोडिंग है, हालांकि प्रतिस्पर्धा की परिकल्पना की भावना में, हम यह नोट करना चाहते थे कि अन्य विरोधी भी इस प्रकार के एन्कोडिंग का उपयोग कर सकते हैं। हालाँकि, जब आप एक भारतीय रक्षा ठेकेदार के समान लालच के साथ इन समानताओं को जोड़ते हैं, तो पेंडुलम दोनों अभियानों के बीच एक संभावित सामान्य लेखक के एक तरफ अधिक झुकना शुरू कर देता है। यह हमलावर वैक्टर में सलाहकारों के शस्त्रागार में एक और तकनीक को जोड़ने का संकेत दे सकता है।

अभियान को गतिशील रखने और पता लगाने में अधिक कठिन रखने के लिए एक विधि दूरस्थ रूप से इम्प्लांट कोड की मेजबानी कर रही है। एक पीड़ित को भेजे गए दस्तावेज़ के भीतर एक प्रत्यारोपण एम्बेड करने का एक नुकसान है; पीड़ित के इनबॉक्स तक पहुंचने से पहले ही इम्प्लांट कोड का पता लगाया जा सकता है। इसे दूरस्थ रूप से होस्ट करना इम्प्लांट को दुर्भावनापूर्ण रूप से वर्गीकृत किए जाने वाले दस्तावेज़ के जोखिम को चलाने के बिना आसानी से नई क्षमताओं के साथ स्विच करने में सक्षम बनाता है।

** – डबल बेस 64 के साथ HAL-MANAGER.doc UserForm1 ने DLL को इनकोड किया

17.DOTM UserForm1 डबल बेस 64 के साथ ****** _ DSS_SE.docx से DLL को इनकोड करता है

एक कोड समानता विश्लेषण के अनुसार, ** – HAL-Manager.doc में एम्बेडेड इम्प्लांट में 2020 के अभियान के प्रत्यारोपण से कुछ समानताएं हैं। हालांकि, हम मानते हैं कि 2019 अभियान में उपयोग किए गए प्रत्यारोपण ** – Hal-Manager.doc के साथ एक और घटक हो सकता है। सबसे पहले, Visual Basic मैक्रो कोड में स्पष्ट समानताएं और एन्कोडिंग के लिए विधि (डबल बेस 64) कुछ कार्यात्मक स्तर समानताएं हैं। DLL फ़ाइल एक तरह से समान मापदंडों के साथ चलाई जाती है।

DLL निष्पादन कोड ** – Hal-Manager.doc प्रत्यारोपण

DLL निष्पादन कोड 2020 प्रत्यारोपण

अभियान प्रसंग: विजय विज्ञान

उजागर किए गए फ़िशिंग ईमेल की कमी के कारण पीड़ित का पता नहीं चल पाता है; हालाँकि, हम टेलीमेट्री की जानकारी और दस्तावेज़ के संदर्भ को लुभाने के विश्लेषण से कुछ जानकारी प्राप्त कर सकते हैं। लालच दस्तावेजों में सक्रिय रक्षा अनुबंधों के संबंध में इंजीनियरिंग और परियोजना प्रबंधन पदों के लिए नौकरी का विवरण था। एक लक्षित भाला फ़िशिंग अभियान में इन दस्तावेज़ों को प्राप्त करने वाले व्यक्तियों को इन लालच दस्तावेजों के भीतर सामग्री में रुचि होने की संभावना थी, जैसा कि हमने पिछले अभियानों में देखा है, साथ ही साथ रक्षा उद्योग के लिए कुछ ज्ञान या संबंध भी हैं।

इन्फ्रास्ट्रक्चर इनसाइट्स

2019 और 2020 के अभियानों के हमारे विश्लेषण से इटली और संयुक्त राज्य अमेरिका में होस्ट किए गए डोमेन सहित, उनके पीछे कमान और नियंत्रण बुनियादी ढांचे में कुछ दिलचस्प अंतर्दृष्टि का पता चलता है। अपनी जांच के दौरान हमने कमांड और कंट्रोल कोड को होस्ट करने के लिए वैध डोमेन का उपयोग करने का एक पैटर्न देखा। यह विरोधी के लिए फायदेमंद है क्योंकि अधिकांश संगठन विश्वसनीय वेबसाइटों को ब्लॉक नहीं करते हैं, जो सुरक्षा नियंत्रण के संभावित बायपास के लिए अनुमति देता है। विरोधी ने वास्तविक अभियान शुरू करने से पहले डोमेन से समझौता करने का प्रयास किया। इसके अलावा, 2019 और 2020 के दोनों नौकरी भर्ती अभियानों ने एक ही कमांड और कंट्रोल सर्वर को Elite4print.com पर होस्ट किया।

डोमेन mireene.com अपने विभिन्न उप-डोमेन के साथ 2020 में हिडन कोबरा द्वारा उपयोग किया गया है। 2020 में डोमेन mireene.com के अंतर्गत आने वाले विभिन्न कार्यों में उपयोग किए जाने वाले डोमेन की पहचान की जाती है:

  • saemaeul.mireene.com
  • orblog.mireene.com
  • sgmedia.mireene.com
  • vnext.mireene.com
  • nhpurumy.mireene.com
  • jmable.mireene.com
  • jmdesign.mireene.com
  • all200.mireene.com

इनमें से कुछ अभियान 2020 के रक्षा उद्योग अभियान के समान तरीकों का उपयोग करते हैं:

  • शीर्षक के साथ दुर्भावनापूर्ण दस्तावेज़ यूरोपीय बाहरी कार्रवाई सेवा [8]
  • कोरियाई भाषा शीर्षक के साथ दस्तावेज़ 비건 미 국무부 부장관 서신दस्तावेज़ (अमेरिकी राज्य सचिव के पत्राचार विभाग 20200302.doc)।

तकनीक, रणनीति और प्रक्रियाएं (TTPS)

इस अभियान के TTP को पिछले डिफेंस कोबरा ऑपरेशन के साथ संरेखित किया गया है, जो 2017 में उसी डिफेंस कॉन्ट्रैक्टर्स का इस्तेमाल करते हैं। 2017 के अभियान में कुछ खास तकनीकों से संबंधित जॉब पोस्टिंग वाले दुर्भावनापूर्ण Microsoft Word दस्तावेज़ों का भी उपयोग किया गया, जैसे कि इंजीनियरिंग और प्रोजेक्ट प्रबंधन पदों के लिए नौकरी का विवरण जिसमें एयरोस्पेस और सैन्य निगरानी कार्यक्रम शामिल हैं। ये नौकरी विवरण वैध हैं और सीधे रक्षा ठेकेदार की वेबसाइट से लिए गए हैं। इस अभियान में उपयोग की जाने वाली शोषण विधि एक दूरस्थ कार्यालय टेम्पलेट इंजेक्शन विधि पर निर्भर करती है, एक तकनीक जिसे हमने हाल ही में राज्य के अभिनेताओं को उपयोग करते देखा है।

However, it is not uncommon to use tools such as EvilClippy to manipulate the behavior of Microsoft Office documents. For example, threat actors can use pre-built kits to manipulate clean documents and embed malicious elements; this saves time and effort. This method will generate a consistent format that can be used throughout campaigns. As a result, we have observed a consistency with how some of the malicious elements are embedded into the documents (i.e. double base64 encoded payload). Further mapping these techniques across the MITRE ATT&CK framework enables us to visualize different techniques the adversary used to exploit their victims.

MITRE ATT&CK mapping for malicious documents

These Microsoft Office templates are hosted on a command and control server and the downloaded link is embedded in the first stage malicious document.

The job postings from these lure documents are positions for work with specific US defense programs and groups:

  • F-22 Fighter Jet Program
  • Defense, Space and Security (DSS)
  • Photovoltaics for space solar cells
  • Aeronautics Integrated Fighter Group
  • Military aircraft modernization programs

Like previous operations, the adversary is using these lures to target individuals, likely posing as a recruiter or someone involved in recruitment. Some of the job postings we have observed:

  • Senior Design Engineer
  • System Engineer

Professional networks such as LinkedIn could be a place used to deliver these types of job descriptions.

Defensive Architecture Recommendations

Defeating the tactics, techniques and procedures utilized in this campaign requires a defense in depth security architecture that can prevent or detect the attack in the early stages. The key controls in this case would include the following:

  1. Threat Intelligence Research and Response Program। Its critical to keep up with the latest Adversary Campaigns targeting your specific vertical. A robust threat response process can then ensure that controls are adaptable to the TTPs and, in this case, create heightened awareness
  2. Security Awareness and Readiness Program. The attackers leveraged spear-phishing with well-crafted lures that would be very difficult to detect initially by protective technology. Well-trained and ready users, informed with the latest threat intelligence on adversary activity, are the first line of defense.
  3. End User Device Security. Adaptable endpoint security is critical to stopping this type of attack early, especially for users working from home and not behind the enterprise web proxy or other layered defensive capability. Stopping or detecting the first two stages of infection requires an endpoint security capability of identifying file-less malware, particularly malicious Office documents and persistence techniques that leverage start-up folder modification.
  4. Web Proxy. A secure web gateway is an essential part of enterprise security architecture and, in this scenario, can restrict access to malicious web sites and block access to the command and control sites.
  5. Sec Ops – Endpoint Detection and Response (EDR) can be used to detect techniques most likely in stages 1, 2 or 4. Additionally, EDR can be used to search for the initial documents and other indicators provided through threat analysis.

For further information on how McAfee Endpoint Protection and EDR can prevent or detect some of the techniques used in this campaign, especially use of malicious Office documents, please refer to these previous blogs and webinar:

https://www.mcafee.com/blogs/other-blogs/mcafee-labs/ens-10-7-rolls-back-the-curtain-on-ransomware/
https://www.mcafee.com/blogs/other-blogs/mcafee-labs/how-to-use-mcafee-atp-to-protect-against-emotet-lemonduck-and-powerminer/
https://www.mcafee.com/enterprise/en-us/forms/gated-form.html?docID=video-6157567326001

समझौता के संकेतक

SHA256 File Name
322aa22163954ff3ff017014e357b756942a2a762f1c55455c83fd594e844fdd ******_DSS_SE.docx

a3eca35d14b0e020444186a5faaba5997994a47af08580521f808b1bb83d6063 ******_PMS.docx

d1e2a9367338d185ef477acc4d91ad45f5e6a7d11936c3eb4be463ae0b119185 ***_JD_2020.docx
ecbe46ca324096fd5e35729f39fa3bda9226bbefd6286d53e61b1be56a36de5b ***_2020_JD_SDE.docx
40fbac7a241bea412734134394ca81c0090698cf0689f2b67c54aa66b7e04670 83878C91171338902E0FE0FB97A8C47A.dotm
6a3446b8a47f0ab4f536015218b22653fff8b18c595fbc5b0c09d857eba7c7a1 ******_AERO_GS.docx
df5536c254a5d9ac626dbff7525de8301729807433d377db807ce3d8bc7c3ffe **_IFG_536R.docx
1b0c82e71a53300c969da61b085c8ce623202722cf3fa2d79160dac16642303f 43.dotm
d7ef8935437d61c975feb2bd826d018373df099047c33ad7305585774a272625 17.dotm
49724ee7a6baf421ac5a2a3c93d32e796e2a33d7d75bbfc02239fc9f4e3a41e0 Senior_Design_Engineer.docx

66e5371c3da7dc9a80fb4c0fabfa23a30d82650c434eec86a95b6e239eccab88 61.dotm
7933716892e0d6053057f5f2df0ccadf5b06dc739fea79ee533dd0cec98ca971 ******_spectrolab.docx
43b6b0af744124da5147aba81a98bc7188718d5d205acf929affab016407d592 ***_ECS_EPM.docx
70f66e3131cfbda4d2b82ce9325fed79e1b3c7186bdbb5478f8cbd49b965a120 ******_dds_log.jpg
adcdbec0b92da0a39377f5ab95ffe9b6da9682faaa210abcaaa5bd51c827a9e1 21 국회의원 선거 관련.docx
dbbdcc944c4bf4baea92d1c1108e055a7ba119e97ed97f7459278f1491721d02 외교문서 관련(이재춘국장).docx
URLs
hxxps://www.anca-aste.it/uploads/form/02E319AF73A33547343B71D5CB1064BC.dotm
hxxp://www.elite4print.com/admin/order/batchPdfs.asp
hxxps://www.sanlorenzoyacht.com/newsl/uploads/docs/43.dotm
hxxps://www.astedams.it/uploads/template/17.dotm
hxxps://www.sanlorenzoyacht.com/newsl/uploads/docs/1.dotm
hxxps://www.anca-aste.it/uploads/form/******_jd_t034519.jpg
hxxp://saemaeul.mireene.com/skin/board/basic/bin
hxxp://saemaeul.mireene.com/skin/visit/basic/log
hxxps://web.opendrive.com/api/v1/download/file.json/MzBfMjA1Njc0ODhf?inline=0
hxxps://od.lk/d/MzBfMjA1Njc0ODdf/pubmaterial.dotm
hxxps://www.ne-ba.org/files/gallery/images/83878C91171338902E0FE0FB97A8C47A.dotm

निष्कर्ष

In summary, ATR has been tracking a targeted campaign focusing on the aerospace and defense industries using false job descriptions. This campaign looks very similar, based on shared TTPs, with a campaign that occurred in 2017 that also targeted some of the same industry. This campaign began early April 2020 with the latest activity in mid-June. The campaign’s objective is to collect information from individuals connected to the industries in the job descriptions.

Additionally, our forensic research into the malicious documents show they were created by the same adversary, using Korean and English language systems. Further, discovery of legitimate template files used to build these documents also sheds light on some of the initial research put into the development of this campaign. While McAfee ATR has observed these techniques before, in previous campaigns in 2017 and 2019 using the same TTPs, we can conclude there has been an increase in activity in 2020.

McAfee detects these threats as

  • Trojan-FRVP!2373982CDABA
  • Generic Dropper.aou
  • Trojan-FSGY!3C6009D4D7B2
  • Trojan-FRVP!CEE70135CBB1
  • W97M/Downloader.cxu
  • Trojan-FRVP!63178C414AF9
  • Exploit-cve2017-0199.ch
  • Trojan-FRVP!AF83AD63D2E3
  • RDN/Generic Downloader.x
  • W97M/Downloader.bjp
  • W97M/MacroLess.y

NSP customers will have new signatures added to the “HTTP: Microsoft Office OLE Arbitrary Code Execution Vulnerability (CVE-2017-0199)” attack name. The updated attack is part of our latest NSP sigset release: sigset 10.8.11.9 released on 28वें July 2020.The KB details can be found here: KB55446

[1] https://www.bbc.co.uk/news/business-53026175

[2] https://www.welivesecurity.com/2020/06/17/operation-interception-aerospace-military-companies-cyberspies/

[3] https://www.justice.gov/opa/pr/north-korean-regime-backed-programmer-charged-conspiracy-conduct-multiple-cyber-attacks-and

[4] https://www.justice.gov/opa/pr/north-korean-regime-backed-programmer-charged-conspiracy-conduct-multiple-cyber-attacks-and

5 https://www.us-cert.gov/northkorea

[5] https://www.virustotal.com/gui/file/4a08c391f91cc72de7a78b5fd5e7f74adfecd77075e191685311fa598e07d806/detection – Gamaredon Group

[6] https://docs.microsoft.com/en-us/openspecs/office_standards/ms-docx/550efe71-4f40-4438-ac89-23ec1c1d2182

[7] https://www.welivesecurity.com/2020/06/17/operation-interception-aerospace-military-companies-cyberspies/

[8] https://otx.alienvault.com/pulse/5e8619b52e480b485e58259a