捕获!针对俄罗斯在线汽车交易平台的攻击诱饵,或与乌克兰IT网军有关( 三 )


打开命名管道
0x43
打开文件并附加数据
0x48
添加环境变量
0x49
复制文件
0x4A
重命名文件
0x4B
检查目标进程跟当前进程是否属于同一个会话
0x4D
调整进程Token权限
0x53|0x54
扩展环境变量
0x56|0xE
执行connect连接
0x5D
以特定用户创建进程
0x62
创建进程执行shellcode
0x64
分配内存并执行shellcode
0x66|0x52|0x4F
监听指定端口

朔源与关联
通过溯源与关联我们又发现了多个使用Shhhloader进行打包的恶意PE文件 。 由此可见该框架已经受到了攻击者的青睐 , 被广泛用于攻击活动当中 。
文件名
Hash
calc-shh.dll
0BE22BE8FBB286B6C21F88E18E1886E2
Adobede.dll
a.dll
a.dll
FF49D38D87642FB5B00ECD0D3BF094F0
这些dll文件与前面分析过的version.dll大体框架基本相同 , 但细节上由于配置参数的不同而有差异 。 如有的dll具有沙箱检测能力 , 有的利用msedge.exe进行shellcode注入等 。
捕获!针对俄罗斯在线汽车交易平台的攻击诱饵,或与乌克兰IT网军有关
文章图片
此外根据以往攻击活动我们发现本次捕获的样本与APT29组织存在一些相同的点 。 首先是使用ISO文件进行攻击是APT29组织惯用的手法 , 在今年披露的多起攻击事件中都存在对于ISO文件的使用 , 并且都使用lnk文件启动白文件加载恶意dll文件 。 因此在初始入侵手法上 , 本次捕获的攻击活动与APT29存在一定的相似性 。
捕获!针对俄罗斯在线汽车交易平台的攻击诱饵,或与乌克兰IT网军有关
文章图片
捕获!针对俄罗斯在线汽车交易平台的攻击诱饵,或与乌克兰IT网军有关
文章图片
当然仅凭这些相似点我们无法确认此次攻击来自于APT29 , 或者也有可能该攻击组织在有意模仿APT29的攻击手法 。 而通过更深入的追踪 , 我们发现乌克兰IT网军在2022年11月30日曾在媒体上发布过一条消息称俄罗斯多家网上银行存在访问问题 , 而其中包括Sber(俄罗斯联邦储蓄银行) , 而本次捕获活动的攻击对象SberAuto恰好是Sber银行旗下的汽车零售服务 。 二者被攻击时间十分接近且具有关联性 , SberAuto有可能是继Sber银行后的后续攻击 。 因此我们怀疑本次攻击活动或许与乌克兰IT网军有关 。
捕获!针对俄罗斯在线汽车交易平台的攻击诱饵,或与乌克兰IT网军有关
文章图片

防范建议
目前安全数据部已具备相关威胁检测能力 , 对应产品已完成IoC情报的集成:
●安恒产品已集成能力:
针对该事件中的最新IoC情报 , 以下产品的版本可自动完成更新 , 若无法自动更新则请联系技术人员手动更新:
(1)AiLPHA分析平台V5.0.0及以上版本
(2)AiNTA设备V1.2.2及以上版本
(3)AXDR平台V2.0.3及以上版本
(4)APT设备V2.0.67及以上版本
(5)EDR产品V2.0.17及以上版本
●安恒云沙盒已集成了该事件中的样本特征:
用户可通过云沙盒:
https://ti.dbappsecurity.com.cn/sandbox , 对可疑文件进行免费分析 , 并下载分析报告 。
2022年网络攻击预示着艰难的2023年
捕获!针对俄罗斯在线汽车交易平台的攻击诱饵,或与乌克兰IT网军有关】2023.01.10
新发现!俄罗斯APT组织Turla正搭载已有十年之久的恶意软件部署新的后门
2023.01.09
美国铁路巨头Wabtec披露数据泄露事件 , 涉及多个敏感信息
2022.01.05返回搜狐 , 查看更多
责任编辑: