打开命名管道
0x43
打开文件并附加数据
0x48
添加环境变量
0x49
复制文件
0x4A
重命名文件
0x4B
检查目标进程跟当前进程是否属于同一个会话
0x4D
调整进程Token权限
0x53|0x54
扩展环境变量
0x56|0xE
执行connect连接
0x5D
以特定用户创建进程
0x62
创建进程执行shellcode
0x64
分配内存并执行shellcode
0x66|0x52|0x4F
监听指定端口
三
朔源与关联
通过溯源与关联我们又发现了多个使用Shhhloader进行打包的恶意PE文件 。 由此可见该框架已经受到了攻击者的青睐 ， 被广泛用于攻击活动当中 。
文件名
Hash
calc-shh.dll
0BE22BE8FBB286B6C21F88E18E1886E2
Adobede.dll
a.dll
a.dll
FF49D38D87642FB5B00ECD0D3BF094F0
这些dll文件与前面分析过的version.dll大体框架基本相同 ， 但细节上由于配置参数的不同而有差异 。 如有的dll具有沙箱检测能力 ， 有的利用msedge.exe进行shellcode注入等 。

文章图片
此外根据以往攻击活动我们发现本次捕获的样本与APT29组织存在一些相同的点 。 首先是使用ISO文件进行攻击是APT29组织惯用的手法 ， 在今年披露的多起攻击事件中都存在对于ISO文件的使用 ， 并且都使用lnk文件启动白文件加载恶意dll文件 。 因此在初始入侵手法上 ， 本次捕获的攻击活动与APT29存在一定的相似性 。

文章图片

文章图片
当然仅凭这些相似点我们无法确认此次攻击来自于APT29 ， 或者也有可能该攻击组织在有意模仿APT29的攻击手法 。 而通过更深入的追踪 ， 我们发现乌克兰IT网军在2022年11月30日曾在媒体上发布过一条消息称俄罗斯多家网上银行存在访问问题 ， 而其中包括Sber(俄罗斯联邦储蓄银行) ， 而本次捕获活动的攻击对象SberAuto恰好是Sber银行旗下的汽车零售服务 。 二者被攻击时间十分接近且具有关联性 ， SberAuto有可能是继Sber银行后的后续攻击 。 因此我们怀疑本次攻击活动或许与乌克兰IT网军有关 。

文章图片
四
防范建议
目前安全数据部已具备相关威胁检测能力 ， 对应产品已完成IoC情报的集成：
●安恒产品已集成能力：
针对该事件中的最新IoC情报 ， 以下产品的版本可自动完成更新 ， 若无法自动更新则请联系技术人员手动更新：
（1）AiLPHA分析平台V5.0.0及以上版本
（2）AiNTA设备V1.2.2及以上版本
（3）AXDR平台V2.0.3及以上版本
（4）APT设备V2.0.67及以上版本
（5）EDR产品V2.0.17及以上版本
●安恒云沙盒已集成了该事件中的样本特征：
用户可通过云沙盒：
https://ti.dbappsecurity.com.cn/sandbox ， 对可疑文件进行免费分析 ， 并下载分析报告 。
2022年网络攻击预示着艰难的2023年
【捕获！针对俄罗斯在线汽车交易平台的攻击诱饵，或与乌克兰IT网军有关】2023.01.10
新发现！俄罗斯APT组织Turla正搭载已有十年之久的恶意软件部署新的后门
2023.01.09
美国铁路巨头Wabtec披露数据泄露事件 ， 涉及多个敏感信息
2022.01.05返回搜狐 ， 查看更多
责任编辑：

• 好莱坞|欧美扎心！俄罗斯播放盗版《阿凡达2》背后：盗版好莱坞大片将合法
• 5G|继续下放！ColorOS13针对多款老机型推送新版本，你的机型在内吗
• 龙芯|无法从西方进口CPU的俄罗斯，试图转投中国的“龙芯”！
• 俄罗斯发出严厉警告，美国Twitter公司如若不守法，将被完全封禁
• 微星|俄罗斯开发者1年拿不到钱！好好的微星AfterBurner被一场战争害死
• CPU|宋文洲：中国拒绝俄罗斯采购中国产CPU
• 索尼在上个月针对 2022款BRAVIA电视推送了 PKG6.|2022款索尼bravia电视迎来摄像头手势控制功能支持
• PATRIOT（博帝、爱国者）针对高端游戏市场创立了VIPER品牌|vipergaming推出ddr5性能内存系列
• 安卓|谷歌向印度国家公司法上诉法庭提起诉讼，挑战CCI针对安卓系统的巨额罚款
• 小米|雷军收到俄罗斯米粉的新年礼物：一个3D打印制作的米兔模型