今年早些時(shí)候,一種名為Olympic Destroyer Wiper的惡意軟件曾短暫的干擾過韓國(guó)冬奧會(huì)。現(xiàn)在它又帶著一種新類型的dropper變種回來了,有重要變化顯示表明其背后的APT組織發(fā)生了變化。
盡管名為Olympic Destroyer,但自今年2月以來,Olympic Destroyer早已將攻擊目標(biāo)轉(zhuǎn)移到了奧林匹克賽事之外。該惡意軟件最初的傳播途徑,是靠其背后的APT組織大肆發(fā)送帶有惡意附件的魚叉式釣魚電子郵件來實(shí)現(xiàn)的。Check Point的研究人員表示,據(jù)他們觀測(cè)結(jié)果顯示,在惡意附件中,宏的復(fù)雜性隨著時(shí)間的推移而愈發(fā)增加,為了掩人耳目,Hades每個(gè)月都會(huì)出現(xiàn)新的版本。然而到了十月份,這個(gè)情況發(fā)生了變化。
Check Point的研究人員在最近發(fā)表的一篇文章中指出,
通過對(duì)字符串編碼方法以及一些其他常用指標(biāo)的研究表明,大多數(shù)惡意文檔都是由同一個(gè)威脅行為者創(chuàng)建的,使用的是相同的混淆工具集,每月更改一次。但最新樣本顯示出了與Hades APT的宏通常所采用的、常規(guī)進(jìn)化路徑的偏離,出現(xiàn)了一種全新的變種。
具體來講,就是該變種中引入了反分析和延遲執(zhí)行等新特性,這些特性過去只在第二階段Wiper負(fù)載中使用。
Hades APT的doc文件和宏混淆器具有一些獨(dú)特的特征,通過這些特征,可將它們與其他dropper區(qū)分開來。例如,Hades大多數(shù)的dropper都包含了下列三個(gè)文檔作者簽名:James,John或AV。分析師表示,這些“指紋”對(duì)追蹤該組織的研究人員來說非常重要,因?yàn)樗鼈兒苌僖姟T谌狈^(qū)別特征、代碼中內(nèi)置了大量錯(cuò)誤標(biāo)志的情況下,卡巴斯基實(shí)驗(yàn)室仍舊致力于識(shí)別此組織的特征。
Check Point的研究人員表示,
眾所周知,Hades利用公開的工具進(jìn)行偵察和后期開發(fā),這使得對(duì)攻擊第一階段的分析和檢測(cè)變得更加重要,這也是區(qū)分該組織與他人的行動(dòng),乃至追蹤其全球活動(dòng)的方法之一。
Check Point說,
在Olympic Destroyer Wiper最近的一次更新中,用戶首先會(huì)看到一個(gè)空白頁面。一旦激活,宏就會(huì)將白色文本變?yōu)楹谏瑑?nèi)容就會(huì)顯示出來。這份文件的文本是可以在網(wǎng)上找到的合法文件。接著宏本身執(zhí)行沙箱規(guī)避;它檢索運(yùn)行進(jìn)程的列表,然后將其與流行的分析工具使用的進(jìn)程進(jìn)行比較,并計(jì)算總共有多少個(gè)正在運(yùn)行的進(jìn)程。這個(gè)過程計(jì)數(shù)對(duì)沙箱和分析環(huán)境很有效,因?yàn)橥ǔS幸恍┻M(jìn)程在運(yùn)行。
在此之前,這些工作都是在舊版本的PowerShell階段進(jìn)行的。最新的dropper能還將解碼的HTA文件寫入計(jì)算機(jī)的磁盤,并安排它在早上執(zhí)行。HTA文件利用VBScript對(duì)下一級(jí)命令行進(jìn)行解碼,使用與宏相同級(jí)別的技術(shù)和解碼器。
除了第一階段變化之外,Check Point的研究人員還發(fā)現(xiàn)了一些新情報(bào),比如Hades的droppers使用受感染服務(wù)器作為第二階段命令和控制(C2)。
Check Point表示,
盡管人們對(duì)Hades的基礎(chǔ)設(shè)施知之甚少,但一些與他們C2相關(guān)聯(lián)的droppers暴露了一些服務(wù)器問題,這些問題表明受損的服務(wù)器僅充當(dāng)代理,請(qǐng)求實(shí)際上被重定向到另一臺(tái)服務(wù)器,該服務(wù)器承載著Hades整個(gè)組織的后端。
總體而言,這些變化表明,為了避免被找到任何蛛絲馬跡,該組織在持續(xù)創(chuàng)新當(dāng)中。之前在奧運(yùn)會(huì)期間,Hades就操作了偽旗行動(dòng);而其最新的dropper也在隱匿著自己的行蹤。
Check Point的研究人員表示,
Hades沒有表現(xiàn)出放慢運(yùn)作的跡象,他們的能力與他們的受害者名單一起增長(zhǎng)。
| 
