Sednit机构全新产品研发的恶意手机软件部件

访客3年前 (2021-01-18)关于黑客接单591

写在前面得话

Sednit机构，也被称作APT28、Fancy Bear、Sofacy或STRONTIUM，从2004年起该机构一直活跃性迄今，并且只需该机构参加的黑客攻击主题活动一般都大会上报刊今日头条。在2019年8月20日，该机构又启动了一波新的黑客攻击主题活动，而这一波进攻主题活动对于的也是Sednit机构的老“目标”：东欧其他国家和中亚地区的使馆和中国外交部。

下面，我们一起追随ESET的科学研究工作人员看一看，Sednit的攻击者们又往Zebrocy恶意手机软件大家族中增加了什么新式的进攻部件。

剖析简述

本次这一波新式的黑客攻击由一封包括了恶意配件的互联网钓鱼邮件做为进攻逐渐的起始点，在其中的恶意配件能够运行一系列恶意部件下载器，并最后做为侧门执行。科学研究工作人员现阶段早已在2019年8月22日向VirusTotal提交过一份恶意电子邮件样版了，Telsy TRT也对主题活动的进攻空间向量开展了剖析，很感兴趣同学们能够点一下【这儿】掌握大量。

如同别的科学研究工作人员预测分析的那般，Sednit机构在她们的恶意手机软件部件中增加了一种编程语言适用，更精确的而言，是她们对于恶意Payload下载器提升了Nim語言适用。但是，Sednit的攻击者仍在勤奋健全她们的Golang下载器，而且将以前选用Delphi开发设计的侧门用Golang重新构建。

繁杂的侵入主题活动

下面的图表明的攻击者一步一步完成取得成功侵入的全过程，即从一开始总体目标客户在发件箱中接到恶意电子邮箱，到最后在总体目标客户的机器设备上布署侧门：

当总体目标客户遭受Zebrocy感柒以后，全部攻击链会非常复杂，由于攻击者会在最后的Payload被执行以前，在总体目标机器设备上安裝最少六个恶意手机软件部件。因而，这类种类的进攻主题活动很容易被 *** 安全产品标识。

科学研究工作人员发觉，钓鱼邮件中带上的配件文档实际上是一份空缺文档，但这一恶意文档引入了一个代管在Dropbox上的远程控制模版：wordData.dotm。应用Word开启这一文档以后，它可能免费下载wordData.dotm，并将其合拼到有关文档的办公环境中，在其中还包含模版中掩藏的內容，详细情况如下图所显示：

wordData.dotm文档中还包括恶意宏，文档被开启后恶意宏也将被执行，但是实际将在于总体目标机器设备中Microsoft Word的版本号，有的版本号默认设置会禁止使用VBA宏作用，假如被禁止使用得话，恶意手机软件还会继续提醒客户启用宏作用。此外，恶意文档中还包括一个置入的ZIP压缩包（恶意宏在执行以后会对其开展缓解压力获取实际操作）。

如之一张截屏所显示，wordData.dotm中的宏会开启另一个文档：lmss.doc，而lmss.doc文档必须恶意宏从wordData.dotm中获取出去。lmss.doc中的恶意宏辉执行lmss.exe，也就是Zebrocy全新的Nim下载器，它一样是以wordData.dotm中获取出去的，并且wordData.dotm并不会立即执行下载器。

必须留意的是，lmss.doc中包括的VBA编码能够执行新式的Nim下载器，并且它还置入了一个Base64编号的可执行程序流程，依据其文档特性，lmss.doc建立于2019年1月份，而且在8月20日开展过改动，也就是本次进攻主题活动逐渐前的好多个钟头：