游走于中东的魅影-APT组织AridViper近期攻击活动分析

近日，安恒信息中央研究院猎影实验室追踪到一起针对中东地区的网络间谍活动，经研究，此次活动与之前的攻击攻击活动存在许多相似之处，因此背后的攻击组织被归因为Gaza Cybergang Group2：AridViper。

在本次攻击活动中，Gaza Cybergang Group2（AridViper）以“法塔赫运动和巴勒斯坦事业的未来”话题为诱饵再次针对巴勒斯坦地区目标进行网络钓鱼活动攻击。在深度跟踪此次活动后我们有如下发现：

在宏代码方面，样本未使用Download URL进行下一阶段负载下载，而是将数据流以字符串形式存储在宏代码中，随后释放在本地；

流量特征方面，该组织弃用了过去以明文命名数据包字段的做法，转而使用随机字符替代；

后续负载疑似为Pierogi Backdoor的C++版本，该版本中用到了开源CURL框架进行通信，以及开源的Nlohmann对C2服务器返回的json数据进行解析

Gaza Cybergang Group该组织自2012年开始活跃，是一个出于政治动机，以阿拉伯语为主的高级威胁组织。由于该组织攻击目标一致，在攻击活动中涉及到的恶意软件及感染阶段较为分散，因此Kaspersky研究人员将该组分为了三个子组：

三个子组使用不同的攻击技术，但在某些情况下，攻击者会共享初始感染阶段后的工具和命令，例如Group1部署的恶意脚本分发Group2的恶意软件。也正因如此，这些子组被统称为Gaza Cybergang。

初始样本是以《法塔赫运动和巴勒斯坦事业的未来》话题为诱饵的带有恶意宏代码的DOCM文件：

宏代码运行后将HEX字节以字符串的形式写入本地文件C:\ProgramData\wifidatacapabilityhandler.txt：

随后读取TXT文件内容将其转化成字节流重新写入本地文件C:\ProgramData\wifidatacapabilityhandler.exe，并加载执行

样本运行后首先获取%Temp%目录并在该目录下新建MilliebyBrownTechanimationGB文件夹：

接着通过ShellExecuteA函数调用cmd.exe将自身启动快捷方式复制到开启自启目录下实现持久化操作：

然后根据操作系统版本选择HTTP/HTTPS协议URL：若运行环境为Windows 7，后续则使用HTTP协议通信。本报告样本调试环境为Windows 7。

获取本机信息与指定字段组成POST包进行初次上传：

其中各个字段对应获取到的内容如下：

读取C:\Users\gg\AppData\Local\Temp\MilliebyBrownTechanimationGB\SearchFilterHostbv.txt文件内容，若文件内容为空，则获取计算机名经base64编码后写入TXT文件中

通过WMI SQL查询本机反病毒软件：

通过注册表查询本机系统版本：

后门上传至服务器的POST包如下：

成功上传窃密信息后，等待C2进一步下发指令：

单向测试发包结果如下：

POST .../MgSBEBXuG01RVWDB/...，字段：K8vOE7pWbD 计算机名。

通过Nlohmann::json解析json数据中的HChdIuD7Gp字段信息，debug过程中该字段为null。

C2返回指令包括：PelayoFingerprintcr-获取屏幕截图，Kodinsky-shell指令执行，Ishikawal-后续文件下载与执行：

校验yDVy8x字段返回值，若校验成功则进行以下操作，根据后续数据库报错信息推测yDVy8x字段可能为reques_id。

获取时间戳，在%Temp%MilliebyBrownTechanimationGB/目录下创建以时间戳为名的.mhi文件，用于存储通过模拟键盘PRINT SCREEN键捕获到的屏幕快照数据，与C2通信后删除.mhi文件。

POST .../ta8rl3dT9ZRP8C/...，字段：K8vOE7pWbD 计算机名，Iwesaq 捕获的屏幕截图数据：

POST .../n7RyOPKaeyTRD0cD/...，字段：K8vOE7pWbD 计算机名，HChdIuD7Gp字段经解析后为null值，为C2服务器回传字段。

校验yDVy8x字段返回值，若校验成功则进行以下操作：

接收K1BkPO字段信息，debug过程中该字段为null，根据后续上传信息猜测K1BkPO字段为C2服务器回传的shell指令在%Temp%MilliebyBrownTechanimationGB/目录下创建以随机字符命名的文件RYwTiizs2_1654843986.txt，该文件用于存放shell指令执行结果：

该POST请求将获取信息直接存放数据库中，由于未获取到C2服务器回传的request_id，因此POST数据入库失败

{"error":"SQLSTATE[HY000]: General error: 1366 Incorrect integer value: 'null' for column 'request_id' at row 1 (SQL: insert into `files` (`name`, `device_id`, `request_id`, `path`, `parts`, `updated_at`, `created_at`) values (RYwTiizs2_1654843986.txt, 426, null, public\/files\/426\/docs\/RYwTiizs2_1654843986.txt, 0, 2022-06-10 10:04:39, 2022-06-10 10:04:39))","s_code":400}

这里K1BkPO字段为null，因此执行结果为空。

校验yDVy8x字段返回值，若校验成功则进行以下操作：

接收K1BkPO、NJ4mVB字段信息，debug过程中该字段均为null，在%Temp%MilliebyBrownTechanimationGB/目录下创建WindowLanWlanWwanSwitchingServiceUW.txt，用于接收后续负载执行。

此外，本次捕获的后门样本在通信中使用了新版本开源curl框架，支持HTTPS协议传输，可使通信变得更加隐蔽。

研究人员对本次活动投递的恶意样本分析后发现，本次捕获样本除了使用人名作为指令标识外，还在以下几个方面与已知的活动存在关联。

此次捕获样本与Cybereason 2020年披露的Molerats活动[1]中的恶意DOC文档以及Pierogi后门的重合之处：

不同的是，以往活动中的恶意DOC文档通过Download URL获取后续负载，此次捕获DOCM文档将恶意负载以字符串的形式内嵌在宏代码中。此外，上述后门（Pierogi Backdoor）使用Delphi编写，此次捕获样本为C++编写。

本次捕获样本的网络流量特征与研究人员于2020年披露的AridViper攻击活动有相似之处，响应包格式均为："key" : ["The key is required."]。“巧合”的是，后门的POST包缺省字段均为反病毒软件查询字段：

此次捕获后门连接到的URL路径与Palo Alto 2020年披露的AridViper新型python后门PyMICROPSIA[2]连接的URL路径结构的风格相似，均为随机字符组成：

最后，在代码细节方面，我们发现此次捕获后门在算法处与AridViper历史样本中存在一致的部分。

综上，此次活动可以归属到Gaza Cybergang组织下的子组2：AridViper。在经过大量关联对比分析，我们也证实了该组织内部子组存在恶意软件资源共享。

中东地区组织鱼龙混杂，为防范钓鱼攻击波及自身，安恒建议广大用户不要随意打开和下载未知来源的邮件附件及链接，提高对钓鱼邮件攻击的警惕。如有需要鉴别的未知来源样本，可以投递至安恒云沙箱查看判别结果后再进行后续操作。