一、前言
此次分析的样本来源于威胁情报渠道,样本被Zscaler首次发现于葡萄酒主题活动邀请的邮件附件,是针对印度、欧洲等国家的外交官发起的钓鱼攻击活动,所以将此样本被其命名为WINELOADER。此次鱼叉式攻击涉及的邮件附件相比作者以往见过的样本,执行链路长、新颖且完善,遂记录学习。
样本涉及多个阶段载荷和域名,涉及hta诱饵文件、js混淆、白加黑、dll劫持、特别的密文结构、多次RC4对称加解密等技术细节,并且其中一些域名网站为失陷的合法WordPress网站,被攻击者用于负载载荷。
二、背景
APT29,又名CozyBear, Nobelium, TheDukes,据信是俄罗斯有关的APT组织。该组织攻击活动可追溯至2008年,主要攻击目标包括西方政府组织机构,近年也活跃在俄乌战场中。
三、攻击链概述
攻击链流程如下(偷个懒)。
- 初始pdf中包含恶意链接,访问、下载压缩包文件。
- 压缩包文件中包含”.hta“文件,其中包含恶意的、经过混淆的恶意js代码。
- js代码执行下载后续压缩包载荷,并且解压、执行其中的文件。
- 文件中包含白exe文件,以及被攻击者精心构造的恶意dll文件,dll文件也是WINELOADER主体的加载器。
- dll中的恶意代码执行,会继续下载后续载荷,但是目前C2已经失效,猜测可能是类似cobalt strike的分段载荷。
# 四、样本执行链路分析
## 4.1 诱饵pdf文件分析
钓鱼邮件包含pdf附件,文档内容被精心构造为不同的主题,常见于有针对性目标的邀请函等,诱饵文档中包含恶意链接。
PDF邀请中的恶意链接将用户重定向至受感染的网站。
hxxps://seeceafcleaners[.]co[.]uk/wine.php
hxxps://passatempobasico.com.br/wine.php
hxxps://waterforvoiceless[.]org/invite.php
访问链接受害者将下载包含恶意HTA文件的压缩包存档。