2024年Earth Kasha鱼叉式网络钓鱼活动：ANEL后门的回归

趋势科技的研究发现，自2024年6月起，针对日本个人和组织的新鱼叉式钓鱼活动一直在进行。该活动的一个有趣方面是名为ANEL的后门重新出现，该后门在2018年之前被APT10用于针对日本的活动中，此后未被观察到。此外，已确认Earth Kasha使用的NOOPDOOR也在同一活动中被使用。基于这些发现，我们评估该活动是Earth Kasha新操作的一部分。

活动详情

该活动于2024年6月左右观察到，归因于Earth Kasha，使用鱼叉式钓鱼邮件进行初始访问。具体目标包括政治组织、研究机构、智库和国际关系相关组织的个人。2023年，Earth Kasha主要尝试利用边缘设备漏洞进行入侵，但这一新活动显示他们再次改变了战术、技术和程序（TTP）。这一转变似乎是由目标变化驱动的，从企业转向个人。此外，对受害者档案和分发的诱饵文件名称的分析表明，对手特别关注与日本国家安全和国际关系相关的主题。

该活动中使用的鱼叉式钓鱼邮件要么从免费电子邮件帐户发送，要么从受损帐户发送。邮件包含指向OneDrive的URL链接。它们包含一条日语消息，鼓励收件人下载ZIP文件。以下是一些观察到的潜在电子邮件主题，可能旨在吸引目标收件人的兴趣：

取材申請書（采访请求表）
米中の現状から考える日本の経済安全保障（从美中现状看日本的经济安全）
[官公庁・公的機関一覧]（[政府和公共机构列表]）

ZIP文件中的文件作为感染载体，根据时期和目标的不同而有所不同。

案例1：启用宏的文档

最简单的情况涉及带有嵌入宏的文档。当文档打开且用户启用宏时，感染开始。此文档文件是一个名为ROAMINGMOUSE的恶意投放器。如后所述，ROAMINGMOUSE可以提取并执行嵌入的ANEL相关组件（合法EXE、ANELLDR和加密的ANEL）。在此过程中观察到两种模式：一种涉及删除ZIP文件然后提取它，另一种直接删除组件。

案例2：快捷方式+SFX+启用宏的模板文档

在其他情况下，ZIP文件不直接包含ROAMINGMOUSE。相反，它包含一个快捷方式文件和一个SFX（自解压）文件，通过更改其图标和扩展名伪装成文档。

当打开快捷方式文件时，它执行同一目录中伪装成.docx文件的SFX文件。

SFX文件将两个文档文件放入%APPDATA%\Microsoft\Templates文件夹。其中一个文件是无害的诱饵文档，另一个名为“normal_.dotm”的文件包含名为ROAMINGMOUSE的宏。当诱饵文档打开时，ROAMINGMOUSE作为Word模板文件自动加载。ROAMINGMOUSE执行后的行为与案例1中观察到的相同。

案例3：快捷方式+CAB+启用宏的模板文档

还观察到与案例2类似的案例，其中快捷方式文件执行PowerShell，然后删除嵌入的CAB文件。

在这种情况下，快捷方式文件包含一个PowerShell单行脚本，如下图所示。该脚本删除并提取嵌入在快捷方式文件特定偏移处的CAB文件，并执行诱饵文件。然后诱饵文件自动加载ROAMINGMOUSE作为模板文件，遵循与案例2相同的过程。

初始访问恶意软件

ROAMINGMOUSE

我们在本次活动中为初始访问创建的启用宏的文档称为“ROAMINGMOUSE”。此文档充当ANEL相关组件的投放器。ROAMINGMOUSE的主要作用是在最小化检测机会的同时执行后续ANEL有效负载。为实现此目的，它实施了各种规避技术。

（基本）沙箱规避

案例1中引入的ROAMINGMOUSE变体要求用户启用宏。此变体包括一个功能，根据用户做出的特定鼠标移动启动恶意活动。此功能通过实现响应“MouseMove”事件的函数来实现，该事件在鼠标悬停在文档中嵌入的用户表单上时触发。

此功能确保除非发生特定的用户交互，否则恶意活动不会开始，这可能是作为沙箱规避技术实施的。然而，需要注意的是，许多商业和开源沙箱近年来已经解决了此类沙箱规避技术，使其效果降低。

自定义Base64编码的有效负载

将此分类为规避技术尚有争议；然而，它无疑是ROAMINGMOUSE的独特功能之一。此技术在案例1的模式1中使用。ROAMINGMOUSE通过将其编码为Base64并分成三部分来嵌入包含ANEL相关组件的ZIP文件，其中一部分使用自定义Base64编码表编码。然后将ZIP文件中的文件提取到特定路径。

此技术可能会减慢分析速度，但也可能是对现代工具的规避技术，这些工具会自动解码VBA中嵌入的Base64。此类工具近年来变得更加常见，使其成为潜在的对策。

HEX编码的有效负载

在某些情况下，例如在案例1和模式2中，我们观察到ANEL相关组件直接删除而未通过Base64编码的ZIP文件处理的情况。在这些情况下，每个组件作为HEX编码字符串嵌入VBA代码中。

通过WMI执行

删除的文件包括以下ANEL相关组件：

ScnCfg32.Exe：通过DLL侧加载加载同一目录中DLL的合法应用程序。
vsodscpl.dll：ANELLDR加载器。
：加密的ANEL。

ROAMINGMOUSE通过运行合法应用程序“ScnCfg32.exe”来执行ANEL，该程序通过DLL侧加载加载恶意DLL“vsodscpl.dll”。在此过程中，它使用WMI以“ScnCfg32.Exe”作为参数执行“explorer.exe”。

此方法旨在避免安全产品的检测，这些产品更可能标记从文档文件（如Word文档）直接执行的进程（如“cmd.exe”）。通过绕过“cmd.exe”并通过WMI运行程序，他们试图规避这些检测机制。

ANELLDR

我们一直在跟踪用于在内存中执行ANEL的独特加载器，我们将其命名为ANELLDR。ANELLDR早在2018年就被观察到。就其功能而言，本次活动中使用的版本与2018年使用的版本相同。除了其核心功能外，ANELLDR以使用反分析技术而闻名，如垃圾代码插入、控制流平坦化（CFF）和混合布尔算术（MBA）。本次活动中观察到的ANELLDR也实施了相同的技术。

尽管有一些关于ANELLDR的公开信息，但仍缺乏对其行为的全面描述。我们将详细解释加载器的功能。

ANELLDR通过DLL侧加载从合法应用程序激活以开始其恶意活动。一旦执行，它枚举当前目录中的文件以搜索加密的有效负载文件。值得注意的是，ANELLDR的解密逻辑在初始执行和后续执行之间有所不同。

在初始执行期间，ANELLDR计算目标文件最后四个字节的Adler-32校验和，以及文件大小减去0x34字节的数据（其中0x34字节包括0x30字节的AES材料和0x4字节的校验和，稍后解释）。然后比较校验和以检查目标文件是否是预期的加密文件。如果同一级别存在目录，则递归处理该目录中的文件。

一旦文件通过验证，解密过程开始。为此，文件的最后0x30字节分为两部分：前0x20字节用作AES密钥，剩余的0x10字节用作AES IV。然后，ANELLDR使用AES-256-CBC解密加密数据（最多文件大小减去0x34字节）并在内存中执行有效负载。

一旦ANELLDR成功解密加密的有效负载，它会更新密钥和IV，使用AES-256-CBC重新加密有效负载，并用新加密的数据覆盖原始加密的有效负载文件。此过程中使用的AES密钥和IV基于执行文件的文件路径和硬编码字符串生成。这涉及使用自定义Base64编码、Blowfish加密算法和XOR操作，确保密钥和IV对运行环境是唯一的。由于用于加密的AES密钥和IV未嵌入文件中，因此必须知道有效负载最初存储的确切文件路径才能解密从受感染环境获得的加密有效负载文件。

第二阶段shellcode

解密的数据是shellcode形式的，并在内存中执行。此第二阶段shellcode负责在内存中加载并执行最终有效负载（DLL）。首先，第二阶段shellcode尝试通过调用ZwSetInformationThread API（第二个参数设置为ThreadHideFromDebugger（0x11））来避免被调试。接下来，它检索加密数据的地址。为此，它调用一个填充了NOP指令的独特函数以获取内存中的当前地址。获取此地址后，它计算加密有效负载相关数据的位置，该位置紧接在此函数之后。

加密数据部分的结构如下格式：

ANELLDR使用16字节XOR密钥解码后续加密数据。此过程的一个独特特征是每个加密数据字节与整个16字节密钥进行XOR。换句话说，该算法对每个数据字节应用16次XOR，每次使用不同的密钥字节。

XOR操作后，使用Lempel–Ziv–Oberhumer（LZO）数据压缩算法解压缩数据。此外，计算有效负载DLL的前4字节和Adler-32校验和并进行比较，以验证数据是否已正确解码和解压缩。如果完整性检查通过，则DLL在内存中动态初始化，并调用硬编码的导出函数以执行有效负载。

ANEL

ANEL是一个32位基于HTTP的后门，自2017年左右被观察到，并在2018年之前被认为是APT10使用的主要后门之一。ANEL在那个时候被积极开发，2018年公开观察到的最后一个版本是“5.5.0 rev1”。然而，通过2024年的这一新活动，已观察到版本“5.5.4 rev1”、“5.5.5 rev1”、“5.5.6 rev1”和“5.5.7 rev1”，以及一个新发现的版本信息被混淆的版本。

版本	C&C通信加密（GET）	C&C通信加密（POST）	ChaCha20密钥生成	后门命令
5.5.0 rev1	自定义ChaCha20 + 随机字节XOR + Base64	自定义ChaCha20 + LZO	基于C&C URL从硬编码密钥中选择	0x97A168D9697D40DD（下载） 0x7CF812296CCC68D5（上传） 0x652CB1CEFF1C0A00（内存中PE执行） 0x27595F1F74B55278（下载并执行） 0xD290626C85FB1CE3（睡眠） 0x409C7A89CFF0A727（获取截图）其他：执行命令
5.5.4 rev1	同5.5.0 rev1	同5.5.0 rev1	同5.5.0 rev1	同5.5.0 rev1，但添加了0x596813980E83DAE6（UAC绕过）
5.5.5 rev1	同5.5.0 rev1	同5.5.0 rev1	同5.5.0 rev1	同5.5.4 rev1
5.5.6 rev1	同5.5.0 rev1	同5.5.0 rev1	同5.5.0 rev1	同5.5.4 rev1
5.5.7 rev1	同5.5.0 rev1	同5.5.0 rev1	同5.5.0 rev1	同5.5.4 rev1
未知版本	同5.5.0 rev1	同5.5.0 rev1	同5.5.0 rev1	同5.5.4 rev1

从这里，我们将仔细查看每个版本的具体更新和变化。

5.5.4 rev1

此版本的ANEL未引入任何重大更改，但实施了一些小修复和更新。一个显著的变化是移除了在HTTP Cookie标头中存储错误代码并将其发送到C&C服务器的功能，该功能一直存在到版本“5.5.0 rev1”。此功能先前被识别为ANEL的检测点，因此其移除可能是为了规避检测。另一个更新涉及发送到C&C服务器的版本信息。它现在包括执行环境的OS架构信息。尽管ANEL是32位应用程序，但在64位OS上运行时，字符串“wow64”会附加到版本信息中，然后发送到C&C服务器。

5.5.5 rev1

版本“5.5.5 rev1”也未包含重大更改。一个显著的更新是在初始访问C&C服务器期间添加了更新本地IP地址的代码。

5.5.6 rev1 / 5.5.7 rev1

在版本“5.5.6 rev1”中，添加了一个新的后门命令。ANEL通过将其转换为大写并使用xxHash进行哈希处理来处理从C&C服务器接收的命令字符串，然后将其与硬编码哈希值进行比较以确定命令。在此版本中，实现了对应于哈希值“0x596813980E83DAE6”的新命令。

此命令通过滥用CMSTPLUA COM接口（一种已知的UAC绕过技术）提供以提升权限（完整性高）执行指定程序的功能。

另一方面，在“5.5.7 rev1”中，未观察到额外的显著功能。

未知版本

在观察版本“5.5.7 rev1”之后，检测到一个版本信息被混淆的ANEL变体。在此实例中，版本信息字段包含一个Base64编码字符串，解码后产生数据“A1 5E 99 00 E7 DE 2B F5 AD A1 E8 D1 55 D5 0A 22”。此数据与“wow64”连接并发送到C&C服务器。此更改使得跟踪版本和比较功能更加困难。

利用后活动

跟踪对手在安装ANEL后的活动显示，他们从受感染环境收集信息，例如截取屏幕截图和执行诸如arp和dir之类的命令以收集网络和文件系统详细信息。在某些情况下，还安装了其他恶意软件，特别是NOOPDOOR。

NOOPDOOR自至少2021年被观察到，是一个具有更高级功能的模块化后门。它似乎是Earth Kasha使用的进一步有效负载，特别是针对高价值目标。在此活动中，我们相信NOOPDOOR被部署 against 对手特别感兴趣的目标。

归因和见解

基于对持续活动的分析，趋势科技评估认为，自2024年6月起使用ANEL的鱼叉式钓鱼活动是Earth Kasha进行的新操作的一部分。

归因于Earth Kasha基于以下原因：

直到2023年初，Earth Kasha一直通过鱼叉式钓鱼邮件作为主要入侵向量针对日本的个人和组织进行活动。在TTP或受害者档案方面没有显著不一致。
据信仅由Earth Kasha使用的NOOPDOOR也在本次活动中部署。
如前所述，ANELLDR和NOOPDOOR之间存在代码相似性，表明涉及同一开发人员或有权访问两者源代码的人。因此，在此活动中重用ANEL并不令人惊讶，并进一步支持了前APT10与当前Earth Kasha之间的联系。

趋势科技Vision One威胁情报

为了领先于不断演变的威胁，趋势科技客户可以在趋势科技Vision One中访问一系列情报报告和威胁洞察。威胁洞察帮助客户在网络安全威胁发生之前保持领先，并更好地为新兴威胁做好准备。它提供关于威胁行为者、其恶意活动及其使用技术的全面信息。通过利用此情报，客户可以主动保护其环境、减轻风险并有效应对威胁。

趋势科技Vision One情报报告应用[IOC扫描]

猜猜谁回来了？2024年Earth Kasha最近鱼叉式钓鱼活动中ANEL的回归