ANEL后门重现:2024年Earth Kasha鱼叉式网络钓鱼攻击的技术剖析
活动概述
趋势科技研究发现,自2024年6月起,一个针对日本个人和组织的鱼叉式网络钓鱼活动开始活跃。该活动的显著特点是ANEL后门的重新出现——这个后门曾在2018年前被APT10用于针对日本的攻击活动中,之后销声匿迹。同时,已知被Earth Kasha使用的NOOPDOOR后门也在同一活动中被确认使用。基于这些发现,我们评估该活动是Earth Kasha新操作的一部分。
攻击链技术细节
初始访问向量
攻击者使用鱼叉式钓鱼邮件作为初始访问手段,邮件内容包含指向OneDrive的URL链接。邮件主题经过精心设计,以吸引目标收件人的兴趣,例如:
- 取材申請書 (采访请求表)
- 米中の現状から考える日本の経済安全保障 (从美中现状看日本的经济安全)
- [官公庁・公的機関一覧] ([政府和公共机构列表])
载荷投递机制
攻击活动使用了三种不同的感染链变体:
案例1:宏启用文档 最简单的变体涉及带有嵌入宏的文档。当用户打开文档并启用宏时,感染开始。该文档文件是一个名为ROAMINGMOUSE的恶意投放器,能够提取和执行嵌入的ANEL相关组件。
案例2:快捷方式+SFX+宏启用模板文档 ZIP文件不直接包含ROAMINGMOUSE,而是包含一个快捷方式文件和一个伪装成.docx文件的SFX(自解压)文件。快捷方式文件执行伪装后的SFX文件,后者将两个文档文件放入%APPDATA%\Microsoft\Templates文件夹。
案例3:快捷方式+CAB+宏启用模板文档 与案例2类似,但快捷方式文件执行PowerShell,然后投放嵌入的CAB文件。
ROAMINGMOUSE技术分析
ROAMINGMOUSE作为初始访问的宏启用文档,主要功能是执行后续ANEL载荷,同时最大限度地减少被检测的机会。
沙箱规避技术 ROAMINGMOUSE变体要求用户启用宏,并包含基于特定鼠标移动启动恶意活动的功能。这是通过实现响应"MouseMove"事件的函数来实现的,该事件在鼠标悬停在文档中嵌入的用户窗体上时触发。
自定义Base64编码载荷 ROAMINGMOUSE将包含ANEL相关组件的ZIP文件通过Base64编码并分成三部分嵌入,其中一部分使用自定义Base64编码表进行编码。
HEX编码载荷 在某些情况下,ANEL相关组件直接以HEX编码字符串的形式嵌入VBA代码中。
通过WMI执行 投放的文件包括以下ANEL相关组件:
- ScnCfg32.Exe:通过DLL侧加载加载同一目录中DLL的合法应用程序
- vsodscpl.dll:ANELLDR加载器
:加密的ANEL
ROAMINGMOUSE通过运行合法应用程序"ScnCfg32.exe"来执行ANEL,该程序通过DLL侧加载加载恶意DLL"vsodscpl.dll"。在此过程中,它使用WMI以"ScnCfg32.Exe"作为参数执行"explorer.exe"。
ANELLDR加载器分析
ANELLDR是一个独特的加载器,用于在内存中执行ANEL。该加载器最早在2018年被观察到,其功能与2018年版本完全相同。
反分析技术 ANELLDR以使用反分析技术而闻名,包括:
- 垃圾代码插入
- 控制流平坦化(CFF)
- 混合布尔算术(MBA)
解密逻辑 ANELLDR通过DLL侧加载从合法应用程序激活后,枚举当前目录中的文件以搜索加密的载荷文件。其解密逻辑在初始执行和后续执行之间有所不同。
在初始执行时,ANELLDR计算目标文件最后四个字节的Adler-32校验和,以及文件大小减去0x34字节的数据的校验和。然后比较校验和以验证目标文件是否为预期的加密文件。
验证通过后,解密过程开始。文件的最后0x30字节分为两部分:前0x20字节用作AES密钥,剩余的0x10字节用作AES IV。ANELLDR然后使用AES-256-CBC解密加密数据(最多文件大小减去0x34字节)并在内存中执行载荷。
重新加密机制 ANELLDR成功解密加密载荷后,会更新密钥和IV,使用AES-256-CBC重新加密载荷,并用新加密的数据覆盖原始加密载荷文件。
第二阶段Shellcode
解密的数据是shellcode形式的,在内存中执行。这个第二阶段shellcode负责在内存中加载和执行最终载荷(一个DLL)。
调试规避 第二阶段shellcode尝试通过调用ZwSetInformationThread API(第二个参数设置为ThreadHideFromDebugger(0x11))来规避被调试。
内存地址获取 它调用一个充满NOP指令的独特函数来获取当前内存地址,然后计算加密载荷相关数据的位置。
解密算法 加密数据部分使用16字节XOR密钥进行解码。这个过程的一个显著特点是,加密数据的每个字节都与整个16字节密钥进行XOR运算。
数据验证 XOR操作后,使用Lempel-Ziv-Oberhumer(LZO)数据压缩算法对数据进行解压缩。计算载荷DLL的前4字节和Adler-32校验和并进行比较,以验证数据是否正确解码和解压缩。
ANEL后门更新分析
ANEL是一个32位基于HTTP的后门,自2017年左右被观察到,直到2018年左右一直是APT10使用的主要后门之一。
版本演进 通过2024年的新活动,观察到版本"5.5.4 rev1"、“5.5.5 rev1”、“5.5.6 rev1"和"5.5.7 rev1”,以及一个新发现的版本信息被混淆的版本。
功能更新
- 5.5.4 rev1:移除在HTTP Cookie头中存储错误代码并发送到C&C服务器的功能
- 5.5.5 rev1:添加在初始访问C&C服务器时更新本地IP地址的代码
- 5.5.6 rev1:添加新的后门命令,通过滥用CMSTPLUA COM接口提供以提升权限执行指定程序的功能
攻击后活动
在安装ANEL后,攻击者从受感染环境中收集信息,如截取屏幕截图和执行arp、dir等命令来收集网络和文件系统详细信息。在某些情况下,还安装了额外的恶意软件NOOPDOOR。
归因分析
基于对持续活动的分析,趋势科技评估认为,自2024年6月起使用ANEL的鱼叉式网络钓鱼活动是Earth Kasha进行的新操作的一部分。
归因于Earth Kasha的依据包括:
- TTP和受害者特征没有显著不一致
- NOOPDOOR在同一活动中部署
- ANELLDR和NOOPDOOR之间存在代码相似性
威胁狩猎查询
趋势科技Vision One客户可以使用Search App来匹配或狩猎本博文中提到的恶意指标。
与Earth Kasha鱼叉式网络钓鱼活动相关的恶意软件检测
|
|
ANEL在2024年鱼叉式网络钓鱼活动中使用的恶意IP
|
|
结论
Earth Kasha的活动预计将继续发展,其工具和TTP将不断更新。许多目标是个人,如研究人员,他们可能具有与企业组织不同级别的安全措施,使得这些攻击更难以检测。保持基本对策至关重要,例如避免打开可疑电子邮件附带的文件。此外,收集威胁情报并确保相关方了解情况也很重要。由于该活动被认为在2024年10月仍在进行中,需要持续保持警惕。