背景

UNC1151是疑似具有东欧国家背景的APT团伙，该APT组织与“Ghostwriter”攻击活动相关。2020年，国外安全厂商Mandiant（前身为FireEye）披露“Ghostwriter”攻击活动^[1]。该活动至少自 2017 年 3 月开始，行动主要针对立陶宛、拉脱维亚和波兰等国，攻击者在这些国家散播具有反北约组织（NATO）立场观点的内容，攻击者通常借助网站入侵和伪造电子邮件账号传播虚假内容，伪造的内容还包括来自军方官员的虚假信件。此后，Mandiant观察到UNC1151组织发起与“Ghostwriter”相似的攻击活动，攻击活动涉及波兰官员和德国政客，Mandiant认为UNC1151组织为一个新的APT组织^[2]。2021年11月，Mandiant发布报告将该组织归属于东欧某国政府^[3]。

2022年2月，俄乌冲突爆发后，乌克兰计算机应急响应小组（CERT-UA）和乌克兰国家特殊通讯和信息保护局（SSSCIP Ukraine）发布钓鱼邮件警报，警报涉及 UNC1151针对乌克兰武装部队成员的私人电子邮件账户的广泛网络钓鱼活动。3月1日，Proofpoint披露攻击者利用疑似被窃取的乌克兰军队人员邮箱，向参与管理逃离乌克兰的难民后勤工作的欧洲政府人员发起钓鱼攻击^[4]，攻击手法与UNC1151此前攻击活动相似。

概述

近日，奇安信威胁情报中心红雨滴团队在社交平台上发现有安全研究员发布一个针对乌克兰的攻击样本。

乌克兰CERT也于3月7日发布通告，将该攻击样本归属为UNC1151^[5]。该样本使用的攻击手法与UNC1151之前被披露的攻击手法有些不同。经过深入挖掘，我们发现此类攻击样本至少从2021年9月开始出现，攻击目标涉及乌克兰、立陶宛等国，同时在早期样本中发现了与UNC1151历史攻击活动的相似之处。

样本信息

本次获取的初始样本为довідка.zip，“довідка”是乌克兰语“证书”的意思，压缩包内部为dovidka.chm，chm全称Compiled Help Manual，是微软新一代的帮助文件格式，利用HTML作源文，把帮助内容以类似数据库的形式编译储存，也就是被编译并保存在一个压缩的HTML格式。当我们双击文件时，微软默认使用HTML帮助执行程序打开并显示相关内容。

诱饵内容为一张图片，图片顶部为乌克兰总统办公室，乌克兰内阁以及乌克兰安全的标志，标题翻译为中文为“我该怎么办？。图片中的具体内容为“有关战争的一些安全建议”。当我们打开此文件时会执行HTML代码，解压缩dovidka.chm得到内嵌的html代码。

样本分析

HTML

HTML中包含两段代码，一段为js代码，用于显示诱饵内容，另一段为vbs代码。vbs代码经过混淆，执行的功能主要为释放ignit.vbs并调用WScript.exe执行。

VBS

释放的ignit.vbs也经过混淆，主要执行三个函数，分别释放core.dll, desktop.ini, Windows Prefetch.lnk。

desktop.ini调用“C:\Windows\Microsoft.NET\Framework\v4.0.30319\regasm.exe”加载core.dll

Windows Prefetch.lnk 用于持久化。

core.dll

core.dll为ConfuserEx加壳的C#程序，脱掉壳之后进行反编译得到代码，RegisterClass与UnRegisterClass 功能相同，实现数据的内存加载。

两个数组存储需要内存加载的数据。

将数组中的数据解压并写入分配的可执行内存中。

然后创建线程执行。

内存加载的代码主要分为两个部分，第一部分为dll loader,用于加载第二部分的dll，dll为开源的后门程序MicroBackdoor^[6]。后门首先从conf段中获取到C2地址xbeta.online和端口（8443）并建立连接。

成功与服务器连接后获取服务器下发的指令并执行，指令包含获取本机信息，执行程序，反弹shell，上传下载文件等常规远控功能，值得一提的是与原版程序的指令相比，此样本添加了截屏的功能。

关联分析

经过深入挖掘，我们发现其他三个同源样本，均为chm文件，样本信息如下。

与此次针对乌克兰的攻击样本一样，chm文件中的js代码加载显示诱饵内容，chm中的vbs代码释放后续vbs脚本并执行，诱饵内容分别如下。

样本cert.chm显示证书图片。

样本Isakymas_V-2701.chm显示的内容为立陶宛“对工人进行 COVID-19 强制筛查提出了新要求。”

样本Operativna_informacia.chm诱饵内容为乌克兰与COVID-19相关的信息。

这几个样本攻击流程与前面分析的样本基本一致：chm文件执行释放的vbs脚本，再由vbs脚本释放作为Loader的dll，并通过在开机启动目录下创建链接文件实现持久化。释放的dll是经过Confuser加壳的C#文件，负责解密后门程序，并在内存中加载并执行后门。

在上面同源样本中，cert.chm与Operativna_informacia.chm释放的vbs脚本一样。并且值得注意的是，dll加载的后门并不限于在此次攻击样本中所观察到的Microbackdoor。在样本Isakymas_V-2701.chm中，攻击者使用的后门为Cobalt Strike的Beacon木马，这意味着攻击者有一套成熟的代码框架适配不同的后门程序，以生成最终的攻击样本。

在早期样本Operativna_informacia.chm里，chm包含的vbs代码还没有进行混淆处理，我们得以发现这批攻击样本与UNC1151此前攻击活动的相似之处。Vbs代码中有如下指令用于解码并执行释放的vbs脚本。

而在此前Mandiant披露UNC1151针对乌克兰的一次攻击活动中^[2]，也出现了基本一样的指令。

此外，这些攻击样本持久化所执行的指令也与之前的攻击活动相同，均是通过wscript执行vbs脚本，只是建立持久化的方式不同。样本Operativna_informacia.chm在开机启动目录下写入链接文件”Network access center.lnk”，链接文件的指令如下，其中desktop.ini实际上是vbs脚本。

此前的攻击活动是在注册表中建立持久化，相关指令如下。

总结

APT组织攻击一直以来对于国家和企业来说都是一个巨大的网络安全威胁，通常由某些人员精心策划，针对特定的目标。出于商业或政治动机，针对特定组织或国家，并要求在长时间内保持高隐蔽性进行攻击。

奇安信红雨滴团队预测，未来会出现各种以俄乌热点问题为诱饵的恶意文件以及APT攻击。因此，奇安信红雨滴团队在此提醒广大用户，切勿打开社交媒体分享的来历不明的链接，不点击执行未知来源的邮件附件，不运行标题夸张的未知文件，不安装非正规途径来源的APP。做到及时备份重要文件，更新安装补丁。

IOCs

MD5

e34d6387d3ab063b0d926ac1fca8c4c4

2556a9e1d5e9874171f51620e5c5e09a

bd65d0d59f6127b28f0af8a7f2619588

a9dcaf1c709f96bc125c8d1262bac4b6

fb418bb5bd3e592651d0a4f9ae668962

d2a795af12e937eb8a89d470a96f15a5

62b8db1d541775fba717fc76b2e89353

308a239e5ae12e15d21dccb98a490e31

d7e5b7119f8b17a4aa4a3544eceaf8c4

75ca758eb0429fbcdb78d76566ad2ae7

cc859282c0541d0d1feb37c7d7a2a4cf

f6b96b7f0dad624a60b02abe068de7bd

023a858bd0fe922a7275653206ea2d17

98905083d8e1701731f998bcde4cea58

C2

xbeta[.]online

tvasahi[.]online

multilogin[.]on

参考链接

[1] https://www.fireeye.com/content/dam/fireeye-www/blog/pdfs/Ghostwriter-Influence-Campaign.pdf

[2] https://www.fireeye.com/content/dam/fireeye-www/blog/pdfs/unc1151-ghostwriter-update-report.pdf

[3] https://www.mandiant.com/resources/unc1151-linked-to-belarus-government

[4] https://www.proofpoint.com/us/blog/threat-insight/asylum-ambuscade-state-actor-uses-compromised-private-ukrainian-military-emails

[5] https://cert.gov.ua/article/37626

[6] https://github.com/Cr4sh/MicroBackdoor