標題：Chinoxy和PivNoxy攻擊的幕後組織調查

最近，南亞的一家電信機構收到一封帶有可疑RTF 附件的簡短電子郵件，這引起了FortiGuard Labs 的注意。這封電子郵件偽裝成來自巴基斯坦政府部門的信息，目的是傳播PivNoxy 惡意軟件。

马云惹不起马云 受影響的平台：Windows

马云惹不起马云受影響方：Windows 用戶

马云惹不起马云影響：控制受害者的設備並收集敏感信息

马云惹不起马云嚴重性級別：中等

攻擊概述攻擊始於一封簡單的電子郵件，其中只附上了一份文件作為附件：

攻擊中使用的魚叉式釣魚電子郵件

附件文件為RTF格式。它是使用一種名為Royal Road 的工俱生成的，這是一種網絡釣魚“武器”，被多個亞洲APT 攻擊組織使用。 Royal Road 也稱為8.t RTF 漏洞利用構建器，允許APT 組織創建帶有嵌入式對象的RTF 文件，這些對象可以利用Microsoft Word 中的漏洞來感染目標。 Royal Road 支持的一些已知漏洞包括：

马云惹不起马云CVE-2017-11882（Microsoft Office 內存損壞漏洞）；

马云惹不起马云CVE-2018-0802（Microsoft Office 內存損壞漏洞）；

马云惹不起马云CVE-2018-0798（Microsoft Office 內存損壞漏洞）；

打開電子郵件附件“Please help to CHECK.doc”，會打開一個誘餌Word 文件。同時，它在後台利用CVE-2018-0798。 CVE-2018-0798 是Microsoft 公式編輯器(EQNEDT32) 中的一個遠程代碼執行(RCE) 漏洞。 Microsoft 於2018 年1 月9 日為其發布了修復程序。攻擊者仍在針對此漏洞的事實表明，並非所有組織都部署了關鍵補丁或升級到最新軟件。事實是，舊的漏洞仍然普遍且成功地被利用。

攻擊中使用的誘餌Word 文件。請注意，文件中顯示的亂碼可能是我們的測試設備不支持該語言的結果

執行後，這個惡意文件會釋放三個文件：

C:\\ProgramData\Cannon\Cannondriver.exe；

C:\\ProgramData\Cannon\LBTServ.dll；

C:\\ProgramData\Cannon\Microsoft.BT；

儘管文件名是假的，但Cannondriver.exe是一個合法的羅技文件LBTWizGi.exe，全稱是“羅技藍牙嚮導主機進程”。 Cannondriver.exe 甚至由頒發給羅技的證書進行數字簽名的。

Cannondriver.exe 的合法版本

另一方面，LBTServ.dll 文件沒有經過數字簽名。這就是有趣的地方。 “Cannondriver.exe”容易受到LBTServ.dll 所利用的DLL 搜索順序劫持攻擊。請注意，此攻擊中使用的“LBTServ.dll”樣本的編譯時間為Sun July 18 02:04:24 2021 GMT。這意味著這個小組在他們需要使用這個變體之前就創造了它。這表明，他們要么在近一年前就準備好攻擊目標，要么已經開始囤積惡意軟件，隨時準備發動攻擊。最近的Chinoxy 樣本一直沒有被發現，就是這個道理。

Cannondriver.exe 中的DLL 搜索順序劫持

上圖是在Cannondriver.exe中找到的部分代碼。基本上，它調用名為LGBT_Launch的導出，該導出位於LBTServ.dll 中。

LBTServ.dll 內部

在Cannondriver.exe 加載偽造的LBTServ.dll 並調用LGBT_Launch 函數後，惡意函數就加載了另一個被釋放的文件Microsoft.BT ，並繼續對其進行解密。攻擊鏈類似於Chinoxy 後門使用的攻擊鏈，後者也使用Cannondriver.exe 加載惡意LBTServ.dll 以傳遞其有效負載。

然而，目前發送給南亞電信機構的這種變體提供的最終有效負載與其之前的版本略有不同。它不是包含最終有效負載的LBTServ.dll，而是從單獨的文件加載shellcode 並將自身注入到svchost.exe 中。然後它聯繫instructor[.]giize[.]com，這是一個動態DNS，將連接重定向到攻擊者託管有效負載的IP。不幸的是，在調查時沒有遠程文件可用。幸運的是，nao_sec 的一條推文將PoisonIvy 惡意軟件識別為有效負載。

nao_sec 於2022 年5 月12 日發布的推文

PoisonIvy 是一種遠程訪問木馬(RAT)，早在十多年前就被發現。 RAT 也稱為Pivy，活躍在地下論壇中，允許攻擊者控制受感染的設備並通過其GUI 執行偵察活動。

FortiGuard Labs 之前發布了兩篇博客，詳細介紹了PoisonIvy 的工作原理：

Poison Ivy 新變種的深度分析；

新Poison Ivy/PlugX 變體的深度分析；

這些博客中介紹的PoisonIvy RAT 變體執行橫向移動。因此，PoisonIvy 的一次感染可能會導致信息從受影響組織中的各種設備中提取。

誰是幕後黑手眾所周知PoisonIvy 已被用於針對性攻擊，但要識別針對南亞電信組織的行動背後的攻擊者並非易事。這是由於報告的使用RAT 的攻擊組織的數量及其廣泛的可用性造成的。

我們對攻擊者的好奇導致了另一個lbtserver.dll (SHA2: 719f25e1fea12c8dc573e7161458ce7a5b6683dee3a49bb21a3ec838d0b35dd3)，該文件於2022年1月從法國提交給VirusTotal。該文件被SHA2文件cdf417e67b0aaf798ac7c0f9ccb8b5b21f09b408ee6748beea5e03e76902e7fe釋放。

研究人員的分析表明，該文件的行為與發送給目標機構的電子郵件中的文件類似。它創建一個文件夾(c:\windows\tasks) ，並將配置和PE 文件放入其中。釋放的可執行文件unio.exe 與偽裝成Cannondriver.exe 的合法簽名Logitech 文件相同。 在我們正在調查的攻擊中，union .exe加載了另一個被釋放的文件lbtserver .dll。在本文所述的樣本中，LBTServ.dll 包含完整的後門有效負載，而不是加載一個shellcode來下載它。這個LBTServ.dll 文件還利用了DLL搜索順序劫持，有8 個虛假導出，還有一個名為LGBT_Launch 的惡意導出。這使研究人員相信，這兩種攻擊最有可能來自攻擊組織，但根據向VirusTotal提交文件的日期，這兩種攻擊可能發生在2022年1月。

更有趣的是，719f25e1fea12c8dc573e7161458ce7a5b6683dee3a49bb21a3ec838d0b35dd3的編譯時間是“2016-07-09 12:49:34 UTC”，而其滴管(SHA2: cdf417e67b0aaf798ac7c0f9ccb8b5b21f09b408ee6748beea5e03e76902e7fe)的編譯時間大約是29秒後，時間是2016-07-09 13:18:11 UTC。這些數據表明，該攻擊組織至少自2016年年中以來一直很活躍。

PivNoxy 和Chinoxy的漸變史現在，讓我們將看看這個攻擊組織使用的技術的漸變史。具體來說，我們將重點介紹他們使用的一個文件，即羅技藍牙嚮導主機進程。這個合法簽名的文件包含一個DLL 搜索順序劫持漏洞。 APT 組織通過創建自己的惡意“LBTServ.dll”文件來利用此漏洞，以便在執行真正的羅技進程時加載。隨著時間的推移，這個惡意DLL已經演變成使用不同的技術。攻擊鏈通常以包含附件的電子郵件開始。附件本身包含一個可執行文件，執行時會釋放惡意DLL、合法的羅技可執行文件以及惡意軟件使用的任何相關文件。

下面是攻擊組織使用上述技術來傳遞Chinoxy、PivNoxy 和最近的Chinoxy 變體的dropper 惡意軟件的時間線。

基於文件編譯時間的dropper 惡意軟件示例

從時間軸上可以看到，在2021年第三季度，攻擊者將他們的武器庫從PivNoxy 切換到了Chinoxy 的新變體，該變體從文件中解密和加載shellcode ，並下載下一個有效負載。 Chinoxy到PivNoxy的轉換發生在2020年第二季度的某個時候。

FortiGuard Labs 發現，從2016 年年中到2018 年底，“lbtserver .dll”一直被稱為Chinoxy的變體。在這種情境中，惡意DLL 會加載一個名為“k1.ini”的外部配置文件。

Chinoxy使用的配置文件

這個配置文件通常包含一個base64 字符串，它原來是Chinoxy 使用的C2 服務器。

從Chinoxy配置文件解碼的Base64值

“備註”字段包含攻擊的大致日期。根據其源數據，這個Chinoxy DLL 樣本(SHA2: 719f25e1fea12c8dc573e7161458ce7a5b6683dee3a49bb21a3ec838d0b35dd3) 編譯於格林威治標準時間2016 年7 月9 日星期六12:49:34。主要的dropper (SHA2: cdf417e67b0aaf798ac7c0f9ccb8b5b21f09b408ee6748beea5e03e76902e7fe) 本身是在2016-07-09 13:18:11 GMT 編譯的。存活時間似乎只有幾天。 Chinoxy作為一個後門從被感染的電腦中收集數據。有趣的是，同一個C2 服務器已經使用了兩年多。分析表明，該服務器的絕大多數流量來自印度。

直到該組織決定返回前的2020 年底和2021 年初，情況一直相對平靜。該組織回歸後，首先開始瞄準東南亞的遊戲玩家。 NoxPlayer 是一個Android 模擬器，與許多程序一樣，它會聯繫服務器以檢查更新。然而，APT 組織並沒有通過電子郵件附件傳遞他們的惡意軟件，而是改變了攻擊策略，並以某種方式破壞了NoxPlayer 的更新鏈。向東南亞遊戲玩家發送了一個虛假的更新包。

與Chinoxy 示例類似，此PivNoxy 變體（SHA2：5c2a6b11d876c5bad520ff9e79be44dfbb05ee6a6ff300e8427deab35085bef6）使用一個偽造的更新包來解壓多個文件，包括濫用針對羅技的相同DLL 搜索順序劫持技術的文件。然而，在本示例中，“LBTServ.dll”被用來傳遞比之前的迭代更強大的惡意軟件，PivNoxy 通過惡意DLL 傳遞PoisonIvy RAT。雖然其他供應商報告受感染的計算機是來自東南亞的遊戲玩家，但研究人員的分析表明，更多受感染的遊戲玩家來自墨西哥。

此時，該攻擊組織再次決定隱身。一直到2022 年5 月，該組織偽裝成來自巴基斯坦政府部門，向南亞的一個電信組織的發送魚叉式網絡釣魚電子郵件。而這一次，它試圖傳播一個新的Chinoxy 惡意軟件變種。

上面提到的dropper 惡意軟件(SHA2: cdf417e67b0aaf798ac7c0f9ccb8b5b21f09b408ee6748bea5e03e76902e7fe) 已向goog1eupdate[.]com 發起了攻擊。根據FortiGuard過去六個月收集的追踪數據，近70%的攻擊來自墨西哥，近22%來自印度。 Chinoxy變體在2016年至2018年期間也使用了該域名。

研究人員還發現了三個類似的樣本連接到frontbeauty[.]dynamic-dns[.]net、beautygirl[.]dynamic-dns[.]net 和784kjsuj[.]dynamic-dns[.]net。在過去的六個月裡，對這三個域的所有訪問都來自印度。由於它們是動態DNS，因此並非所有連接都可以視為與攻擊組織有關。然而，2020 年11 月發布的Bitdefender 報告將域“goog1eupdate[.]com”描述為APT 組織的IOC 的一部分，該組織使用FunnyDream 後門作為其工具集的一部分，主要針對東南亞。訪問另一個C2 地址“mfaupdate[.]com”主要來自墨西哥和印度，而“ru[.]mst[.]dns-cloud[.]net”主要來自以色列和烏克蘭。根據安全研究員Sebastien Larinier 的說法，ru[.]mst[.]dns-cloud[.]net 被吉爾吉斯斯坦的攻擊組織使用。此外，NTT Security 發布的一篇研究報告介紹了另一台C2 服務器“eofficeupdating[.]com”，攻擊者將其用作Smanager 惡意軟件的C2 服務器，該惡意軟件用於主要攻擊越南。

總結針對南亞一家電信機構的攻擊始於一封簡單的電子郵件，該電子郵件最初似乎是標準的惡意垃圾郵件。但是，附加的Word 文件是含有Royal Road 惡意負載，可對公式編輯器漏洞(CVE-2018-0798) 利用。雖然在調查時沒有有效負載，但OSINT 研究向了FortiGuard Labs 之前強調的Poison Ivy RAT。

根據我們的分析，亞洲組織以及可能在墨西哥的一些組織是攻擊組織的目標，我們認為該攻擊組織也參與了2021 年的NightScout 行動。這個使用Chinoxy和PivNoxy的組織至少從2016年年中開始活躍。