標題：揭開Earth Preta最新的工作原理

https://hacker.bz/t/entry/15865-%E6%A8%99%E9%A1%8C%EF%BC%9A%E6%8F%AD%E9%96%8Bearth-preta%E6%9C%80%E6%96%B0%E7%9A%84%E5%B7%A5%E4%BD%9C%E5%8E%9F%E7%90%86/

Followers

本文將介紹Earth Preta APT組織利用的最新工具、技術和程序（TTP）的更多技術細節。介紹在2022年11月，趨勢科技的研究人員就披露了由高級持續性威脅（APT）組織Earth Preta（也稱為Mustang Panda）發起的大規模網絡釣魚活動。該活動通過魚叉式網絡釣魚電子郵件針對亞太地區的多個國家。自2023年初以來，該組織正在使用新的方法，例如MIROGO和QMAGENT。

此外，研究人員還新發現了一個名為TONEDROP的釋放程序，它可以釋放TONEINS和TONESHELL惡意軟件，根據觀察，該組織正在將其目標擴展到不同的地區，如東歐和西亞，再加上亞太地區的幾個國家，如緬甸和日本。

通過追踪分析惡意軟件和下載網站，研究人員試圖找到攻擊者用來繞過不同安全解決方案的工具和技術。例如，研究人員收集了部署在惡意下載網站上的腳本，這使他們能夠弄清楚它們的工作原理。研究人員還觀察到，Earth Preta向不同的受害者提供不同的有效負載。

受害者研究從2023年1月開始，研究人員就觀察到幾波針對不同地區個人的魚叉式網絡釣魚電子郵件。

魚叉式網絡釣魚郵件收件人的國家分佈

研究人員還能根據目標行業對受害者進行細分。如下圖所示，大多數目標自電信行業。

魚叉式網絡釣魚郵件收件人的行業分佈

2023年，研究人員使用了新的攻擊指標監測了Earth Preta，包括MIROGO、QMAGENT和名為TONEDROP的新TONESHELL釋放程序。

同樣，這些攻擊鏈也發生了變化。例如，除了部署合法的Google Drive下載鏈接外，攻擊者還使用其他類似但實際上不是Google Drive頁面的下載網站。

2023年的事件時間線

Backdoor.Win32.QMAGENT2023年1月左右，研究人員發現QMAGENT惡意軟件通過魚叉式網絡釣魚電子郵件傳播，目標是與政府組織有關的個人。 QMAGENT（也稱為MQsTTang）最初是在ESET的一份報告中披露，值得注意的是，它利用了物聯網（IoT）設備中常用的MQTT協議來傳輸數據和命令。由於上述報告詳細描述了惡意軟件的技術細節，我們在此不再贅述。然而，研究人員認為所使用的協議值得進一步調查。

Backdoor.Win32.MIROGO2023年2月，研究人員發現了另一個用Golang編寫的名為MIROGO的後門，Check Point Research首次將其報告為TinyNote惡意軟件。研究人員注意到，它是通過一封嵌入Google Drive鏈接的釣魚電子郵件發送的，然後下載了一個名為Note-2.7z的壓縮文件。該壓縮文件受密碼保護，密碼在電子郵件正文中提供。提取後，研究人員發現了一個偽裝成發給政府的可執行文件。

MIROGO攻擊流程

Trojan.Win32.TONEDROP2023年3月，研究人員發現了一個名為TONEDROP的新釋放程序，它可以釋放TONEINS和TONESHELL惡意軟件。它的攻擊鏈與之前報告中介紹的相似，涉及隱藏被異或的惡意二進製文件的虛假文件。

在接下來的幾個月裡，研究人員發現該組織還在使用這個釋放程序。在研究人員的調查過程中，他們發現了TONESHELL後門的一個新變體。

釋放程序流程

TONEDROP中的文件

在釋放和安裝文件之前，TONEDROP將檢查文件夾C:\ProgramData\LuaJIT是否存在，以確定環境是否已經被破壞。它還將檢查正在運行的進程和窗口是否與惡意軟件分析工具有關。如果是這樣，它將不會繼續其例行程序。

檢查正在運行的進程和窗口

如果所有條件都滿足了，它將開始安裝過程並釋放幾個文件。這些文件嵌入到釋放程序中，並使用異或密鑰解密。

釋放的文件和用於解密它們的異或密鑰

被釋放後，WaveeditNero.exe將側載waveedit.dll並解密其他兩個偽造的PDF文件：

它用XOR密鑰0x36解密C:\users\public\last.pdf，並將其寫入C:\users\public \documents\WinDbg（X64）.exe。

它用XOR密鑰0x2D解密C:\users\public\update.pdf，並將其寫入C:\users\public\documents\ libvcl .dll。

TONEDROP將為進程C:\users\public\documents\WinDbg（X64）.exe設置一個計劃任務，它將繞過加載C:\users\public\documents\ libvcl .dll。接下來，它將通過調用具有回調函數的API EnumDisplayMonitors來構造惡意負載並在內存中運行它。

TONESHELL變體D的CC協議研究人員發現了TONESHELL的一個新變體，它具有如下命令和控制（CC）協議請求數據包格式：

加密後發送數據的內容

CC協議類似於PUBLOAD和其他TONESHELL變體所使用的協議。研究人員將其歸類為TONESHELL變體D，因為它還使用CoCreateGuid來生成唯一的受害者ID，這與舊的變體類似。

在第一次握手中，有效負載應該是一個0x221字節長的緩衝區，其中包含加密密鑰和唯一受害者ID。表4顯示了有效負載的結構。請注意，字段type、victim_id和xor_key_seed在發送緩衝區之前使用xor_key進行加密。

發送數據的內容

研究人員發現該惡意軟件將victim_id的值保存到文件%USERPROFILE%\AppData\Roaming\Microsoft\Web.Facebook.config中。

第一次握手中的有效負載

CC通信協議的工作原理如下：

1.將包含xor_key和victim_id的握手發送到CC服務器；

2.接收由魔術組成並且具有0x02大小的5字節大小的數據包；

3.接收到一個用xor_key解密的2字節大小的數據包，該數據包的第一個字節必須為0x08；

4.接收到由魔術和下一個有效負載大小組成的數據。

5.使用xor_key接收並解密數據。第一個字節是命令代碼，下面的數據是額外的信息。

CC通信

命令代碼

虛假Google Drive網站2023年4月，研究人員發現了一個傳播QMAGENT和TONEDROP等惡意軟件類型的下載網站。當研究人員請求URL時，它下載了一個名為Documents.rar的下載文件，其中包含一個原來是QMAGENT示例的文件。

下載網站的截圖

雖然這個頁面看起來像Google Drive下載頁面，但它實際上是一個試圖偽裝成普通網站的圖片文件（gdrive.jpg）。在源代碼中，它運行腳本文件，它將下載文件Document.rar。

嵌入下載網站的惡意腳本

2023年5月，Earth Preta連續傳播了具有不同路徑的同一下載網站來部署TONESHELL，例如https://rewards[.]roshan[.]af/aspnet_client/acv[.]htm。在這個版本中，攻擊者用另一段JavaScript混淆了惡意URL腳本，如下圖所示。

該頁面的源代碼

解碼後的惡意腳本URL

最後，腳本jQuery.min.js將從https://rewards.roshan[.]af/aspnet_client/Note-1[.]rar下載歸檔文件。

jQuery.min.js腳本

技術分析在調查過程中，研究人員嘗試了幾種方法來追踪事件，並將所有指標聯繫在一起。研究人員的發現可以概括為三個方面：代碼相似性、CC連接和糟糕的操作安全性。

代碼相似性研究人員觀察到MIROGO和QMAGENT惡意軟件之間有一些相似之處。由於檢測次數有限，研究人員認為這兩種工具都是Earth Preta開發的，且它們都是用兩種不同的編程語言實現了類似的CC協議。

MIROGO和QMAGENT惡意軟件的異同

CC 通信惡意軟件QMAGENT使用MQTT協議傳輸數據。經過分析，研究人員意識到所使用的MQTT協議沒有加密，也不需要任何授權。由於MQTT協議中的獨特“特性”（一個人發布消息，其他所有人接收消息），研究人員決定監控所有消息。他們製作了一個QMAGENT客戶端，看看有多少受害者被盯上了。經過長期監測，研究人員製作瞭如下統計表：

QMAGENT通信

主題名稱iot/server0用於檢測分析或調試環境，因此受害者數量最少。 3月份的峰值最高，因為ESET報告是在3月2日發布的，這個峰值涉及自動化系統（沙箱和其他分析系統）的激活。因此，研究人員決定將峰值分解成更小的範圍。

QMAGENT受害者

來自QMAGENT惡意軟件的CC請求JSON體包含一個Alive密鑰，該密鑰是惡意軟件的正常運行時間（以分鐘為單位）。

QMAGENT受害者活動時間

研究人員將前10個的運行時間分為三類：473秒、200秒和170秒。由於涉及許多分析系統，研究人員認為這些時間是不同沙盒的一些常見的超時設置。例如，CAPEv2沙箱中的默認超時設置正好是200秒。

CAPEv2中的默認超時設置

操作安全性差調查中，研究人員收集了幾個惡意壓縮文件的下載鏈接。研究人員注意到，攻擊者不僅傳播了Google Drive鏈接，還傳播了由不同雲提供商託管的其他IP地址。以下是研究人員最近觀察到的一些下載鏈接：

很明顯，url中的路徑遵循幾種模式，例如/fav/xxxx或/f/xx。在檢查url時，研究人員還發現xx模式與受害者相關（這些模式是他們的國家代碼）。在調查下載網站80[.]85[.]156[.]]151（由Python的SimpleHTTPServer託管），研究人員發現它在端口8000上有一個打開的目錄，其中託管了大量的數據和腳本。

開放目錄漏洞

下載網站中的重要文件如下：

打開目錄中的文件

接下來，我們將介紹部署在服務器上的腳本文件。

Firewall: fw.shEarth Preta使用腳本文件fw.sh來阻止來自特定IP地址的傳入連接。禁止訪問的IP地址列在文件blacklist.txt中。該組織似乎有意使用python請求、curl和wget阻止來自某些已知爬蟲和某些已知安全提供程序的傳入請求。研究人員認為該組織正在試圖阻止該網站被掃描和分析。