对中东石油和天然气供应链产业的APT攻击

APT攻击者会关注时事，使他们的攻击活动更具吸引力，并对毫无戒心的受害者进行攻击。这些事件并不是全球性的，通常仅是本地或区域名性的，这有助于攻击者缩小目标范围，以期获得更大的攻击成果。

因此，当阿布扎比国家石油公司(ADNOC)终止其之前签订的工程，采购和建筑(EPC)合同时，细心的攻击者为攻击方案提供了新的思路。

https://meed.com/adnoc-awards-dalma-gas-project-to-petrofac-and-sapura

自2020年7月以来，我们发现针对中东石油和天然气行业多个供应链相关组织的针对性攻击有所增加。我们发现了以电子邮件附件形式发送的恶意PDF文件的多个实例，并发现被用来向这些组织分发窃取信息的木马文件AZORult。

在此博客中，我们描述了此活动的详细信息，解释了攻击媒介，恶意软件分发策略和威胁归因。

0x01 分发策略

攻击链始于一封电子邮件，该电子邮件似乎来自于ADNOC的一名官员，并且针对的是供应链和中东政府部门的官员。

此攻击活动系列中的每封电子邮件都有一个附件PDF文件。该PDF的首页上包含下载链接，这些链接可通往合法的文件共享站点，例如wetransfer和mega.nz(在其中托管ZIP存档)。ZIP文件包含一个打包的恶意.NET可执行文件，它将解密，加载和执行AZORult木马文件。图1显示了攻击流程。

图1：攻击流程

邮件分析

图2显示了一封电子邮件，该电子邮件伪装成来自ADNOC Sour Gas实验室的高级化学家。

图2：发送给中东供应链行业官员的虚假电子邮件

在所有情况下，电子邮件都是从基于Gmail的地址发送的。在攻击中观察到的两个Gmail地址是：

salessigma87@gmail.com](mailto:salessigma87@gmail.com)

procurment.chefsfirst.com@gmail.com

攻击者还利用了来自Tutanota的匿名电子邮件服务来创建在keemail.me和tuta.io中注册的电子邮件，这些电子邮件活动中也使用了这些电子邮件。

电子邮件附带的PDF文件是多页文件(共14页)，似乎是与ADNOC和多哈机场有关的各种项目的供应合同和法律招标的报价请求(RFQ)。诱饵文件经过精心设计，社工目的非常明显。每个文档的第一页包含使用嵌入式下载链接访问规格和图纸的说明，这些链接会导致下载恶意ZIP文档，如上面的攻击流程所述。

PDF中内容的一些示例包括：

PDF文件名： PI-18031 Dalma Gas Development Project(PackageB)-TENDERBULLETIN-01.pdf

MD5哈希： e368837a6cc3f6ec5dfae9a71203f2e2

图3显示了一个伪装成与Dalma天然气开发项目相关的合法报价请求(RFQ)的PDF。它在右上方带有ADNOC的徽标，并且第一页包含恶意下载链接。

图3：与此攻击相关的PDF中包含的伪造信件

PDF文件名： AHA-QA HAMAD INTERNATIONAL AIRPORT EXPANSION，DOHA.pdf

MD5哈希： abab000b3162ed6001ed8a11024dd21c

图4显示了一个PDF，该PDF伪装成哈马德国际机场多哈扩建计划的报价请求，据推测是来自卡塔尔的供应链贸易承包商。

图4：当地机场扩建项目的虚假询价

0x02 样本分析

攻击者对中东目标特别感兴趣，例如中东供应链中的组织和政府部门，尤其是阿拉伯联合酋长国( UAE)和卡塔尔。

根据电子邮件的目标收件人，电子邮件的内容以及附加的PDF文件，以及元数据和基础结构分析，我们得出结论，这是对中东组织的针对性攻击。

元数据分析

在研究了PDF文件的元数据之后，我们能够发现与同一威胁参与者关联的多个PDF文件。从2020年1月到2020年5月，该分发方法已在野外大量使用。

从2020年7月开始，我们观察到该威胁参与者的活动有所增加，并发起了新的攻击。

PDF文件的元数据表明它们是使用Microsoft Office Word 2013生成的。在所有PDF示例中使用的唯一的作者姓名是：

Donor1

Mr. Adeel

图5显示了带有MD5哈希e368837a6cc3f6ec5dfae9a71203f2e2的PDF文件的元数据示例。

图5：此攻击系列中使用的PDF之一的元数据

附录中提供了此活动中确定的所有PDF样本的完整列表。

基础设施分析

除了电子邮件的内容和用于威胁归因的文档之外，我们还可以从命令与控制(C&C)基础结构中推断出威胁参与者特别选择了与主题融合的C&C服务器。

我们发现的示例中的C&C服务器是crevisoft.net。

在分析时，此域名名解析为IP地址167.114.57.136。我们观察到，当直接访问该域名名时，它将重定向到位于crevisoft.com上的埃及服务咨询公司，如图6所示。

图6：在crevisoft.com上托管的基于中东的合法站点

以下所有四个域名都将重定向到上述域名：

• · crevisoft.net
• · cis.sh
• · crevisoft.org
• · crevisoft.co

有了较高的置信度，我们可以得出结论，该攻击者有兴趣窃取信息并获得对位于中东的供应链相关组织的基础结构的访问权限。

.NET payload的技术分析

出于技术分析的目的，我们将分析带有MD5哈希的.NET二进制文件：84e7b5a60cd771173b75a775e0399bc7

下载的ZIP归档文件中包含的payload是打包和混淆的.NET二进制文件。

基于静态分析，我们可以看到payload伪装成具有欺骗性元数据的Skype应用程序，如图7所示。

图7：主要.NET可执行文件的元数据

执行后，它将解压缩嵌入在资源部分中的另一个payload。图8显示了使用硬编码密钥“ GXR20”解密payload的定制算法。

图8：用于解密第二阶段.NET DLL的子例程

第二阶段

图9显示了解密后的payload，它是一个带有MD5哈希值0988195ab961071b4aa2d7a8c8e6372d和名称Aphrodite.dll的.NETDLL。

图9：解压缩并加载的第二阶段DLL，称为Aphrodite

通过为名为“ Mortiz.Anton”的类创建一个对象以及以下三个参数，将代码执行转移到DLL，如图10所示。

• · ugz1：“ ddLPjs”(位图图像资源的名称)
• · ugz3：“ KKBxPQsGk”(解密密钥)
• · projName：“ Skype”(主要可执行文件的项目名称)

图10：将代码控件传递给Aphrodite DLL

该DLL进一步解压缩另一个二进制文件，该二进制文件作为位图图像嵌入在主要可执行文件的资源部分中，如图11所示。

图11：资源部分内部的位图图像，其中包含下一阶段的payload

与第二阶段(Aphrodite)相似，它也使用自定义算法进行加密。定制算法基于XOR，使用参数ugz3指定的密钥。

第三阶段

最终的解压缩二进制文件是一个带有MD5哈希 ae5f14478d5e06c1b2dc2685cbe992c1和名称Jupiter的.NET DLL。

通过调用其例程之一，将代码控件转移到第三级DLL，如图12所示。

图12：解压缩并加载的名为Jupiter的第三阶段DLL

此第三阶段DLL使用各种方法来检测虚拟化或分析环境的存在。

注册表检查

环境检测：

检查kernel32.dll的导出函数是否包含：wine_get_unix_file_name

基于Windows Management Instrumentation(WMI)的检查：

WMI查询：“ SELECT * FROM Win32_VideoController”

属性：“Description”

检查描述字段中是否存在以下关键字：

· "VM Additions S3 Trio32/64"

· "S3 Trio32/64"

· "VirtualBox Graphics Adapter"

· "VMware SVGA II"

· "VMWARE"

基于DLL名称的检查：

检查进程地址空间中是否存在名称为“ SbieDll.dll”的DLL。

基于用户名的检查：

检查系统用户名是否包含以下字符串之一：

· "USER"

· "SANDBOX"

· "VIRUS"

· "MALWARE"

· "SCHMIDTI"

· "CURRENTUSER"

基于文件名或基于文件路径的检查：

FilePath包含：“ // VIRUS”或“ SANDBOX”或“ SAMPLE”或“ C：\ file.exe”

窗口类检查：

“ Afx：400000：0”

执行完所有上述环境检查后，在主进程的新实例中注入了AZORultpayload(MD5哈希：38360115294c49538ab15b5ec3037a77)。

基于代码执行的流程和所使用的反分析技术，.NET打包的payload似乎是使用CyaX打包程序创建的。有关此打包程序的更多详细信息，请参见此处。

https://rvsec0n.wordpress.com/2020/01/24/cyax-dotnet-packer/

网络通讯

最终的未压缩payloadAZORult将在计算机上执行信息窃取活动，并通过向URL发送HTTPPOST请求来泄露信息：hxxp：//crevisoft.net/images/backgrounds/ob/index.php

经过检查，我们发现在C&C服务器上启用了opendir，如图13所示。

图13：在C&C服务器上启用了Opendir

可以通过以下网址访问C&C服务器上的AZORult面板：hxxp：//crevisoft.net/images/backgrounds/ob/panel/admin.php。

图14：AZORult面板

PHP邮件程序脚本

在C&C服务器上发现的其他组件中，我们发现了一个PHP邮件脚本，部署在 hxxp：// crevisoft [。] net / images/-/leaf.php。

这使攻击者可以使用C&C服务器的SMTP发送电子邮件。

图15：C&C服务器上的PHP邮件脚本

0x03 结论

该攻击者针对中东地区石油和天然气行业供应链行业的员工，像往常一样，用户在突然收到电子邮件时应保持谨慎，即使这些电子邮件似乎与你感兴趣的东西有关，例如可能看起来是相关的项目投标文件。始终警惕嵌入在文件格式(例如PDF)中的链接，因为这些链接可能会导致系统上下载恶意文件。

0x04 MITRE ATT&CK TTP映射

0x05 IOCs