Operation Layover：针对航空业长达五年的攻击

思科和其他安全公司最近发现了一系列针对航空业的攻击活动，分析都主要集中在隐藏远控木马的加密工具上。

通过 RAT 入手分析攻击者是很好的起点，分析发现这些攻击行动与大约六年前的攻击者有关。思科认为攻击者来自尼日利亚，但并没有自己开发恶意软件的能力，加密工具也是从在线论坛上购买的。

攻击者至少活跃了五年之久，过去的两年里一直针对航空业发起攻击。这些小规模的攻击让攻击者在很长时间里都保持低调，但他们的攻击行动仍然可能会产生重大影响。

航空业

微软发现了使用 AsyncRAT 的新攻击行动，研究发现他们使用的攻击基础设施以某种方式互相关联：

在这次攻击活动中，攻击者使用类似于以下电子邮件作为初始攻击向量：

这些电子邮件包含一个指向托管在 Google Drive 中的 .vbs文件的链接。

研究表明，该攻击者至少从 2018 年开始就针对航空业发起攻击。使用 akconsult.linkpc.net的文件提到了 Trip Itinerary Details和 Bombardier。

AKCONSULT.LINKPC.NET

通过检索字符串 Charter details.vbs发现该域名，这是与 kimjoy.ddns.net域名有关的样本之一。

该域名在 2015 年 7 月 2 日首次出现，攻击者使用了多种远控木马。并且自从 2018 年 8 月开始，样本与该域名的通信表明攻击者正在针对航空业发起攻击。

可以发现，攻击者已经活跃了很长时间。与该域名有关的样本的时间线如下所示：

2013 年 2 月 7 日首次出现的样本是一个包含 .NET 打包程序，该程序执行 RunPE 的三重反射，挖空自身并注入 CyberGate 恶意软件。

Cybergate RAT 的配置参数之一是 NewIdentification。如上所示，使用 Akconsult 作为识别密钥的样本。该参数由恶意软件构建工具定义，以便可以区分多个运算符。攻击者经常使用 Akconsult，用它作为用户名等。

该样本使用的 C&C 域名是 opybiddo.zapto.org，调查发现 AKconsult 与蠕虫创建者之间没有任何关系。

在 2012 年 9 月到 2014 年 5 月期间，所有的样本都使用相同的恶意软件，但具有不同的标识符。在最近的攻击行动中，该域名被用作 AsyncRAT 的 C&C 服务器，攻击者通过托管在 Google Drive 上的 VBS 文件进行分发。该服务器使用 TLS 来加密 C&C 通信，可以使用相同的证书指纹检索服务器。

AsyncRAT 与用于这些活动的同一服务器进行通信，样本可以扩大到超过五十个，对这些样本的分析揭露了另外八个域名。

大多数域名在 2021 年 5 月或 6 月出现，最早的域名似乎只活跃了几天，关联的样本也较少。但是 e29rava.ddns.net始终处于活动状态，有一些样本将其用作 C&C 服务器。

e29rava.ddns.net

6 月初到 7 月下旬对域名的分析显示，该域名至少与 14 个 VBS 文件有关，其名称与航空业明显相关。

该域名几乎专门用于此类活动，其中一些文件名在同一段时间指向上一个列表中的其他域名，这些 VBS 文件是 AsyncRAT 的加密工具。

bodmas.linkpc.net

bodmas也是攻击者用于 Aspire 加密的用户名之一，对相关的样本检索可以发现，在 2018 年 12 月 Nassief 已经购买了加密工具。

其中一个样本与 kimjoy.ddns.net有关，这是与航空业相关的域名之一，其中一个样本包含如下的 PDB 路径：

此路径显示它正在使用 Aspire 加密工具，也与 bodmas.linkpc.net有关。

groups.us.to

有时候分析会发现弱关联的关联关系，有一个域名看起来没有关系，但 IP 地址之间存在重叠。

最早在 2016 年 9 月 24 日出现的与该域名相关的恶意样本是一个简单的批处理文件，该恶意软件使用 Delphi 进行混淆并下载执行另一个恶意软件。

njRAT

接着开始对 Microsoft Publisher 文件进行分析：

这些 Publisher 文件都有相同的来源，最初用于测试的宏代码和后续版本的宏代码。

不论如何，宏代码都会从嵌入恶意文档中的 Microsoft Form 对象中提取数据。

宏代码从 C&C 服务器下载 HTML 文件并使用 mshta，第二阶段是包含 mshta 执行的 VBScript 的 HTML 页面。代码中嵌入了 PowerShell 脚本，经过反混淆处理后如下所示：

测试互联网连通性后，通过 GitHub 下载后续 PowerShell 脚本。包含三个不同的 .NET 压缩代码，第一段代码是修复 AMSI 阻止恶意软件检测：

第二段代码将执行第一个参数的可执行文件，并注入第二个参数的代码。

注入的恶意软件是 njRAT 的变种。

H-WORM

2019 年 12 月 13 日首次出现的恶意文档下载并执行部署在同一域名上的 Payload。

样本包含简单的 chr操作，与域名 groups.us.to通信。

通过对 njRAT 样本的深入研究，发现其中使用 https://satlahlk.github.io/msc/cl.png下载后续样本，这个 GitHub 账户表明攻击者在巴西，njRAT 的函数名称是西班牙语。

攻击者似乎对葡萄牙足球运动员 Cristiano Ronaldo 格外感兴趣，ChRiS 是巴西人和西班牙人对他的缩写。

在 C&C 通信中，使用 @!#&^%$作为字段分隔符。

通过对十六进制数据（0A800600000420391B0000800800000420011400008D）的检索，发现了另外三个样本，它们都与同一个域名有关。

这些样本创建名为 UbboSatlahlk的互斥锁，基于此可以发现七个样本，这些都与相同的域名有关。

进一步搜索可以发现这是西班牙语网络安全论坛上的用户名，这些域名使用的大部分 IP 地址位于多米尼加共和国，该国的官方语言是西班牙语。

这些消息是 2016 年的，与域名首次出现时间相吻合。此外，一个名为 UbboSatlahlk的 Skype 帐户的位置在多米尼加共和国的圣多明各，这进一步揭示了其关系。

攻击者

攻击者最初使用 CyberGate 恶意软件，后使用商业恶意软件。akconsult的早期活动与另一个黑客论坛上的 Nassief2018有关，统一账户还提到在 RAT 中使用 bodmas和 kimjoy作为用户名。

在与用户互动的过程中，用户还透露了他的电子邮件是 [email protected]，Telegram 账户为 pablohop，这都与后来的航空业攻击有关。

而在 Skype 中，该电子邮件地址与 abudulakeem123有关。

地理位置

通过 DNS 遥测查看 akconsult.linkpc.net，大约 73% 的 IP 位于尼日利亚。

其他来源

在 Twitter 上也有其他人研究过，如下所示：

结论

攻击者的技术水平有限，但是从持续攻击多年来看，仍然会产生很大的风险。攻击行动往往更加隐蔽，而经济利益驱使着犯罪分子不会收手。

参考来源

TalosIntelligence

本文作者：Avenger， 转载请注明来自FreeBuf.COM