Joohn是谁：Sofacy组织（APT28）全球活动情况分析

概述

正如我们之前在分析Cannon工具的文章中所提到，Sofacy组织（也称为Fancy Bear、APT28、STRONTIUM、Pawn Storm、Sednit）从2018年10月中旬到2018年11月中旬期间，持续攻击了世界各地的政府和组织机构。他们所针对的大多数目标都是北约中的国家，当然还有一些前苏联国家。这些攻击主要通过部署Zzebrocy工具变种来实现。正如ESET之前报告的，交付文档中包含Cannon或Zebrocy Delphi变种。自从我们在2015年年中开始追踪Zebrocy以来，我们发现该 工具 的部署频率显著增加。与Sofacy组织的其他后门工具相比，Zebrocy在攻击活动中的使用范围要更加广泛。

我们在这篇文章中，主要围绕着每个交付文档中共同的作者名称Joohn进行分析。我们最开始分析的样本，是以crash list(Lion Air Boeing 737).docx为文件名的交付文档，其中包含恶意Zebrocy工具。通过利用我们的AutoFocus威胁情报平台，以及从VirusTotal收集的数据，我们可以从其元数据和行为中发现Cannon工具的痕迹，以及其他许多交付文档、Payload和目标。所有这些攻击的媒介似乎都是鱼叉式网络钓鱼，攻击者使用注册在合法电子邮件提供商的电子邮件帐户，而没有使用具有迷惑性的电子邮件地址或此前被入侵的帐户。这些邮箱帐户的名称看起来类似于合法的政府组织名称，或其他受信任的第三方实体。交付文档的功能完全相似，使用Microsoft Word中的远程模板功能，在第一阶段从C&C检索恶意宏，并加载和执行Payload。大多数交付文档都包含一个通用的诱导图像，要求受害者启用宏，攻击者似乎仅仅依靠文件名来诱导受害者启动恶意文档。

我们截获了2018年10月17日至2018年11月15日期间的9个武器化文档，这些文档的作者都是Joohn，并且这些文档中都包含Zebrocy或Cannon恶意软件的变种。被感染用户的范围横跨四大洲，上至联邦机构，下至地方政府，都在被感染的范围之中。此外，我们还使用收集到的数据进行了时间轴分析，从而更加清楚地看到Sofacy组织在Dear Joohn恶意活动中如何开展他们的攻击，以及如何使用自动化工具来执行攻击。

攻击细节

从2018年10月17日开始，我们共收集到9份交付文档，这些文档被发送到世界各地的众多组织，其中包括北美的外交事务组织、欧洲的外交事务组织以及前苏联国家的政府实体。我们还发现了疑似针对全球执法机构发动攻击的证据，包括北美、澳大利亚和欧洲。我们的监测还显示了该恶意组织疑似针对非政府组织、营销公司和医疗行业组织发动攻击。这些攻击的媒介都是鱼叉式网络钓鱼，使用在电子邮件提供商Seznam注册的免费邮箱发送恶意邮件。Seznam是一家位于捷克的大型网络服务提供商。

在此次活动中，Sofacy组织依靠文件名来诱导受害者打开武器化文档。文档的文件名涉及英国脱欧、狮航飞机坠毁、以色列火箭袭击等热点事件。我们搜集到的完整文件名列表可在下文中看到。尽管文件名具有高度针对性，并且与受害者相关，但文档的实际诱导内容是通用的，如下图所示。

2018年11月，恶意组织改变了战术，开始将武器化文档改为非通用式的诱导内容。我们收集了3个主要针对北约国家发动攻击的样本，它们使用了3种不同的诱导方式，如下图所示。

在其中的一份文档中，攻击者向受害者提供了一份经过模糊处理后的文件，其中包含北约EOD印章和文字说明，暗指目标国家。在解压缩并打开文档后，可以看到未经模糊处理的图像与北约研讨会相关。其中的两个文件之间非常相似，都是首先显示乱码的文本，然后指导受害者如何正确查看文件。有趣的是，其中的一个文件中包含俄语的说明，这可能表明其针对的目标是使用俄语的国家。

这些武器化文档都使用相同的策略发动攻击。在打开文档后，利用Microsoft Word中的功能检索远程模板，并加载恶意宏文档，如下图所示。

如果C&C服务器在打开文档时处于活动状态，那么将成功检索到恶意宏，并将其加载到同一个Microsoft Word会话中。然后，与任何恶意宏文档一样，受害者将看到“启用内容”的提示，如下图所示。如果此时C&C服务器没有处于活动状态，那么下载将会失败，受害者不会收到“启用内容”的提示，也不会下载恶意宏。

归类

在10月和11月期间使用的交付文档之间存在大量相似之处，如下表所示，这样就能让我们将这些活动拼凑在一起。最值得注意的是，作者名称Joohn在每份交付文档中反复使用。在11月收集到的文档中，尽管最后一次修改者的名称为Joohn，但创建者变成了默认的USER用户。

上述交付文档检索到的远程模板文档，也具有相同的作者名称，即xxx。下表展示了此次攻击活动中交付文档下载的远程模板。在本报告中的表格和文本中，为了提高可读性，我们只给出了SHA256哈希值的前几位，完整的哈希值和元数据请在这里查询CSV文件（ https://github.com/pan-unit42/iocs/blob/master/dearjoohn/dearjoohn_iocs.csv ）。

如上面表格所示，交付文档从4个C&C服务器访问其各自的远程模板，C&C副武器的IP地址如下：

185.203.118[.]198

145.249.105[.]16

188.241.58[.]170

109.248.148[.]42

这些初始C&C IP地址不仅托管了随后加载第一阶段Zebrocy或Cannon Payload的远程模板，还托管了第一阶段Payload本身。在Dear Joohn恶意活动中，使用的所有C&C服务器都是基于IP地址的，并且这些IP地址与此前Zebrocy或Sofacy恶意活动中使用的IP没有重复或相关性。Dear Joohn恶意活动的直观示意图如下所示。

我们根据收集到的数据，创建恶意活动的时间表，发现有两次集中的攻击活动，分别集中在10月中下旬和11月中旬，如下图所示，其时间戳如下表所示。

根据我们获得的时间戳，最初在2018年9月11日 04:22（UTC）创建了四份交付文档。然后，在2018年10月13日 08:21对这四个文件进行了修改。此次改动将三个不同的C&C位置嵌入这些交付文档之中，从而可以指示使用自动化工具，经过改动后的交付文档的时间戳仍然完全相同。使用基于命令行的渗透测试工具包（例如Phishery）可以允许攻击者利用简单的脚本，使用不同的输入同时生成多个文档。从文档编辑完成，到这些文档首次出现在野外，平均有2周的时间间隔。总体来说，这四份文档从最初创建到发动攻击，平均需要经过46天。基于Dear Joohn恶意活动中模块化攻击的特点，以及从最初创建到实际发动攻击经历的漫长时间，我们认为Payload或基础架构还需要额外的开发，并不能直接进行部署。另外一种可能的情况是，攻击者可能已经有了自己的攻击计划，希望在特定的时间范围内执行攻击，时间线可以佐证这一推断，他们有两次集中的攻击活动，一次发生在2018年10月中下旬，另一次是2018年11月中旬。随着恶意活动的推进，Dear Joohn恶意活动的节奏不断加快，从文件创建到首次在野外发现的时间间隔降至平均2天。

我们将交付文档的时间戳与远程模板文档的时间戳进行比较，发现攻击时间与最后一次修改模板的时间直接相关。平均而言，运营者最后一次修改模板文档到首次在野外观察到交付文档之间的时间间隔为13.8小时。这样一来，我们相信交付文档确实是分阶段来生成的，首先是创建初始文档，然后对其进行修改从而可以与C&C服务器通信，最后在实际发起攻击前生成远程模板文档。

但是，借助于时间戳的分析并不一定是真实的。例如，文件名为Rocket attack on Israel.docx（SHA256：34bdb5b364…）的文档中就包含相互矛盾的创建时间和最后一次修改时间。根据时间戳，其创建时间位于最后一次修改时间之后。针对这种情况，一种可能的解释就是文档被复制到系统时间设置不正确的另一个系统上，然后以不正确的时间保存。该文档也是11月中旬的攻击中所使用的以USER用户创建、以Joohn用户修改的文件之一，这个情况进一步支持了我们的推断。

Payload

攻击活动中的交付文档负责加载远程模板，远程模板中的恶意宏负责安装第一阶段的Payload变种。除了Cannon工具之外，第一阶段中还利用了Zebrocy木马的几乎所有变种。这一恶意活动中提供的Zebrocy变种，是以几种不同的语言编写而成的，其中包括Delphi、C#和VB.NET。有关第一阶段Payload的具体信息，如下表所示。

在此次攻击活动中所使用的Zebrocy的Delphi变种，与我们之前在2018年6月发表的Zebrocy分析文章中提及的Delphi下载工具非常相似。尽管这个Delphi变种是已知的，但此次活动中另外使用的C#和VB.NET版本都是未知的。关于这些Payload，有一个值得注意的地方是，Delphi编写的所有Payload都使用UPX进行了加壳，而其他Payload则没有进行加壳。尽管我们只能推测，但我们怀疑其原因是，只有Zebrocy的Delphi变种已知并且已经被研究人员广泛分析，所以Sofacy可能只想对Delphi进行加壳，从而增大成功逃避检测的几率。

通过收集和分析其他Cannon样本，我们相信我们还发现了一个使用Delphi编写的Cannon变种。我们已经发现Sofacy使用多种语言来编写Zebrocy木马的变种，那么显然恶意组织也可以使用多种编程语言来编写Cannon的其他变种。

C#版本Cannon分析

从我们最初对Cannon恶意软件进行分析以来，我们就在持续收集Cannon的样本，以便更好地了解它的起源。目前来看，第一个已知的Cannon样本是在2018年4月18日创建的，从此之后至少有7个样本产生。下表中展示了已知的Cannon样本、编译时间以及用于C&C通信的电子邮件账户。

正如我们在最初的分析文章中提到的那样，控制C&C的电子邮件地址是sahro.bella7[at]post.cz，但以前所有的Cannon样本都使用了sym777.g[at]post.cz。此外，所有以前的Cannon样本都是用了kae.mezhnosh的帐户名来接收来自被感染计算机的电子邮件，同时使用帐户vebek.morozh30、g0r7tsa45s和marvel.polezha向被感染计算机发出电子邮件。

正如我们之前对Cannon的分析中所说，该工具使用POP3S协议登录到电子邮件帐户，并检查具有特定文件名的电子邮件，将该文件保存到系统中并运行。我们分析的原始样本查找了一个名为auddevc.txt的附件，但其他Cannon样本查找了以下文件名：

·wmssl.txt

· audev.txt

Delphi版本Cannon分析

在寻找其他Cannon样本的过程中，我们发现了另一个使用电子邮件进行C&C通信的工具。该工具的文件名同样为wmssl.txt，是一个可执行文件，Cannon将会移动wmssl.txt附件，修改文件名，并执行辅助Payload。初步分析表明，该文件可能与Cannon原始工具有微妙的联系。然而，在我们收集了Delphi Cannon的其他样本后，我们发现了另外的关联性。下表中具体展示了我们收集的Delphi Cannon样本，包括样本215f7c08c2…，该样本与ESET研究中所分析的木马非常相像。

上表中的编译时间表明，Cannon的Delphi变种早于最初发现的Cannon版本，第一个已知的Delphi样本是在2018年1月编译的，而第一个已知的Cannon样本是在2018年4月编译的。Cannon的Delphi变种不使用合法Web邮件服务商提供的电子邮件帐户进行C&C通信，而是使用攻击者拥有的域名ambcomission[.]com作为邮件服务器。通过这一域名，我们可以追溯到ThreatConnect报告的更广泛的Sofacy恶意活动。尽管Delphi Cannon使用了POP3S和SMTPS作为其C&C通信的方式，但显然使用攻击者自行创建的域名能更加有效，因为Seznam这样的合法电子邮件提供商可以轻易封锁攻击者的邮箱帐户。

目前已知最早的Delphi变种样本（SHA256：5a02d4e5f6…），为我们展现出了Delphi Cannon和Cannon之间更强大的关联性，因为这个样本会收集系统信息，并将其发送到C&C邮箱地址，其中包含正在运行的进程的路径，会将其附加到RunningPlace字符串中。下图所展示的Cannon样本（SHA256：4405cfbf28…）中的inf方法，展示了通过电子邮件收集到C&C服务器的信息，特别是RunningPlace和LogicalDrives头部字符串：

当我们比较两个Cannon变种时，我们在Delphi Cannon样本（SHA256：5a02d4e5f6…）中找到了一个方法，展现出使用Running place和Logical_Drivers作为头部字符串，收集信息并通过电子邮件的方式发送到C&C服务器。尽管这两个字符串名称不完全相同，但下图中展现了这些类似的头部字符串，并验证了我们的假设，即两个变种确实相关：

如本章最开始的表格所示，有一个Delphi Cannon样本（SHA256：cac630c11c…）没有任何关联的电子邮件地址，因此该样本似乎没有任何C&C相关功能。相反，该样本会从名为ta.bin的文件中读取“tasks”（任务），然后另一个未知工具负责写入并处理C&C功能。同样值得注意的是，这个特定的样本具有相同的资源名称（L30），其中包含与表格中其他样本相同的加密电子邮件地址，使用了[email protected][.]com 作为C&C邮箱（与ecc5805898…相同），但却不包含任何访问资源或解密其内容的代码。

VB.NET版本Zebrocy变种分析

VB.NET变种（SHA256：e5aece694d…）与其他的Zebrocy变种非常相似。其中包括用于C&C信标的存储卷序列号，使用Scripting.FileSystemObject对象从Environment.SpecialFolder.LocalApplicationData中存储的路径调用GetDriveName。然后，使用从GetDriveName函数获取的存储卷，并调用GetDrive来获取存储设备的SerialNumber（序列号）。然后，VB.NET变种通过运行以下命令来收集系统信息并运行其他Zebrocy变种：

systeminfo & tasklist

将系统信息、运行进程和屏幕截图发送到C&C服务器的URL形式如下：

hxxp://109.248.148[.]42/agr-enum/progress-inform/cube.php?res=[序列号]

Zebrocy的VB.NET变种使用对上面URL的HTTP POST请求来传输收集的数据，其中包含HTTP POST数据，其结构如下（注意&符号，及其前后的空格）：

data=[系统信息和运行中进程] & arg=[BMP格式的屏幕截图]

C#版本Zebrocy变种分析

Zebrocy的C#变种在功能上与其他变种类似，但也有一些值得讨论的独特之处。与其他Zebrocy工具一样，C#变量收集存储卷序列号，并将其用于C&C服务器的出站信标。在这一变种中，恶意软件使用了Windows API函数GetVolumeInformation来获取C盘的序列号。Zebrocy的这一变种还以JPEG格式保存屏幕截图，并传输到C&C服务器上。

除了使用的编程语言不同之外，Zebrocy的这一变种还有一点最显著的不同之处，就是收集系统信息和运行中进程的方式。C#版本的Zebrocy使用WMI查询来收集这一信息，而不再使用systeminfo和tasklist命令。该工具运行以下WMI查询列表：

wmic logicaldisk get Caption, Description,VolumeSerialNumber,Size,FreeSpace
wmic diskdrive get Model, SerialNumber
wmic computersystem get Manufacturer, Model, Name, SystemTypec
wmic os get Caption, OSArchitecture, OSLanguage,SystemDrive,MUILanguages
wmic process get Caption,ExecutablePath

将系统信息、运行进程和屏幕截图发送到C&C服务器的URL形式如下：

hxxp://145.249.105[.]165/resource-store/stockroom-center-service/check.php?fm=[序列号]

Zebrocy的C#变种使用对上面URL的HTTP POST请求来传输收集的数据，其中包含HTTP POST数据，其结构如下：

spp=[通过WMI查询获取的系统信息] &spvg=[JPEG格式的屏幕截图]

总结

Sofacy组织持续使用类似的策略和技术，不断攻击全球范围内的组织。我们观察到，该恶意组织在2018年10月底到11月期间，通过鱼叉式网络钓鱼电子邮件进行攻击，并经常利用文件名中包含的热点事件来诱导收件人打开恶意附件。该恶意组织很明显倾向于使用Zebrocy这样简单的下载工具来投递第一阶段的Payload。该恶意组织不断开发使用VB.NET语言和C#语言编写的Zebrocy新变种，并且根据判断，他们在此前的攻击活动中也使用了Cannon工具的不同变种。

IoC

交付文档哈希值

·2cfc4b3686511f959f14889d26d3d9a0d06e27ee2bb54c9afb1ada6b8205c55f

· c20e5d56b35992fe74e92aebb09c40a9ec4f3d9b3c2a01efbe761fa7921dd97f

· abfc14f7f708f662046bfcad81a719c71a35a8dc5aa111407c2c93496e52db74

· 40318f3593bca859673827b88d65c5d2f0d80a76948be936a60bda67dff27be9

· 5749eb9d7b8afa278be24a4db66f122aeb323eaa73a9c9e52d77ac3952da5e7d

· af77e845f1b0a3ae32cb5cfa53ff22cc9dae883f05200e18ad8e10d7a8106392

· 34bdb5b364358a07f598da4d26b30bac37e139a7dc2b9914debb3a16311f3ded

· 79bd5f34867229176869572a027bd601bd8c0bc3f56d37443d403a6d1819a7e5

· 77ff53211bd994293400cb3f93e3d3df6754d8d477cb76f52221704adebad83a

远程模板哈希值

· f1e2bceae81ccd54777f7862c616f22b581b47e0dda5cb02d0a722168ef194a5

· 86bb3b00bcd4878b081e4e4f126bba321b81a17e544d54377a0f590f95209e46

· 2da5a388b891e42df4ed62cffbc167db2021e2441e6075d651ecc1d0ffd32ec8

· 0d7b945b9c912d205974f44e3742c696b5038c2120ed4775710ed6d51fbc58ef

· fc69fb278e12fc7f9c49a020eff9f84c58b71e680a9e18f78d4e6540693f557d

· ed8f52cdfc5f4c4be95a6b2e935661e00b50324bee5fe8974599743ccfd8daba

· b9f3af84a69cd39e2e10a86207f8612dd2839873c5839af533ffbc45fc56f809

远程模板URL

· hxxp://188.241.58[.]170/live/owa/office.dotm

· hxxp://185.203.118[.]198/documents/Note_template.dotm

· hxxp://185.203.118[.]198/documents/Note_template.dotm

· hxxp://145.249.105[.]165/doc/temp/release.dotm

· hxxp://145.249.105[.]165/messages/content/message_template.dotm

· hxxp://188.241.58[.]170/version/in/documents.dotm

· hxxp://109.248.148[.]42/officeDocument/2006/relationships/templates.dotm

· hxxp://109.248.148[.]42/office/thememl/2012/main/attachedTemplate.dotm

· hxxp://109.248.148[.]42/office/thememl/2012/main/attachedTemplate.dotm

Zebrocy哈希值

· 5173721f3054b92e6c0ff2a6a80e4741aa3639bc1906d8b615c3b014a7a1a8d7

· 61a1f3b4fb4dbd2877c91e81db4b1af8395547eab199bf920e9dd11a1127221e

· 6ad3eb8b5622145a70bec67b3d14868a1c13864864afd651fe70689c95b1399a

· 9a0f00469d67bdb60f542fabb42e8d3a90c214b82f021ac6719c7f30e69ff0b9

· b41480d685a961ed033b932d9c363c2a08ad60af1d2b46d4f78b5469dc5d58e3

· c91843a69dcf3fdad0dac1b2f0139d1bb072787a1cfcf7b6e34a96bc3c081d65

· e5aece694d740ebcb107921e890cccc5d7e8f42471f1c4ce108ecb5170ea1e92

Zebrocy C&C URL

· hxxp://188.241.58[.]170/local/s3/filters.php

· hxxp://185.203.118[.]198/en_action_device/center_correct_customer/drivers-i7-x86.php

· hxxp://145.249.105[.]165/resource-store/stockroom-center-service/check.php

· hxxp://109.248.148[.]42/agr-enum/progress-inform/cube.php

Cannon哈希值

· 861b6bc1f9869017c48930af5848930dd037fb70fc506d8a7e43e1a0dbd1e8cb

· 4405cfbf28e0dfafa9ea292e494f385592383d2476a9c49d12596b8d22a63c47

· 174effcdeec0b84c67d7dc23351418f6fa4825550d595344214cc746f1a01c1a

· a23261e2b693750a7009569df96ec4cf61e57acc9424c98d6fe1087ff8c659ce

· 651d5aab82e53711563ce074c047cbaa0703931673fa3ad20933d6a63c5c3b12

· 68df0f924ce79765573156eabffee3a7bb0fa972d2b67d12dd91dea3ec255d24

· 61a1f3b4fb4dbd2877c91e81db4b1af8395547eab199bf920e9dd11a1127221e

· 5a02d4e5f6d6a89ad41554295114506540f0876e7288464e4a70c9ba51d24f12

· d06be83a408f4796616b1c446e3637009d7691c131d121eb165c55bdd5ba50b4

· 78adc8e5e4e86146317420fa3b2274c9805f6942c9973963467479cb1bbd4ead

· 054c5aa73d6b6d293170785a82453446429c0efc742df75979b760682ac3026b

· cac630c11c4bf6363c067fbf7741eae0ec70238d9c5e60d41f3ed8f65b56c1d1

· ecc5805898e037c2ef9bc52ea6c6e59b537984f84c3d680c8436c6a38bdecdf4

· 215f7c08c2e3ef5835c7ebc9a329b04b8d5215773b7ebfc9fd755d93451ce1ae

Cannon相关邮箱地址

· sym777.g[at]post.cz

· kae.mezhnosh[at]post.cz

· vebek.morozh30[at]post.cz

· g0r7tsa45s[at]post.cz

· marvel.polezha[at]post.cz

· sahro.bella7[at]post.cz

· trala.cosh2[at]post.cz

· Bishtr.cam47[at]post.cz

· Lobrek.chizh[at]post.cz

· Cervot.woprov[at]post.cz

· heatlth500[at]ambcomission[.]com

· trash023[at]ambcomission[.]com

· trasler22[at]ambcomission[.]com

· rishit333[at]ambcomission[.]com

· tomasso25[at]ambcomission[.]com

· kevin30[at]ambcomission[.]com