Silence组织使用恶意CHM文档攻击俄罗斯银行

早在去年11月，我们就曾在一篇文章中提到过利用CHM（Compiled HTML Help，即“编译的HTML帮助文件”）传播恶意代码的行动，对其初步分析后，引起了我们威胁分析和情报团队的兴趣，分析结果显示，此次行动针对的是金融行业，尤其是是俄罗斯联邦和白俄罗斯共和国金融行业的工作人员。此次行动背后的行为者是Silence团伙，这是一个相对较新的威胁团伙，自2016年中期以来一直在运营。到目前为止，我们已确定的被攻击的企业包括：

·NBD Bank Russia：提供零售和商业服务的俄罗斯银行。

· Zapsibkombank（Zapadno-Sibirskiy Kommercheskiy Bank）：西西伯利亚商业银行（WSCB），位于俄罗斯。

· FPB（Finprombank）：同样位于俄罗斯。

· MSP银行（МСПБанк）：专注于为中小企业提供融资的俄罗斯联邦国家银行。

· MT Bank（МТБанк）：Meridian trade Bank，也是唯一一家位于白俄罗斯的实体银行。

图1. 攻击目标分布示意图

此次攻击行动的主要载体就是下图所示的CHM恶意文件。CHM是一种已经有点“过时”的文件格式，但它在过去也有被用于传播恶意代码的成功案例。在此次行动中，CHM除了运行本机OS二进制文件以收集与其目标相关的信息之外，还用于下载属于感染链的组件。

Silence团伙的传播策略

此次攻击利用鱼叉式网络钓鱼电子邮件进行传播，邮件由俄语编写，并带有一个名为“Contract_12112018.Z”（2018年11月12日合同）的压缩附件。

对附件进行解压后，得到一个名为“Contract_12112018”的文件，其内容是银行开户协议，一旦解压就意味着开启了感染过程的第一步。

图2. 附件中的CHM恶意文件和Contract_12112018.chm文件的内容

此邮件会伪造成是由俄罗斯各家银行的官方地址发送的，调查结果显示，大多发送地址都是俄罗斯联邦央行，邮件内容如下：

您好！

我是Skurtov Andrei Vladimirovich，

PJSC FinServisBank银行业务关系主管。

我们可就卢布和其余可兑换货币协商开立及维护代理账户。

希望您能申请。

附件是档案和合同，如感兴趣，请填写并发送给我。

提前谢谢你，静待您的答复。

敬上，

PJSC FinServisBank银行业务关系主管

Nizhny Novgorod region, Sarov, Silkin street, 13

恶意组件

在下图中，我们完整重建了Silence团伙使用的CHM感染链，分为三个主要阶段:

· 下载启动感染链所需的初始有效负载(VBScript)。

· 由受感染计算机上的初始负载执行的活动，并下载主要恶意软件组件。

· 信息收集和传递给C&C。

图3. CHM感染链

编译的HTML帮助文件(contract_12112018.chm)的文件结构类似于超文本页面，需要通过本地Microsoft Windows程序“hh.exe”打开。CHM文件包含一个名为start.htm的文件和恶意payload，一旦CHM文件打开，start.htm便会自动运行，并启动cmd.exe和mshta.exe，从IP为 146.0.72.139处下载恶意VBscript(称为“li”)。这是感染链的第一阶段。

下图详细显示了用于启动mshta、下载并运行恶意VBS文件的命令行:

图4.恶意CHM文件中嵌入的HTM文件的内容

感染链的第二阶段继续执行“li”文件中包含的指令，主要负责:

· 复制一份cmd.exe和PowerShell.exe将它们分别重命名为ejpejpff.com和ejpejpf.com，并将它们保存在%TEMP%文件夹中。

· 调用参数-nop -W hidden -non – interactive -c的ejpejpf.com (Powershell.exe的一个副本):

1.下载Base64编码的“flk”有效负载，并将其保存到%TEMP%文件夹中，格式为“ejpej .txt”，

2.解码并保存为“ejpejp.com”

3.执行“ejpejp.com”

图5.li文件的内容

感染链的第三个也是最后一个阶段，将继续执行“ejpejp.com”，负责:

· 在\ AppData \ Roaming \中将自身复制为conhost.exe，该文件名也是合法的Console Windows Host经常调用的文件名，这么做可能是为了逃避检测

· 将引用添加到HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run作为持久性方法运行

· 运行System Information Discovery

恶意文件的元数据描述为“MS DefenderApplicationController”。

我们已经确认该应用程序是Silence团伙使用的木马变种，该木马负责收集每个受害者电脑的信息，是通过以下4个Windows系统二进制文件进行收集的:

· system.exe：执行“System Information”以收集有关受害者计算机配置和操作系统的详细信息，例如：产品ID，硬件功能和安全信息。

· net.exe：“Net View”用于收集有关局域网的信息以及启动/停止IPv6协议服务。

· whoami.exe：用于获取用户的当前域和用户名。

· ipconfig.exe：用于收集TCP / IP网络配置设置。

所有这些信息都存储在“INFOCONTENT.TXT”文件中，文件保存在％ProgramData％中，并上传到IP 146.0.72.188托管的服务器，该服务器是Silence团伙用于此次行动的C2。 以下是使用ReaQta-Hive重建攻击的详细步骤。

图6.用ReaQta-Hive重构的恶意CHM文件的步骤

具体细节请点击 此处 。

网络基础设施

如上所示，此次攻击行动通过运行本机的几个二进制文件来收集目标银行基础设施的情报。

通信过程使用两个IP地址进行:第一个是146.0.72.139，它是下载攻击链不同部分的直接通道;第二个是通过IP地址146.0.72.188与C2进行通信，将采集到的信息进行过滤。这两个ip都位于荷兰。

图7.恶意的网络请求处理

归因

同往常一样，归因从来都不是一件容易的事，我们想要分享导致我们认为Silence团伙是这次攻击背后的因素:

· 其操作方式和感染载体(CHM)是Silence最新操作的典型特征

· CHM的内部结构是Silence团伙攻击的常见结构

· 下载的二进制文件与Silence使用的二进制文件相匹配(Truebot的变体)

· 鱼叉式网络钓鱼运动中使用的语言也匹配得上

· 目标位于东欧和俄罗斯

· 目标类型(金融机构)与Silence团伙通常选择的目标相匹配

· 在之前Silence团伙的攻击中发现的TTP与此处分析的攻击相匹配

· 这些因素使我们得出结论，Silence团伙（或附属团体）很可能是此次攻击背后的原因。

结论

我们收集的情报显示，这次攻击行动只是冰山一角，其攻击目标仍是主要在俄罗斯境内运作的金融机构。从感染过程、攻击链和操作结构来看，Silence团伙虽然还很年轻，但已经成为一个越来越有组织、越来越危险的银行恶意软件的传播源。

我们的分析是使用ReaQta-Hive进行的:端点可见性和威胁搜索能力是每个旨在降低网络攻击风险的威胁组织的需求。这类威胁显示了攻击者的速度有多快、适应性有多强，而检测、包含和响应的结构化流程对于防止对业务连续性的破坏和中断至关重要。

Mitre Att&ck

· T1193 : Spearphishing Attachment

· T1223 : Compiled HTML File

· T1105 : Remote File Copy

· T1043 : Commonly Used Port

· T1170 : Mshta

· T1036 : Masquerading

· T1059 : Command-Line Interface

· T1086 : Powershell

· T1064 : Scripting

· T1140 : Deobfuscate/Decode Files or Information

· T1060 : Registry Run Keys / Startup Folder

· T1082 : System Information Discovery

IOCs

SHA1 CHM files

· 20055FC3F1DB35B279F15D398914CABA11E5AD9D

· D83D27BC15E960DD50EAD02F70BD442593E92427

· 2250174B8998A787332C198FC94DB4615504D771

· 9D4BBE09A09187756533EE6F5A6C2258F6238773

· D167B13988AA0B277426489F343A484334A394D0

· 26A8CFB5F03EAC0807DD4FD80E80DBD39A7FD8A6

SHA1 Dropped files

· 290321C1A00F93CDC55B1A22DA629B3FCF192101

· 2CD620CEA310B0EDB68E4BB27301B2563191287B

· E5CB1BE1A22A7BF5816ED16C5644119B51B07837

IPs

· 146.0.72.139

· 146.0.72.188