研究人員說(shuō)，我們發(fā)現(xiàn)了一個(gè)正在秘密進(jìn)行的監(jiān)視行動(dòng)，其目標(biāo)是使用一個(gè)以前從未見(jiàn)過(guò)的惡意軟件來(lái)攻擊一個(gè)東南亞國(guó)家的政府。

　　據(jù)Check Point研究公司稱，該攻擊通過(guò)發(fā)送附加了惡意的Word文檔的魚(yú)叉式釣魚(yú)郵件，來(lái)獲得系統(tǒng)的初始訪問(wèn)權(quán)限，同時(shí)也會(huì)利用已知的微軟Office安全漏洞。研究人員說(shuō)，最值得注意的是，我們發(fā)現(xiàn)了一個(gè)新的后門(mén)文件，這個(gè)APT組織三年來(lái)一直在開(kāi)發(fā)這個(gè)后門(mén)。

　　根據(jù)Check Point的分析，這些文件發(fā)給了一個(gè)東南亞政府的不同雇員的郵箱中。在某些情況下，這些電子郵件含有欺詐信息，看起來(lái)像是來(lái)自其他政府的相關(guān)文件。這些電子郵件的附件看起來(lái)像是合法的官方文件，但是實(shí)際上是一個(gè)后門(mén)文件，并會(huì)使用遠(yuǎn)程模板技術(shù)從攻擊者的服務(wù)器上獲得要執(zhí)行的代碼。

　　據(jù)分析，這些惡意文件會(huì)從不同的URL下載同一個(gè)模板，這些模板是嵌入了RoyalRoad weaponizer的。RTF文件，也被稱為8.t Dropper/RTF exploit builder。研究人員說(shuō)，RoyalRoad是幾個(gè)APT的武器庫(kù)的一部分，如Tick、Tonto Team和TA428；它生成的武器化RTF文件實(shí)際上是利用了微軟方程編輯器的漏洞（CVE-2017-11882、CVE-2018-0798和CVE-2018-0802）。

　　根據(jù)分析，RoyalRoad生成的RTF文件包含一個(gè)加密的有效載荷和shellcode。

　　研究人員說(shuō)：“為了從軟件包中解密有效載荷，攻擊者使用密鑰為123456的RC4算法，生成的DLL文件被保存為%Temp%文件夾中的5.t文件，shellcode還負(fù)責(zé)會(huì)話的持久性機(jī)制，它創(chuàng)建了一個(gè)名為Windows Update的計(jì)劃任務(wù)，每天用rundll32.exe運(yùn)行從5.t文件導(dǎo)出的函數(shù)StartW”

　　.DLL文件會(huì)收集受害者計(jì)算機(jī)上的數(shù)據(jù)，包括操作系統(tǒng)名稱和版本、用戶名、網(wǎng)絡(luò)適配器的MAC地址和防病毒軟件信息。所有的數(shù)據(jù)都會(huì)被加密，然后通過(guò)GET HTTP請(qǐng)求方式發(fā)送到攻擊者的命令和控制服務(wù)器上（C2）。之后，后門(mén)模塊會(huì)通過(guò)一個(gè)多級(jí)的攻擊鏈成功安裝，它被稱為 “Victory”。Check Point稱，它似乎是一個(gè)定制的而且非常獨(dú)特的惡意軟件。

　　Victory 后門(mén)

　　該惡意軟件的目的是為了竊取信息并為受害者提供持續(xù)的訪問(wèn)。Check Point研究人員說(shuō)，它可以進(jìn)行屏幕截圖，操縱文件（包括創(chuàng)建、刪除、重命名和讀取文件），收集打開(kāi)的頂級(jí)窗口的信息，并且可以關(guān)閉計(jì)算機(jī)。

　　有趣的是，該惡意軟件似乎與以前開(kāi)發(fā)的工具有關(guān)。

　　根據(jù)分析：“我們?cè)谒阉髟谝暗念愃频暮箝T(mén)文件時(shí)，我們發(fā)現(xiàn)了一組在2018年提交給VirusTotal的文件，這些文件被作者命名為MClient，根據(jù)其PDB路徑，這似乎是一個(gè)內(nèi)部被稱為SharpM的項(xiàng)目的一部分。編譯時(shí)間戳也顯示是在2017年7月和2018年6月之間，在檢查這些文件時(shí)，發(fā)現(xiàn)它們是我們VictoryDll后門(mén)及其加載器的舊版的測(cè)試版本。”

　　該公司表示，主要后門(mén)功能的實(shí)現(xiàn)方式是相同的；而且，連接方法也具有相同的特點(diǎn)。另外，MClient的連接X(jué)OR密鑰和VictoryDll的初始XOR密鑰也是一樣的。

　　然而，據(jù)Check Point稱，兩者在架構(gòu)、功能和命名規(guī)則方面存在明顯的差異。例如，MClient有一個(gè)鍵盤(pán)記錄器，而Victory則沒(méi)有這個(gè)功能。而且，Victory的導(dǎo)出函數(shù)被命名為MainThread，而在MClient變體的所有版本中，導(dǎo)出函數(shù)被命名為GetCPUID。

　　研究人員說(shuō)：“總的來(lái)說(shuō)，我們可以看到，在這三年中，MClient和AutoStartup_DLL的大部分功能都被保留了下來(lái)，并將其分割成了多個(gè)組件，這樣可能是為了使逆向分析更加復(fù)雜，降低惡意文件在每個(gè)階段中被檢測(cè)到的概率”

　　歸屬問(wèn)題

　　Check Point將該攻擊活動(dòng)歸結(jié)為國(guó)內(nèi)的一個(gè)APT。其中的一個(gè)線索是，第一攻擊階段的C2服務(wù)器是由位于香港和馬來(lái)西亞的兩個(gè)不同的云服務(wù)托管的。這些服務(wù)器只會(huì)在每天特定的時(shí)間內(nèi)活躍，只在周一至周五的01:00 - 08:00 UTC返回帶有有效載荷的流量，這與中國(guó)的工作日是相吻合的。此外，Check Point還表示，這些服務(wù)器在5月1日至5日期間處于休眠狀態(tài)，這正是中國(guó)的勞動(dòng)節(jié)假期期間。

　　此外，RoyalRoad RTF漏洞構(gòu)建工具包是國(guó)內(nèi)APT組織的首選工具；一些測(cè)試版本的后門(mén)中包含與www.baidu.com（一個(gè)受歡迎的中國(guó)網(wǎng)站）的網(wǎng)絡(luò)連接檢查。

　　Check Point總結(jié)說(shuō)：“我們公布的似乎是一個(gè)長(zhǎng)期運(yùn)行在國(guó)內(nèi)的攻擊活動(dòng)，該行動(dòng)在三年多的時(shí)間里一直沒(méi)有被發(fā)現(xiàn)。在這次活動(dòng)中，攻擊者利用了一套具有反分析和反調(diào)試技術(shù)的微軟Office漏洞加載器來(lái)安裝一個(gè)以前從未見(jiàn)過(guò)的后門(mén)。”