研究人員說，我們發現了一個正在秘密進行的監視行動，其目標是使用一個以前從未見過的惡意軟體來攻擊一個東南亞國家的政府。

據Check Point研究公司稱，該攻擊透過傳送附加了惡意的Word文件的魚叉式釣魚郵件，來獲得系統的初始訪問許可權，同時也會利用已知的微軟Office安全漏洞。研究人員說，最值得注意的是，我們發現了一個新的後門檔案，這個APT組織三年來一直在開發這個後門。

根據Check Point的分析，這些檔案發給了一個東南亞政府的不同僱員的郵箱中。在某些情況下，這些電子郵件含有欺詐資訊，看起來像是來自其他政府的相關檔案。這些電子郵件的附件看起來像是合法的官方檔案，但是實際上是一個後門檔案，並會使用遠端模板技術從攻擊者的伺服器上獲得要執行的程式碼。

據分析，這些惡意檔案會從不同的URL下載同一個模板，這些模板是嵌入了RoyalRoad weaponizer的。RTF檔案，也被稱為8。t Dropper/RTF exploit builder。研究人員說，RoyalRoad是幾個APT的武器庫的一部分，如Tick、Tonto Team和TA428；它生成的武器化RTF檔案實際上是利用了微軟方程編輯器的漏洞（CVE-2017-11882、CVE-2018-0798和CVE-2018-0802）。

根據分析，RoyalRoad生成的RTF檔案包含一個加密的有效載荷和shellcode。

研究人員說：“為了從軟體包中解密有效載荷，攻擊者使用金鑰為123456的RC4演算法，生成的DLL檔案被儲存為%Temp%資料夾中的5。t檔案，shellcode還負責會話的永續性機制，它建立了一個名為Windows Update的計劃任務，每天用rundll32。exe執行從5。t檔案匯出的函式StartW”

。DLL檔案會收集受害者計算機上的資料，包括作業系統名稱和版本、使用者名稱、網路介面卡的MAC地址和防病毒軟體資訊。所有的資料都會被加密，然後透過GET HTTP請求方式傳送到攻擊者的命令和控制伺服器上（C2）。之後，後門模組會透過一個多級的攻擊鏈成功安裝，它被稱為 “Victory”。Check Point稱，它似乎是一個定製的而且非常獨特的惡意軟體。

Victory 後門

該惡意軟體的目的是為了竊取資訊併為受害者提供持續的訪問。Check Point研究人員說，它可以進行螢幕截圖，操縱檔案（包括建立、刪除、重新命名和讀取檔案），收集開啟的頂級視窗的資訊，並且可以關閉計算機。

有趣的是，該惡意軟體似乎與以前開發的工具有關。

根據分析：“我們在搜尋在野的類似的後門檔案時，我們發現了一組在2018年提交給VirusTotal的檔案，這些檔案被作者命名為MClient，根據其PDB路徑，這似乎是一個內部被稱為SharpM的專案的一部分。編譯時間戳也顯示是在2017年7月和2018年6月之間，在檢查這些檔案時，發現它們是我們VictoryDll後門及其載入器的舊版的測試版本。”

該公司表示，主要後門功能的實現方式是相同的；而且，連線方法也具有相同的特點。另外，MClient的連線XOR金鑰和VictoryDll的初始XOR金鑰也是一樣的。

然而，據Check Point稱，兩者在架構、功能和命名規則方面存在明顯的差異。例如，MClient有一個鍵盤記錄器，而Victory則沒有這個功能。而且，Victory的匯出函式被命名為MainThread，而在MClient變體的所有版本中，匯出函式被命名為GetCPUID。

研究人員說：“總的來說，我們可以看到，在這三年中，MClient和AutoStartup_DLL的大部分功能都被保留了下來，並將其分割成了多個元件，這樣可能是為了使逆向分析更加複雜，降低惡意檔案在每個階段中被檢測到的機率”

歸屬問題

Check Point將該攻擊活動歸結為國內的一個APT。其中的一個線索是，第一攻擊階段的C2伺服器是由位於香港和馬來西亞的兩個不同的雲服務託管的。這些伺服器只會在每天特定的時間內活躍，只在週一至週五的01：00 - 08：00 UTC返回帶有有效載荷的流量，這與中國的工作日是相吻合的。此外，Check Point還表示，這些伺服器在5月1日至5日期間處於休眠狀態，這正是中國的勞動節假期期間。

Check Point總結說：”我們公佈的似乎是一個長期執行在國內的攻擊活動，該行動在三年多的時間裡一直沒有被發現。在這次活動中，攻擊者利用了一套具有反分析和反除錯技術的微軟Office漏洞載入器來安裝一個以前從未見過的後門。“

參考及來源：https：//threatpost。com/victory-backdoor-apt-campaign/166700/