灵猫”组织针对中东地区的攻击活动分析报告

1.概述

“灵猫”组织（又名Moonlight、Molerats、Gaza Hackers Team、Gaza Cybergang）是一个来自加沙地区的APT攻击组织，其最早的攻击活动时间可追溯至2012年。国外安全厂商ClearSky曾在2016年所发的“Operation DustySky”报告[1]中指出该组织的背后为哈马斯（伊斯兰抵抗运动组织的简称）。

安天CERT从2020年10月份开始陆续捕获到“灵猫”组织针对中东地区进行攻击的样本，在本次攻击活动中“灵猫”组织使用的工具更为丰富，不仅包括在既往活动中使用的通过ENIGMA打包的Spark恶意软件，还有在此前未发现被使用的.NET框架的MoleStage 恶意软件，以及自研的Python后门恶意软件MoleCloud。其中MoleCloud网络通讯全程利用正常网站的信息发布和存储服务进行指令交互、窃密数据上传和下载文件执行，通过利用合法的Web服务，MoleCloud在抵达端点后可以在流量侧隐匿自身的攻击活动，若未被端点侧安全产品发现，则MoleCloud将能长期潜伏于目标端点中。

2.攻击活动分析

“灵猫”组织近期攻击活动的主要手法为向目标人群投递含有恶意代码的下载链接PDF文件，下载链接指向Dropbox或Google Drive的网盘空间的存储地址。攻击者通过PDF文件的正文内容，诱导用户下载其他压缩包，以及执行压缩包中的可执行文件。对于压缩包中的可执行文件，攻击者在文件名上使用了一定社工欺骗技巧。其中压缩包所包含的恶意软件主要为通过ENIGMA打包的Spark恶意软件、MoleStage恶意软件以及自研的Python后门恶意软件MoleCloud。相关攻击流程如图2-1所示：

图 2-1“灵猫”组织相关攻击流程图

图 2-2 MBS-Israel.pdf正文内容

图 2-3 MOM压缩包内文件

在本次攻击活动中，“灵猫”组织投递的诱饵PDF文件及恶意软件主题与哈马斯内部选举、今年11月份沙特阿拉伯王储穆罕默德·本·萨勒曼（Mohammed bin Salman）与以色列总理本雅明·内塔尼亚胡（Benjamin Netanyahu）的会谈以及与美国国务卿迈克·蓬佩奥（Mike Pompeo）在沙特阿拉伯的会谈内容有关[2]。

表 2-1 文件名的社工技巧

3.恶意代码分析

3.1 MoleStage

在本次的攻击活动中，“灵猫”组织使用的.NET框架后门恶意软件均以“Stage_One”作为命名空间名称，根据这一特征，安天CERT将该恶意软件命名为“MoleStage”。

表 3-1 MoleStage Backdoor

安天先后捕获到多个不同版本的MoleStage，其早期的MoleStage是通过一个伪装成Office文件的Dropper释放，而后续版本则直接被攻击者伪装成Office文件。截至目前，安天CERT发现最早样本的编译时间为2020-09-12 07:31:17+00: 00，而最近的为2020-11-18 08:51:19+00:00。

表 3-2 MoleStage样本标签

MoleStage后门木马的主要功能包括：屏幕截图、下载文件、运行文件、解压文件、上传文件、获取指定路径的文件信息、执行远程Shell、对自身进行持久化等功能。相关功能对应的代码片段如下：

1. 屏幕截图：该后门木马会对宿主机进行截屏操作，同时将截屏文件保存至宿主机%temp%目录下。

图 3-1 截屏且将截屏文件保存至%temp%目录下

图 3-2 截屏且保存至指定路径

2. 判断受害者是否符合目标人群：该后门木马主要通过判断宿主机的键盘布局是否为阿拉伯键盘来确认当前受害者是否属于目标人群，如果是，则将变量“startloop”设为“true”，反之将其设为“false”。

图 3-3 判断宿主机的语言环境是否为阿拉伯语

3. 检验主URL连通性：该后门木马通过“Startupdate”函数的循环调用来接收、执行C2服务器命令，当该后门木马首次进行循环时，会通过创建IE实例以及WebBrowser控件来访问URL进行检验主URL存活。

图 3-4 Startupdate函数

图 3-5 变量UrlCheck

图 3-6 通过IE实例访问URL

图 3-7 通过WebBrowser控件访问URL

4. 收集宿主机信息并回传：当该后门木马确认受害者属于目标人群，则开始向C2服务器发送宿主机的机器名、用户名等信息。同时该后门木马会存有一条备用的URL，当不能通过主URL跟C2服务器进行通信时，该后门木马就会尝试通过备用URL跟C2服务器进行通信。如果备用URL可以正常使用，则在后续的通信中该后门木马会一直使用备用URL。

图 3-8 初始化Http Client

图 3-9向C2服务器发送宿主机信息

5. 获取Dropbox API密钥以及自身持久化：C2服务器的命令为“Startup”时，则接收Dropbox API密钥，同时将自身拷贝至自启动目录且命名为“Desktops.exe”进行自身持久化；C2服务器的命令为“access_token”时，则只接收Dropbox API密钥；若C2服务器无任何命令，说明C2服务器未响应宿主机的请求，则只能随机休眠50-60s后进入循环直至获取到C2服务器响应消息。

图 3-10获取Dropbox API密钥

图 3-11将自身拷贝至自启动目录且命名为“Desktops.exe”

6. 设置工具路径及下载指定工具：该后门木马会获取压缩包、命令行程序所在路径，以便后续利用这些工具。若工具不存在，则连接Dropbox网盘下载相关工具，且下载完成后会通知服务器下载结果。

图 3-12 设置Rar、Cmd、Powershell以及WMIC的路径

图 3-13 下载指定文件至指定路径，且下载成功后向C2服务器发送消息

7. 执行远程Shell：该后门木马会执行C2服务器下发的Shell命令，执行成功后会将执行的结果返回至C2服务器。

图 3-14 选择命令行工具执行命令

图 3-15 执行远程shell

图 3-16 将执行结果发送至C2服务器

8. 下载文件至指定路径：该后门木马可通过C2服务器发送的下载地址和Dropbox网盘下载文件，下载完成会向C2服务器返回下载结果。

图 3-17 下载指定文件

9. 解压下载的文件：通过C2服务器发送的密码对下载的文件进行解压。

图 3-18解压指定文件

图 3-19解压文件

10. 运行文件：该后门木马会通过“RunFile”函数运行解压后的的文件。

图 3-20 运行“strpath”列表中的文件

图 3-21 运行指定路径的文件

11. 获取指定路径的文件列表：当该后门木马成功获取到指定路径的文件夹列表后，其会将获取到的信息返回至C2服务器。

图 3-22 获取指定路径的文件列表

图 3-23 将获取的文件列表发送至C2服务器

12. 上传指定路径的文件：该后门木马首先会在Dropbox网盘中创建文件夹，创建完成后，会开始将宿主机中攻击者指定路径的文件上传至Dropbox网盘新创建的文件夹中，上传完成后会向C2服务器发送成功消息。在上传文件时，如果文件的大小超过4MB，则通过“ChunkUpload”函数分块上传。

图 3-24 在Dropbox网盘中创建指定文件夹

图 3-25 获取指定路径文件并上传至Dropbox

图 3-26 上传文件至Dropbox函数

图 3-27 分块上传

图 3-28 上传成功后向C2服务器发送消息

3.2 MoleCloud

“MoleCloud”是使用Python语言编写且通过PyInstaller打包成EXE的后门程序，其与MoleStage恶意软件一样均利用Dropbox网盘上传窃取的文件以及下载后续攻击中所使用的工具、恶意软件。

MoleCloud主要功能均为常见后门功能，主要为：收集并上传宿主机信息、通过攻击者创建的Facebook、SimpleNote账号获取Dropbox密钥以及攻击者的命令、执行攻击者的命令以及通过Dropbox网盘下载文件。

表 3-3 Talking points for meeting.exe

对MoleCloud后门木马具体的分析如下：

1. 检查宿主机是否安装有“WINRAR”软件以及是否符合攻击目标：

当该后门木马被受害者激活后，首先会检查压缩软件“WINRAR”是否存在宿主机，如果存在就继续运行，反之则直接退出程序。检查“WINRAR”软件存在的目的，可能是该后门木马在后续的操作中需要利用“WINRAR”对窃取的文件进行压缩，方便将窃取到的文件上传至Dropbox。其次，该后门木马会通过获取到的LCID Language ID判断受害者是否为本次攻击活动的目标人群，如果是则继续运行，反之则退出运行。

图 3-29 初始化变量

图 3-30 判断受害者是否为目标人群

通过对后门木马所设定的LCID Language ID进行分析，可以发现该后门木马本次攻击的目标为阿拉伯世界国家，例如：利比亚、沙特阿拉伯、卡塔尔、阿联酋、伊拉克、埃及以及叙利亚等国家。具体的LCID Language ID对应的语言和国家如表3-4所示：

表 3-4 LCID Language ID对应的语言和国家

2. 获取Dropbox API密钥：

当受害者为攻击目标，该后门木马便会通过Facebook以及SimpleNote服务获取攻击者的Dropbox API密钥，该Dropbox API密钥通过“#**#”字符标记，后门木马会通过find_between函数提取Dropbox API密钥。

图 3-31 获取Dropbox API密钥

图 3-32 find_between函数

图 3-33 攻击者Facebook账号上所存储的Dropbox API密钥

3. 上传受害者信息：

当成功获取到Dropbox API密钥，该后门木马会将获取到的宿主机已安装软件以及桌面文件信息写入%USERPROFILE%\info.txt文件，同时该后门木马会将info.txt上传至攻击者的Dropbox中并以宿主机的用户名为文件名来区分受害者。

图 3-34 将获取到的信息上传至攻击者的Dropbox

4. 通过Facebook、SimpleNote获取攻击者的命令：

 该后门木马会通过访问Facebook以及SimpleNote服务来获取攻击者所发出的命令，攻击者发出的命令同样由“#**#”字符包裹。通过对攻击者创建用户名为“Yora Stev”的Facebook账号进行的一段时间观察，直至目前所能观测到攻击者发出的命令如表3-5所示。

图 3-35 获取攻击者的命令

图 3-36 执行攻击者命令

图 3-37 攻击者发出的命令

表 3-5 目前观测到的攻击者，命令与对应的功能

5. 下载攻击者指定的文件：

该后门木马会连接攻击者的Dropbox网盘下载、运行攻击者指定的文件。

图 3-38 下载、运行攻击者指定的文件

在攻击者Dropbox网盘中储存的文件中，有一个文件名为“proshear”文件夹的加密压缩包。初步猜测压缩包中可能为其他恶意软件，其可能会被攻击者通过MoleCloud下发至受害者机器，同时下发命令对该压缩包进行解密并执行。攻击者Dropbox中所储存的恶意软件文件如表3-6所示：

表 3-6 攻击者Dropbox中所储存的恶意软件文件

与此同时，该网盘中还储存着疑似来自被攻击者方的相关信息。

图 3-39 疑似被攻击方机器桌面文件与软件信息

由于阿拉伯语是从右往左书写的，所以在利用翻译工具对阿拉伯语进行翻译时，翻译工具会自动将阿拉伯语排列成从右向左的阅读形式。

图 3-40 疑似被攻击方机器桌面的文件列表的对比翻译结果

4.威胁框架视角的攻击映射图谱

在使用ATT&CK框架对“灵猫”组织在本次攻击中所使用的技术进行总结时，安天采用的是最新版本的ATT&CK框架。在最新版本ATT&CK框架中，战术阶段由原来的12个变成了14个，增加了侦察以及资源开发这两个新的战术阶段。

本次“灵猫”组织的攻击活动共涉及ATT&CK威胁框架中的13个阶段、41个技术点（含确定和推测的），具体行为描述如下表：

表 4-1“灵猫”组织本次攻击活动的技术行为描述表

将“灵猫”组织涉及到的威胁行为技术点映射到ATT&CK威胁框架如下图所示：

图 4 -1“灵猫”组织本次行动威胁行为技术点映射到ATT＆CK威胁框架

5.小结

“灵猫”组织相关波次的攻击活动很容易被看成是一种“鸟枪当狙”的攻击，其看似粗糙，没有利用漏洞、依赖文件名的社工构造技巧。但在邮件接收人缺少必要安全意识和缺少有效的端点安全防护的情况下，此类攻击依然十分有效。与大部分攻击活动的载荷部署采用入侵获取的跳板节点或自建部署不同，其载荷存储于主流公共网盘之上，看似这是一个攻击者没有足够资源权限的场景，但这些网盘的通讯协议是基于SSL加密的下载木马，既绕开了流量侧的载荷还原检测，也同样绕开了流量侧基于生僻地址的异常判断。抵达目标端点侧后，“灵猫”组织使用自研的Python后门恶意软件MoleCloud，继续利用主流互联网服务规避检测，如利用Facebook以及SimpleNote下发指令、利用Dropbox公共网盘来下载新的恶意软件以及上传窃取到的文件，继续规避了载荷还原、上行内容检查和生僻地址检查。便捷的互联网主流应用服务，同样可以成为攻击方低成本利用的攻击侧基础设施，其自身基于加密协议通讯，广泛被用户使用等特点，可能恰恰为攻击活动混迹期间提供了隐蔽性。

在安天过去的分析报告中，曾多次强调：判断或应对APT的核心是P（持续），而不是高级A（高级），P由威胁行为体的战略意图和意志的坚持时间决定，而A的上限则由攻击者自身的极限技术和资源能力决定，而下限则仅需要这种攻击有望突破防御目标中最薄弱点，更何况APT攻击的前奏，很多情况是对批量目标的投递。在过去对“白象”等APT组织的攻击分析中，我们也披露过这一点。

当前大部分政企机构依然依靠网络一道边界防护来御敌于城门之外的思想，防火墙等安全网关设备当然是安全的必备环节，且部署成本低，易于维护，但其也极容易被穿透，如果单点依赖安全网关，一旦载荷进入到端点侧，就几乎处于无检测管控的状态，并可以恣意渗透，横扫全网。同时端点侧需要选择EPP+EDR组合能力产品，既能提升第一时间阻断成功率，又能有效支撑集中运营响应。同样针对性免杀几乎必然出现在定向攻击中，因此，基于动态沙箱的分析设备也已经成为安全的必选项目。

附录一：参考资料

[1] Operation DustySky

https://www.clearskysec.com/dustysky/

[2] Netanyahu meets Saudi crown prince MBS, Pompeo in Saudi Arabia

https://www.jpost.com/israel-news/netanyahu-mossad-chief-may-have-visited-saudi-arabia-alongside-pompeo-649959

[3] EnigmaSpark: Politically Themed Cyber Activity Highlights Regional Opposition to Middle East Peace Plan

https://securityintelligence.com/posts/enigmaspark-politically-themed-cyber-activity-highlights-regional-opposition-to-middle-east-peace-plan/

附录二：IoCs