详细分析新型恶意软件FlowCloud及其幕后攻击者

一、概述

2019年8月，Proofpoint研究人员发现LoopBack恶意软件在2019年7月至2019年8月期间针对美国公用事业部门发动攻击。在此后，我们对2019年8月21日至29日期间的其他LookBack恶意活动进行了分析。在这些恶意活动中，使用了包含恶意宏代码的文件，以此将模块化的恶意软件传递给美国各地的公共事业服务提供商。在LookBack活动的同时，我们的研究人员还发现了一个新的恶意软件家族，该家族也同样针对美国公共事业提供商发动攻击，我们将其命名为FlowCloud。

如同LookBack一样，FlowCloud恶意软件可以让攻击者完全控制受感染的系统。其中的远程访问木马（RAT）功能包括访问已安装的应用程序、键盘、鼠标、屏幕、文件、服务和进程的能力，并且可以通过命令和控制的途径来泄露信息。

我们分析了2019年7月至11月期间的网络钓鱼活动，并确定LookBack和FlowCloud恶意软件都可以归因于我们命名为TA410的威胁参与者。我们根据对恶意宏代码的使用、恶意软件安装过程所使用的技术和传递基础结构的复用这三点得出的这一结论。

此外，我们在分析过程中发现，TA410和TA429（APT10）的传递策略之间还存在着相似之处。具体而言，我们已经看到两个威胁参与者使用共同的附件恶意宏。在2019年11月发现的TA410恶意活动中，他们使用网络钓鱼恶意附件的方式，传递了与TA429（APT10）相关的基础结构。但是，我们的分析师认为，威胁行为者可能故意重用广为人知的TA429（APT10）的技术和基础架构，以误导分析人员。因此，在研究过程中，我们不会将LookBack和FlowCloud恶意活动归因到TA429（APT10），而是倾向于这两个恶意软件属于一个单独的恶意组织。

下面展示了我们发现的LookBack和FlowCloud恶意活动时间表：

二、传递过程

我们的研究人员观察到从2019年7月10日开始的网络钓鱼活动，使用PE可执行附件的方式针对美国公共事业提供商发动攻击，并且在钓鱼邮件中使用了类似于“PowerSafe能源教育课程（30天试用）”这样的标题。这些恶意活动一直持续到2019年9月。

我们对这些网络钓鱼活动开展了分析，确定PE附件传递了一种模块化的恶意软件，恶意软件的开发人员将其程序数据库（PDB）路径命名为“FlowCloud”。值得注意的是，这些FlowCloud恶意活动与我们先前发现的LookBack恶意活动是同时进行。FlowCloud和LookBack恶意软件系列都是针对美国的公共事业提供商，并且都使用了培训和认证为主题的诱饵，两个恶意软件都使用了威胁参与者控制的域名进行传递。在某些案例中，FlowCloud和LookBack恶意活动不仅针对相同的企业，还针对相同的收件人。

用于传递FlowCloud恶意软件的电子邮件发送者利用了威胁参与者控制的域名进行传递，模仿能源行业的培训服务，其使用的子域名中还包含关键词“engineer”。

从2019年11月的攻击开始，我们观察到FlowCloud的传递策略产生了明显的变化。其针对美国公共事业公司的目标仍然保持不变，但是威胁参与者从原先的使用PE附件开始转移到使用恶意的、包含大量宏的Microsoft Word文档，这些文档中的宏与LookBack恶意软件活动中所使用的传递和安装宏非常相似。

此外，威胁参与者从11月开始，使用发件人域名asce[.]email来传递这些附件。该域名在2019年6月首次注册到103.253.41[.]75这个IP地址，在先前的LookBack恶意活动中作为侦查IP。在2019年10月29日，该域名解析到IP地址134.209.99[.]169，这个IP地址还托管了多个能源认证和教育主题域名。其中有很多域名，还与2019年7月和8月FlowCloud网络钓鱼活动中先前观察到的传递域名使用同一个SSL证书，证书中的信息如下图所示。在下图中，展示了威胁参与者将一个SSL证书用于多个能源和培训主题的域名上。攻击者在“备用名称”字段中列出了由证书签名的域名，从而可以标识其他的相关基础结构。在FlowCloud恶意活动中使用了很多这样的域名。

在powersafetrainings[.]org域名上使用的SSL证书数据，与多个能源主题的域名相关：

下面列举了TA410不同阶段所使用的IP地址，包括它们在首次被发现时与之关联的注册域名，以及传递恶意软件所使用电子邮件地址对应的域名。

IP地址：103.253.41[.]75

首次发现日期：2019年6月23日

注册域名：

Nceess[.]com、Globalenergycertification[.]com（用于传递的域名）

Nerc[.]email、Asce[.]email（注册的域名）

传递的恶意软件：LookBack

IP地址：134.209.99[.]169

首次发现日期：2019年10月29日

注册域名：

Asce[.]email（用于传递的域名）

Powersafetraining[.]net（注册的域名）

mails.energysemi[.]com、powersafetrainings[.]org、www.mails.energysemi[.]com、www.powersafetraining[.]net、www.powersafetrainings[.]org（使用SSL证书的域名）

传递的恶意软件：FlowCloud

IP地址：101.99.74[.]234

首次发现日期：2019年7月2日

注册域名：www.powersafetrainings[.]org（用于传递的域名）

传递的恶意软件：FlowCloud

在2019年11月恶意活动中使用的电子邮件冒充成美国土木工程师学会，并使用与合法域名类似的发件域名asce[.]org。该电子邮件的结构与2019年7月模仿NCEES和全球能源认证并用于传递LookBack恶意软件的电子邮件非常相似，如下图所示。

2019年11月以ASCE为主题的网络钓鱼电子邮件，传递FlowCloud恶意软件：

2019年7月以NCEES为主题的网络钓鱼电子邮件，传递LookBack恶意软件：

三、漏洞利用：安装宏

如上所述，在长时间使用PE附件的形式在恶意活动中传递FlowCloud后，在2019年11月，威胁参与者开始转向利用带有恶意宏的Microsoft Word文档。Word文档附件与用于传递FlowCloud的宏具有非常相似之处，我们据此确定了2019年7月和8月传递的LookBack恶意软件。

与LookBack所使用的方法相同，FlowCloud宏使用了隐私增强邮件文件（.pem），这些文件随后被重命名为文本文件pense1.txt。接下来，恶意软件将该文件另存为可执行文件gup.exe，并使用名为Temptcm.tmp的某版本certutil.exe工具来执行。

为了进行比较，我们分别分析了2019年11月5日获得的用于安装FlowCloud恶意软件的宏，以及2019年8月6日获得的用于安装LookBack恶意软件的宏。

2019年11月5日用于安装FlowCloud恶意软件的宏：

2019年8月6日用于安装LookBack恶意软件的宏：

在我们此前发布过的一篇详细分析漏洞利用的文章中，我们对LookBack恶意软件所利用的技术进行了更加深入地分析。在这里，FlowCloud使用完全相同的方法，其中包括完全相同的宏串联代码。

尽管我们发现LookBack Gup代理工具和FlowCloud恶意软件的两个恶意宏的最终执行方法相同，但还是在FlowCloud的宏中找到了一种新引入的恶意软件传递方法。

在早期LookBack版本的宏中，将Payload放在许多隐私增强邮件文件（.pem）中，这些文件将在用户执行附件文件时被删除。而FlowCloud版本的宏则利用此前从未观察到的一部分代码，从DropBox的URL下载Payload。在下载Payload之后，以.pem文件形式将FlowCloud恶意软件的PE文件保存为Pense1.txt。下图恶意软件的宏传递代码中展示了FlowCloud宏，其中存在问题的传递部分被调出。

FlowCloud恶意软件的宏传递代码：

在FlowCloud宏中还包含一个奇怪的try...catch语句，该语句最初尝试从DropBox的URL下载FlowCloud Payload，作为try语句的一部分。但是，如果无法从该资源中检索Payload，则会有一条与try语句几乎相同的catch语句尝试从URL http://ffca.caibi379[.]com/rwjh/qtinfo.txt”.”检索恶意软件资源。下图中的FlowCloud恶意软件Catch语句宏代码展示了有问题的catch语句。

FlowCloud Malware Catch语句宏代码：

这个try...catch语句非常重要，因为catch语句和恶意软件资源中的URL此前在enSilo 2019年5月发表的博客中提到过，这篇文章题目为“Uncovering New Activity by APT10”。在该文章中，声称这个URL提供了修改后的Quasar RAT Payload，向其中添加了SharpSploit（一个开源的后漏洞利用工具）。在FlowCloud恶意软件传递的当天，该URL和资源不可用，但DropBox URL成功传递了FlowCloud .pem文件。尽管我们还没有验证其他研究人员对Quasar RAT样本所做的归因，但该恶意软件所使用的URL，与此前TA429（APT10）的威胁指标存在重合，并且TA429所使用的URL在此前还没有公开。虽然从表面上看，使用该域名可能意味着恶意软件可以归因到TA429，但我们还发现了域名注册信息、非活动URL中存在的一些异常，将会在后文进行详细讨论。

四、FlowCloud恶意软件分析

根据我们对FlowCloud恶意软件的分析，我们发现它是一个多阶段的Payload，由使用C++编写的大型代码库组成。该代码展示了一定程度的复杂性，其中包含众多组件，使用了广泛的面向对象程序设计，并使用和合法/仿制的QQ文件进行初始执行和后期执行。我们在分析整个FlowCloud执行过程中发现了几个模块，这些模块直接对QQ组件进行模仿。而我们之所以将恶意软件命名为FlowCloud，就是取自在众多恶意软件组件中观察到的独特PDB路径。这些值已经包含在文章末尾的“威胁指标”一节中。

FlowCloud恶意软件具有基于其可用命令的RAT功能，包括访问剪贴板、已安装的应用程序、键盘、鼠标、屏幕、文件、服务和进程，并可以通过命令和控制来泄露信息。此外，我们所分析的恶意软件变种具有几个独特的特征，这些特征表明该恶意软件至少在2016年7月以来就一直在威胁环境中处于活动状态。

除了针对更新的Windows版本创建的组件之外，FlowCloud样本还删除了仅与Windows版本6（Windows Vista）以及更低版本兼容的32位模块。这个二进制文件的过期，包括恶意软件代码的可扩展性质，都纷纷表明FlowCloud代码库已经开发了多年。有关FlowCloud恶意软件组件和相关安装目录路径的公开报告表明，最早在2016年7月就可能在野外观察到该恶意软件的版本。此外，由于该恶意软件会根据合法的QQ文件进行开发，且在2018年12月有用户从日本将恶意软件样本上传到VirusTotal，今年年初有用户从台湾将恶意样本上传，这些线索都说明，该恶意软件在针对美国的公用事业部门发起攻击之前，可能已经在亚洲活跃了一段时间。

下面的FlowCloud加载程序功能流程图说明了FlowCloud的加载功能。

FlowCloud功能流程图：

1、恶意软件首先使用恶意宏执行Gup.exe，然后由宏执行文件EhStorAuthn.exe。

2、EhStorAuthn.exe提取后续的Payload文件组件，并将其安装到C:\Windows\Media\SystemPCAXD\ado\fc目录下。该文件还将设置注册表键值，存储键盘记录驱动程序和恶意软件配置作为“KEY_LOCAL_MACHINE\SYSTEM\Setup\PrintResponsor\

3、EhStorAuthn.exe是QQ使用的合法可移植可执行文件，其初始名称为QQSetupEx.exe。该文件用于加载dlcore.dll文件，这原本是其下载程序中的一部分。

4、Dlcore.dll是由威胁参与者精心制作的DLL，充当Shellcode注入程序，从名为rebare.dat的文件中提取Shellcode。该文件模仿了合法的QQ组件。

5、当执行rebare.dat中的Shellcode时，它将依次执行一个名为rescure.dat的RAT安装程序文件。

6、Rescure.dat是XOR加密的DLL文件，它安装了基于RAT的应用程序responsor.dat，该应用程序安装了键盘记录驱动程序，并管理RAT功能。

7、Responsor.dat将几个模块（rescure86.dat或rescure64.dat）解压缩到注册表%TEMP%\{0d47c9bc-7b04-4d81-9ad8-b2e00681de8e}，并将解压缩的文件对应的服务名称改为“FSFilter Activity Monitor”（FSFilter活动监控器）或“FltMgr”。

8、最后，当调用rescure.dat的startModule函数时，Responsor.dat会启动RAT。

9、该恶意软件还使用了几个合法的Microsoft Windows文件，向其中进行线程注入。

10、EhStorAuthn_shadow.exe（hhw.exe）是一个Microsoft HTML Help Workshop文件，用于线程注入的占位符。

11、Hha.dll是Microsoft HTML Help Workshop的一个组件，并且是运行EhStorAuthn_shadow.exe所必须的。

恶意软件将其配置信息与键盘记录程序组件所使用的驱动程序一同存储在注册表中。此外，还会生成其他几个不同的注册表项，这些注册表项指示恶意软件在主机上的当前执行阶段。下面列举了其中的一些注册表项。

注册表：HKEY_LOCAL_MACHINE\SYSTEM\Setup\PrintResponsor\2

原始组件：Gup.exe

描述：32位驱动程序，键盘记录器

注册表：HKEY_LOCAL_MACHINE\SYSTEM\Setup\PrintResponsor\3

原始组件：Gup.exe

描述：64位驱动程序，键盘记录器

注册表：HKEY_LOCAL_MACHINE\SYSTEM\Setup\PrintResponsor\4

原始组件：Gup.exe

描述：RAT配置

注册表：HKEY_LOCAL_MACHINE\HARDWARE\{2DB80286-1784-48b5-A751-B6ED1F490303}

原始组件：Dlcore.dll

描述：执行阶段执行dlcore.dll

注册表：HKEY_LOCAL_MACHINE\HARDWARE\{804423C2-F490-4ac3-BFA5-13DEDE63A71A}

原始组件：rescure.dat

描述：执行阶段，安装键盘记录驱动程序

注册表：HKEY_LOCAL_MACHINE\HARDWARE\{A5124AF5-DF23-49bf-B0ED-A18ED3DEA027}

原始组件：rescure.dat

描述：执行阶段，RAT已经完整安装。

五、FlowCloud配置

FlowCloud加载程序组件EhStorAuthn.exe在安装过程的早期就将恶意软件的配置存储在注册表中，如上面的表格所示。注册表数据使用多个加密（使用XOR或ROR）的标头组成，并且使用修改（或损坏）的AES算法对数据进行加密。纯文本数据使用ZLIB压缩，并使用Google的协议缓冲区进行序列化。下图中FlowCloud调试日志展示了配置的示例。

调试日志中展示的配置示例：

六、命令与控制

FlowCloud恶意软件利用自定义的二进制C2协议，将配置更新、文件扩展、执行命令分别作为独立线程来处理。我们将这些独立的线程认为是更广泛的命令处理功能中的一部分，并且每个命令都有不同的命令管理器。我们所分析的样本使用5555端口进行文件渗透，使用55556端口进行其他所有数据的通信。我们已经发现，IP地址188.131.233[.]27会开展FlowCloud通信。请求和响应都是由多个加密头（使用XOR或ROR）和TEA加密数据组成，其中TEA加密数据使用包含随机编码的硬编码字符串和MD5哈希的密钥来生成。纯文本数据使用ZLIB压缩，并使用Google的协议缓冲区进行序列化。下图展示了解析初始信标的示例。

对FlowCloud解析初始C2信标的示例：

七、归因分析：分析TA429（APT10）和TA410的恶意活动

此前，FireEye和EnSilo在对TA429（APT10）恶意活动中开展过分析，其中发现的一些威胁指标在这次TA410活动中再次出现。基于此，我们进行了回顾分析，并确认TA429（APT10）使用了网络钓鱼恶意宏，后来又被LookBack和FlowCloud恶意软件所使用。此外，我们确定了11月份FlowCloud宏使用的Quasar RAT传递URL hxxp://ffca.caibi379[.]com/rwjh/qtinfo.txt，这个URL此前已经被enSilo发现过，在TA410恶意活动被观察到之前。

有趣的是，在2019年7月使用的多个LookBack恶意软件模块的编译日期为2018年9月14日。其中包括此前我们曾经在分析LookBack恶意软件时关注的SodomMain和SodomNormal模块。这个编译日期是在我们对TA429（APT10）所使用宏进行初步分析的后一天。

尽管直至2019年6月我们才在野外观察到LookBack恶意软件样本，但2018年9月的编译日期表明，编译到传递之间还存在着很大的滞后时间。但是，也不能排除威胁参与者篡改了编译时间的可能性，目前还无法给出准确的判断。

在威胁参与者控制的基础架构上，我们观察到TA410的首次服务器安装发生在2018年12月。LookBack和FlowCloud恶意活动的大多数域名注册（武器化）时间分别是2019年5月和6第一月。这些恶意活动是在我们于2018年9月首次发布研究进展之后进行的。

此外，enSilo在2019年5月24日发布了有关可能与TA429（APT10）相关的Quasar RAT样本的出版物。直到2019年11月第二周，非活跃的URL才被纳入到网络钓鱼宏中，作为FlowCloud针对美国的恶意活动中的一部分。WHOIS记录和ffca.caibi379[.]com的被动DNS信息表明，该域名的注册人电子邮件和地址字段已经在2019年6月7日更新。该域名的A记录已经在2019年9月9日更新，解析为Google拥有的ASN中包含的一个IP地址34.80.27[.]200。自2019年1月2日开始的8个月来，该域名托管在APNIC Hostmaster拥有的ASN的多个IP上。如果要放弃由APNIC拥有的基础设施资源，就意味着在enSilo发布之后，特别是TA410针对美国公用事业的恶意活动武器化之后，威胁参与者的基础设施托管策略已经大为改变。尽管这项研究并没有得出最终的结论，但我们可以发现，在TA410恶意活动之前，公开发现的所有TA429（APT10）的相似性和威胁指标都是公开的。因此，尽管我们不能从当前分析中得出结论，但仍然存在可能表示这些重叠是TA410威胁参与者的虚假标记。基于上述分析，我们目前将TA410和TA429（APT10）视为两个不同的威胁参与者。

八、总结

由于在2019年11月LookBack和FlowCloud恶意软件活动的融合展现了TA410幕后攻击者在针对美国公用事业提供商的单个持续活动中表现出了明显的利用多种工具的能力。这两个恶意软件家族在概念和开发上都表现出一定的成熟水平，而由于FlowCloud恶意软件已经具备可扩展的代码库，由此说明该组织早在2016年以前就疑似已经开始运营。TA410威胁参与者倾向于动态发展网络钓鱼策略，并敏锐地关注极具针对性的目标行业内潜在目标，开展适当的社会工程。目前我们还不清楚该组织是否会与TA429（APT10）共享策略和指标，或者其策略和指标是根据这些恶意活动前的现有技术报告拼凑而来的。这些基础结构的重合可能仍然是故意的虚假标志，以掩盖犯罪者的身份。同时，攻击者针对美国能源厂商的关键和地缘政治敏感部门进行攻击。无论威胁参与者是否就位，TA410都将其自身定位成一个积极的威胁参与者，使用着成熟的工具集，针对高度重要且地理位置集中的目标开展长期的恶意活动。

九、威胁指标

SHA-256

faa80e0692ba120e38924ccd46f6be3c25b8edf7cddaa8960fe9ea632dc4a045（PE附件，基础架构提供ann‮cod.exe）

b7960d1f40b727bbea18a0e5c62bafcb54c9ec73be3e69e787b7ddafd2aae364（PE附件，能源安全课程ann‮cod.exe）

26eb8a1f0bdde626601d039ea0f2c92a7921152371bafe5e811c6a1831f071ce（FlowCloud MS Word宏附件，personal invitation.doc）

cd8f877c9a1c31179b633fd74bd5050e4d48eda29244230348c6f84878d0c33c（投放文件，Cert.pem）

e4ad5d3213425c58778d8a0244df4cd99c748f58852d8ac71b46326efd5b3220（投放文件，pense1.txt）

589229e2bd93100049909edf9825dce24ff963a0c465d969027db34e2eb878b4（投放文件，Temptcm.tmp）

1334c742f2aec7e8412d76ba228b99935a49dc96a1e8e1f3446d9f61247ae47e（投放文件，EhStorAuthn.exe）

de30929ef958211f9315e27a7aa45ef061726a76990ddc6b9d9f189b9fbdd45a（投放文件，dlcore.dll）

0b013ccd9e10d7589994629aed18ffe2388cbd745b5b28ab39c07835295a1ca9（投放文件，rebare.dat）

479954b9e7d5c5f7086a2a1ff1dba99de2eab2e1b1bc75ad8f3b211088eb4ee9（投放文件，rescure.dat）

d5191327a984fab990bfb0e811688e65e9aaa751c3d93fa92487e8a95cb2eea8（投放文件，responsor.dat）

0701cc7eb1af616294e90cbb35c99fa2b29d2aada9fcbdcdaf578b3fcf9b56c7（投放文件，EhStorAuthn_shadow.exe）

27f5df1d35744cf283702fce384ce8cfb2f240bae5d725335ca1b90d6128bd40（投放文件，rescure64.dat）

13e761f459c87c921dfb985cbc6489060eb86b4200c4dd99692d6936de8df5ba（投放文件，rescure86.dat）

2481fd08abac0bfefe8d8b1fa3beb70f8f9424a1601aa08e195c0c14e1547c27（投放文件，hha.dll）

IP

188.131.233[.]27（C&C IP）

118.25.97[.]43（发送者IP）

34.80.27[.]200（发送者IP）

134.209.99[.]169（发送者IP）

101.99.74[.]234（发送者IP）

域名

Asce[.]email（钓鱼域名）

powersafetrainings[.]org（钓名域名）

mails.daveengineer[.]com（钓鱼域名）

powersafetraining[.]net（相关基础设施）

mails.energysemi[.]com（相关基础设施）

www.mails.energysemi[.]com（相关基础设施）

www.powersafetraining[.]net（相关基础设施）

www.powersafetrainings[.]org（相关基础设施）

ffca.caibi379[.]com（宏域名）

URL

http://ffca.caibi379[.]com/rwjh/qtinfo.txt（FlowCloud宏传递URL未启用）

https://www.dropbox[.]com:443/s/ddgifm4ityqwx60/Cert.pem?dl=1（FlowCloud宏传递URL）

注册表项

HKEY_LOCAL_MACHINE\SYSTEM\Setup\PrintResponsor\2

HKEY_LOCAL_MACHINE\SYSTEM\Setup\PrintResponsor\3

HKEY_LOCAL_MACHINE\SYSTEM\Setup\PrintResponsor\4

HKEY_LOCAL_MACHINE\HARDWARE\{2DB80286-1784-48b5-A751-B6ED1F490303}

HKEY_LOCAL_MACHINE\HARDWARE\{804423C2-F490-4ac3-BFA5-13DEDE63A71A}

HKEY_LOCAL_MACHINE\HARDWARE\{A5124AF5-DF23-49bf-B0ED-A18ED3DEA027}

文件路径

G:\FlowCloud\trunk\Dev\src\fcClient\Release\QQSetupEx_func.pdb（FlowCloud PDB路径）

g:\FlowCloud\trunk\Dev\src\fcClient\Release\fcClientDll.pdb（FlowCloud PDB路径）

F:\FlowCloud\trunk\Dev\src\fcClient\kmspy\Driver\Release\Driver.pdb（FlowCloud PDB路径）

F:\FlowCloud\trunk\Dev\src\fcClient\kmspy\Driver\x64\Release\Driver.pdb（FlowCloud PDB路径）