本文将介绍 Earth Preta APT 组织利用的最新工具、技术和程序（TTP）的更多技术细节。介绍在 2022 年 11 月，趋势科技的研究人员就披露了由高级持续性威胁（APT）组织 Earth Preta（也称为 Mustang Panda）发起的大规模网络钓鱼活动。该活动通过鱼叉式网络钓鱼电子邮件针对亚太地区的多个国家。自 2023 年初以来，该组织正在使用新的方法，例如 MIROGO 和 QMAGENT。

此外，研究人员还新发现了一个名为 TONEDROP 的释放程序，它可以释放 TONEINS 和 TONESHELL 恶意软件，根据观察，该组织正在将其目标扩展到不同的地区，如东欧和西亚，再加上亚太地区的几个国家，如缅甸和日本。

(资料图片)

通过追踪分析恶意软件和下载网站，研究人员试图找到攻击者用来绕过不同安全解决方案的工具和技术。例如，研究人员收集了部署在恶意下载网站上的脚本，这使他们能够弄清楚它们的工作原理。研究人员还观察到，Earth Preta 向不同的受害者提供不同的有效负载。

受害者研究

从 2023 年 1 月开始，研究人员就观察到几波针对不同地区个人的鱼叉式网络钓鱼电子邮件。

鱼叉式网络钓鱼邮件收件人的国家分布

研究人员还能根据目标行业对受害者进行细分。如下图所示，大多数目标自电信行业。

鱼叉式网络钓鱼邮件收件人的行业分布

2023 年，研究人员使用了新的攻击指标监测了 Earth Preta，包括 MIROGO、QMAGENT 和名为 TONEDROP 的新 TONESHELL 释放程序。

同样，这些攻击链也发生了变化。例如，除了部署合法的 Google Drive 下载链接外，攻击者还使用其他类似但实际上不是 Google Drive 页面的下载网站。

2023 年的事件时间线

Backdoor.Win32.QMAGENT

2023 年 1 月左右，研究人员发现 QMAGENT 恶意软件通过鱼叉式网络钓鱼电子邮件传播，目标是与政府组织有关的个人。QMAGENT（也称为 MQsTTang）最初是在 ESET 的一份报告中披露，值得注意的是，它利用了物联网（IoT）设备中常用的 MQTT 协议来传输数据和命令。由于上述报告详细描述了恶意软件的技术细节，我们在此不再赘述。然而，研究人员认为所使用的协议值得进一步调查。

Backdoor.Win32.MIROGO

2023 年 2 月，研究人员发现了另一个用 Golang 编写的名为 MIROGO 的后门，Check Point Research 首次将其报告为 TinyNote 恶意软件。研究人员注意到，它是通过一封嵌入 Google Drive 链接的钓鱼电子邮件发送的，然后下载了一个名为 Note-2.7z 的压缩文件。该压缩文件受密码保护，密码在电子邮件正文中提供。提取后，研究人员发现了一个伪装成发给政府的可执行文件。

MIROGO 攻击流程

Trojan.Win32.TONEDROP

2023 年 3 月，研究人员发现了一个名为 TONEDROP 的新释放程序，它可以释放 TONEINS 和 TONESHELL 恶意软件。它的攻击链与之前报告中介绍的相似，涉及隐藏被异或的恶意二进制文件的虚假文件。

在接下来的几个月里，研究人员发现该组织还在使用这个释放程序。在研究人员的调查过程中，他们发现了 TONESHELL 后门的一个新变体。

释放程序流程TONEDROP 中的文件

在释放和安装文件之前，TONEDROP 将检查文件夹 C:ProgramDataLuaJIT 是否存在，以确定环境是否已经被破坏。它还将检查正在运行的进程和窗口是否与恶意软件分析工具有关。如果是这样，它将不会继续其例行程序。

检查正在运行的进程和窗口

如果所有条件都满足了，它将开始安装过程并释放几个文件。这些文件嵌入到释放程序中，并使用异或密钥解密。

释放的文件和用于解密它们的异或密钥

被释放后，WaveeditNero.exe 将侧载 waveedit.dll 并解密其他两个伪造的 PDF 文件：

它用 XOR 密钥 0x36 解密 C:userspubliclast.pdf，并将其写入 C:userspublic documentsWinDbg（X64）.exe。

它用 XOR 密钥 0x2D 解密 C:userspublicupdate.pdf，并将其写入 C:userspublicdocuments libvcl .dll。

TONEDROP 将为进程 C:userspublicdocumentsWinDbg（X64）.exe 设置一个计划任务，它将绕过加载 C:userspublicdocuments libvcl .dll。接下来，它将通过调用具有回调函数的 API EnumDisplayMonitors 来构造恶意负载并在内存中运行它。

TONESHELL 变体 D 的 C&C 协议

研究人员发现了 TONESHELL 的一个新变体，它具有如下命令和控制（C&C）协议请求数据包格式：

加密后发送数据的内容

C&C 协议类似于 PUBLOAD 和其他 TONESHELL 变体所使用的协议。研究人员将其归类为 TONESHELL 变体 D，因为它还使用 CoCreateGuid 来生成唯一的受害者 ID，这与旧的变体类似。

在第一次握手中，有效负载应该是一个 0x221 字节长的缓冲区，其中包含加密密钥和唯一受害者 ID。表 4 显示了有效负载的结构。请注意，字段 type、victim_id 和 xor_key_seed 在发送缓冲区之前使用 xor_key 进行加密。

发送数据的内容

研究人员发现该恶意软件将 victim_id 的值保存到文件 %USERPROFILE%AppDataRoamingMicrosoftWeb.Facebook.config 中。

第一次握手中的有效负载

C&C 通信协议的工作原理如下：

1. 将包含 xor_key 和 victim_id 的握手发送到 C&C 服务器；

2. 接收由魔术组成并且具有 0x02 大小的 5 字节大小的数据包；

3. 接收到一个用 xor_key 解密的 2 字节大小的数据包，该数据包的第一个字节必须为 0x08；

4. 接收到由魔术和下一个有效负载大小组成的数据。

5. 使用 xor_key 接收并解密数据。第一个字节是命令代码，下面的数据是额外的信息。

C&C 通信命令代码

虚假 Google Drive 网站

2023 年 4 月，研究人员发现了一个传播 QMAGENT 和 TONEDROP 等恶意软件类型的下载网站。当研究人员请求 URL 时，它下载了一个名为 Documents.rar 的下载文件，其中包含一个原来是 QMAGENT 示例的文件。

下载网站的截图

虽然这个页面看起来像 Google Drive 下载页面，但它实际上是一个试图伪装成普通网站的图片文件（gdrive.jpg）。在源代码中，它运行脚本文件，它将下载文件 Document.rar。

嵌入下载网站的恶意脚本

2023 年 5 月，Earth Preta 连续传播了具有不同路径的同一下载网站来部署 TONESHELL，例如 https://rewards [ . ] roshan [ . ] af/aspnet_client/acv [ . ] htm。在这个版本中，攻击者用另一段 JavaScript 混淆了恶意 URL 脚本，如下图所示。

该页面的源代码

解码后的恶意脚本 URL

最后，脚本 jQuery.min.js 将从 https://rewards.roshan [ . ] af/aspnet_client/Note-1 [ . ] rar 下载归档文件。

jQuery.min.js 脚本

技术分析

在调查过程中，研究人员尝试了几种方法来追踪事件，并将所有指标联系在一起。研究人员的发现可以概括为三个方面：代码相似性、C&C 连接和糟糕的操作安全性。

代码相似性

研究人员观察到 MIROGO 和 QMAGENT 恶意软件之间有一些相似之处。由于检测次数有限，研究人员认为这两种工具都是 Earth Preta 开发的，且它们都是用两种不同的编程语言实现了类似的 C&C 协议。

MIROGO 和 QMAGENT 恶意软件的异同

C&C 通信

恶意软件 QMAGENT 使用 MQTT 协议传输数据。经过分析，研究人员意识到所使用的 MQTT 协议没有加密，也不需要任何授权。由于 MQTT 协议中的独特 " 特性 "（一个人发布消息，其他所有人接收消息），研究人员决定监控所有消息。他们制作了一个 QMAGENT 客户端，看看有多少受害者被盯上了。经过长期监测，研究人员制作了如下统计表：

QMAGENT 通信

主题名称 iot/server0 用于检测分析或调试环境，因此受害者数量最少。3 月份的峰值最高，因为 ESET 报告是在 3 月 2 日发布的，这个峰值涉及自动化系统（沙箱和其他分析系统）的激活。因此，研究人员决定将峰值分解成更小的范围。

QMAGENT 受害者

来自 QMAGENT 恶意软件的 C&C 请求 JSON 体包含一个 Alive 密钥，该密钥是恶意软件的正常运行时间（以分钟为单位）。

QMAGENT 受害者活动时间

研究人员将前 10 个的运行时间分为三类：473 秒、200 秒和 170 秒。由于涉及许多分析系统，研究人员认为这些时间是不同沙盒的一些常见的超时设置。例如，CAPEv2 沙箱中的默认超时设置正好是 200 秒。

CAPEv2 中的默认超时设置

操作安全性差

调查中，研究人员收集了几个恶意压缩文件的下载链接。研究人员注意到，攻击者不仅传播了 Google Drive 链接，还传播了由不同云提供商托管的其他 IP 地址。以下是研究人员最近观察到的一些下载链接：

很明显，url 中的路径遵循几种模式，例如 /fav/xxxx 或 /f/xx。在检查 url 时，研究人员还发现 xx 模式与受害者相关（这些模式是他们的国家代码）。在调查下载网站 80 [ . ] 85 [ . ] 156 [ . ] ] 151（由 Python 的 SimpleHTTPServer 托管），研究人员发现它在端口 8000 上有一个打开的目录，其中托管了大量的数据和脚本。开放目录漏洞

下载网站中的重要文件如下：

打开目录中的文件

接下来，我们将介绍部署在服务器上的脚本文件。

Firewall: fw.sh

Earth Preta 使用脚本文件 fw.sh 来阻止来自特定 IP 地址的传入连接。禁止访问的 IP 地址列在文件 blacklist.txt 中。该组织似乎有意使用 python 请求、curl 和 wget 阻止来自某些已知爬虫和某些已知安全提供程序的传入请求。研究人员认为该组织正在试图阻止该网站被扫描和分析。

"fw.sh" 脚本blacklist.txt 中列出的一些 IP 地址

主服务器：app.py

主脚本文件 app.py 用于托管 web 服务器并等待来自受害者的连接。它处理以下 URL 路径：

下载网站的 URL 路径

下载网站的根路径如下图所示。它显示一条虚假信息，冒充来自谷歌。

网站的根页面

同时，webchat 函数 /webchat 允许两个用户在同一页面上相互通信。登录用户名和密码在源代码中进行硬编码，分别为 john:john 和 tom:tom。

webchat 的登录界面

登录后，用户可以通过 WebSocket 提交他们的短信，他们收到的所有消息都会显示在这里。基于硬编码的用户名，研究人员假设 "tom" 和 "john" 是相互合作的。

网络聊天的源代码

如上所述，研究人员收集的大多数恶意下载 URL 都遵循特定的模式，如 /fav/xxxx 或 /file/xxxx。根据源代码，如果请求的 User-Agent 标头包含以下任何字符串，则路径 /fav/（依此类推）将下载有效负载 Documents.rar：Windows NT 10；

Windows NT 6；

这个压缩文件被托管在 IP 地址 80 [ . ] 85 [ . ] 157 [ . ] 3 上。如果不满足指定的用户代理条件，用户将被重定向到另一个 Google Drive 链接。在撰写本文时，研究人员无法检索有效负载，因此无法确定它们是否确实是恶意的。研究人员认为，这是一种向不同受害者提供不同有效负载的机制。

"app.py" 中的源代码

值得注意的是，每个源 IP 地址、请求标头和请求 URL 都会记录在每个连接上。然后，所有日志文件都存储在 /static 文件夹中。

The logging files: /static"/static" 文件夹包含大量的日志文件，这些文件似乎是由攻击者手动更改的。在撰写本文时，日志文件记录了 2023 年 1 月 3 日至 2023 年 3 月 29 日的日志。当研究人员找到它们的时候，文件夹里有 40 个日志文件。

日志文件列表记录请求的示例

研究人员还尝试解析和分析日志文件。由于文件中包含了受害者的访问日志，研究人员认为可以对其进行统计以进行进一步分析。日志记录的格式如下：

研究人员还想知道受害者来自哪些国家。基于 app.py，访问日志记录了两种 URL：访问日志中记录的 URL

这些 URL 通常嵌入在电子邮件正文中。第一类 URL 用作电子邮件签名，第二类 URL 用作下载链接。为了统计收到鱼叉式网络钓鱼电子邮件的受害者人数，研究人员只保留了第一类 URL 的日志，因为受害者打开电子邮件时会请求这些签名 URL。根据研究人员的数据，研究人员确定他们的主要目标来自立陶宛、拉脱维亚、爱沙尼亚、日本和缅甸。

来自不同国家的连接数量

要强调的是，这些连接只是这次活动的一小部分，因为这些日志只基于单个网站。很明显，这个网站被用来存放针对欧洲地区受害者的恶意文件。

在这些日志文件的帮助下，研究人员能够在野外收集许多分布式链接。

总结

Earth Preta 的攻击目标除了亚太地区外，还将其范围扩大到了欧洲。

研究人员怀疑该组织利用在之前一波攻击中受攻击的谷歌账户来继续这一活动。经过分析，研究人员还能够确定它一直在使用不同的技术绕过各种安全解决方案。从研究人员对其使用的 C&C 服务器的监控中，他们还观察到该组织在随后的攻击中重用这些服务器的趋势。

通过研究人员对各种 Earth Preta 活动的观察，他们注意到该组织倾向于用不同的编程语言建立类似的 C&C 协议和函数，这表明 Earth Preta 背后的攻击者可能一直在提高他们的开发技能。然而，由于他们的操作失误，研究人员还是能够检索到脚本并了解他们的攻击工作流程。