前言

2017年，一个名为“影子经纪人”的神秘黑客团体在网上发布了名为“ Lost in Translation ” 的泄露数据库。

泄露数据库（据称是从美国国家安全局（NSA）入侵获得）包含一系列漏洞利用和黑客工具，其中包括现在永恒之蓝漏洞，以及其发扬光大者WannaCry勒索病毒。

但这都不是重点，重点是泄露的文件中有一个名为sigs.py的文件，该文件用作内置的恶意软件扫描程序，NSA黑客使用该文件扫描受感染的计算机，以查找是否存在其他APT组织，即他国网军的攻击痕迹，从而通过是否存在攻击痕迹而执行下一步操作。

而该sigs.py脚本包括用于检测其他44(45?)个APT组织的特征，这也充分说明了美国相关部门在追踪他国网军的能力也是极强的。

正文

而这个sigs.py的脚本中，有一个名为Sig27的未知APT组织被NSA专门用于检测，而其落地文件也具有明显特征，文件后缀为sqt，而这个组织在2019年11月5号被卡巴斯基曝光其攻击行动，并命名为DarkUniverse，直译黑暗宇宙。

而上面这些文件只是DarkUniverse恶意软件框架中的一部分的文件，该APT组织从2009年到2017年一直活跃，由于具有独特的代码重叠，DarkUniverse是ItaDuke系列活动的一部分。ItaDuke自2013年以来一直是一位知名APT组织。它使用PDF漏洞释放恶意软件和使用Twitter帐户来存储C2服务器URL而闻名。但他们在ShadowBrokers泄漏这些文件后似乎没有新的攻击活动了。

而卡巴斯基GReAT小组认为其活动的暂停可能与'Lost in Translation'泄漏的发布有关，或者攻击者可能只是决定更改攻击方法。

受害者

在2018年的攻击活动中大约有20名受害者，他们分别位于叙利亚，伊朗，阿富汗，坦桑尼亚，埃塞俄比亚，苏丹，俄罗斯，白俄罗斯和阿拉伯联合酋长国。受害者包括平民组织和军事组织。而这个数量实际上要比2009年至2017年主要活动期间的受害者人数要多得多。

攻击手法

手法为鱼叉钓鱼邮件攻击，值得注意的是，攻击者为每个受害者都准备了一封信，以引起他们的注意，并提示他们打开附带的恶意Microsoft Office文档。

每个恶意软件样本都在发送之前立即进行了编译，并包含了该恶意软件可执行文件的最新可用版本。由于该框架是从2009年演变到2017年的，因此最新版本与第一版完全不同，卡巴斯基的报告仅详细介绍了直到2017年为止使用的最新恶意软件版本。

文档中嵌入的可执行文件会从自身中提取两个恶意文件，

即updater.mod和gum30.dll

并将它们保存在恶意软件的工作目录中

之后，它将正常的rundll32.exe复制到同一目录中，并使用它运行updater.mod

值得注意的是他的传C2手法

C2服务器主要基于mydrive.ch上的云存储。

对于每个受害者，攻击者都会在此处创建一个新帐户，并上传其他恶意软件模块和带有执行该命令的配置文件。

一旦执行，updater.mod模块将连接到C2并执行以下操作：

1、将文件下载到工作目录；

2、将由其他恶意模块（如果有）收集和准备的文件上传到C2。这些文件位于工作目录中的名为“queue”或“ntfsrecover”的目录中。此目录中的文件具有其中两个扩展名之一：.d或.upd，这具体取决于它们是否已上传到服务器。

3、下载其他恶意软件模块：

    dfrgntfs5.sqt ，其用于执行来自C2的命令

    msvcrt58.sqt ，用于窃取邮件凭据和电子邮件

    zl4vq.sqt , dfrgntfs5使用的合法zlib库

    ％victim_ID％.upe – dfrgntfs5的可选插件。

所有恶意软件模块均使用自定义算法加密，黑鸟建议下规则哦。

C2帐户的凭据存储在注册表中的配置中，但是updater.mod模块还将副本作为加密字符串存储在可执行文件中。另外，该配置指定updater.mod多久轮询请求一次C2，同时其支持活动模式和部分活动模式，即类似定时任务的东西。

模块gel30.dll和msvcrt58.sqt

gum30.dll恶意软件模块提供了按键记录功能。updater.mod模块使用Win API函数SetWindowsHookExW安装键盘Hook，并将gel30.dll注入到获取键盘输入的进程中。在那之后，gel30.dll加载并开始在每个挂钩进程的上下文中拦截输入。

msvcrt58.sqt模块拦截未加密的POP3通信以收集电子邮件对话和受害者的凭据。

该模块从以下过程中查找流量：

outlook.exe;

winmail.exe;

msimn.exe;

nlnotes.exe;

eudora.exe;

thunderbird.exe;

thunde~1.exe;

msmsgs.exe;

msnmsgr.exe.

该恶意软件解析拦截的POP3流量，并将结果发送到主模块（updater.mod），以上传到C2。

这是通过挂钩以下与网络相关的Win API函数来完成的：

ws2_32.connect;

ws2_32.send;

ws2_32.recv;

ws2_32.WSARecv;

ws2_32.closesocket。

上面这个操作还是很有趣的。

最后就是这个恶意软件框架中最强大的模块

dfrgntfs5.sqt模块，功能繁多，时间原因就不一一翻译了。

总结

卡巴方面虽说该母组织此前的攻击目标比较敏感的，但从后续的攻击活动中的攻击目标来看，目前觉得属于兔子的可能性有点小，还有待考证。

参考链接：

https://securelist.com/darkuniverse-the-mysterious-apt-framework-27/94897/

上期阅读