Octopus(DustSquad)–中亚地区活动

卡巴斯基一直在监视一个专注于中亚用户和外交实体的俄语网络间谍活动。我们将威胁命名为DustSquad,我们介绍一个主要针对外交实体名为Octopus的Windows恶意程序。该名称最初是在2017年由ESET在一个C2服务器上发现利用0ct0pus3.php脚本创建的。安全人员还开始监控恶意软件,发现Octopus与DustSquad有关。

在2018年4月,我们发现了一个新的Octopus样本,伪装成是哈萨克斯坦反对派政治团体的通信软件。该恶意软件被打包成一个名为dvkmailer.zip的ZIP文件,其时间戳为2018年2月至3月.DWK代表被禁止的反对派政党哈萨克斯坦民主党派。下图显示了俄语(ДемократическийВыборКазахстана)的首字母缩写’ДВК’

dropper伪装成在哈萨克斯坦禁用的telgram windows客户端软件,压缩包hash:979eff03faeaeea5310df53ee1a2fc8e

压缩包文件:

d6e813a393f40c7375052a15e940bc67 CsvHelper.dll Legit .NET CSV files parser
664a15bdc747c560c11aa0cf1a7bf06e Telegram Messenger.exe Persistence and launcher
87126c8489baa8096c6f30456f5bef5e TelegramApi.dll Network module
d41d8cd98f00b204e9800998ecf8427e Settings.json Empty

‘Telegram messenger’以最简单的方式建立网络模块持久性并启动模块

启动器会在同一目录中检查名为TelegramApi.dll的文件。如果存在,则启动程序将网络模块作为Java.exe复制到启动目录并运行。

网络模块

C2通信方案

HTTP请求 响应
GET /d.php?check JSON “ok”
GET /d.php?servers JSON domain name
GET /i.php?check= JSON “ok”
POST /i.php?query= JSON response code or command depends on POST data

第一阶段.php脚本检查连接并获取C2域名

所有网络模块都包含属于不同国家的商业网络托管服务的硬编码IP地址。操作员只需在其中部署第一阶段.php脚本,它将检查连接并使用HTTP GET请求获取实际的C2服务器域名。

初始连接检查后,恶意软件会收到带有实际C2域名的JSON

然后网络模块检查硬编码的受害者的id

网络模块检查32位硬编码的受害者ID,并使用HTTP POST请求将收集的数据发送到C2。恶意软件同时用其系统数据的MD5哈希“指纹”标记其受害者

开发人员使用Indy Project(indyproject.org)公开可用的库以及第三方TurboPower Abbrevia(sourceforge.net/projects/tpabbrevia)进行压缩

与C2的所有通信都基于JSON格式的数据和HTTP协议。

在所有初始HTTP GET请求之后,恶意软件开始收集JSON格式的系统数据。对于系统中的所有固定驱动器,网络模块存储磁盘名称和大小,以及计算机和用户名,Windows目录,主机IP等。一个有趣的字段是“vr”:“2.0”似乎是通信协议中编码的恶意软件版本。

Octopus开发人员还使用了密码转储实用程序fgdump

基础设施

MD5哈希 IP地址 C2域名
87126c8489baa8096c6f30456f5bef5e 185.106.120.27
204.145.94.10
porenticofacts.com
ee3c829e7c773b4f94b700902ea3223c
38f30749a87dcbf156689300737a094e 185.106.120.240
204.145.94.101
certificatesshop.com
6e85996c021d55328322ce8e93b31088 5.188.231.101
103.208.86.238
blondehairman.com
7c0050a3e7aa3172392dcbab3bb92566 5.8.88.87
103.208.86.237
latecafe.in
2bf2f63c927616527a693edf31ecebea 85.93.31.141
104.223.20.136
hovnanflovers.com
d9ad277eb23b6268465edb3f68b12cb2 5.188.231.101
103.208.86.238
blondehairman.com

www.fayloobmennik.net/files/save_new.html
http://uploadsforyou.com/download/
http://uploadsforyou.com/remove/

发表评论

电子邮件地址不会被公开。 必填项已用*标注