Windows Error Reporting (WER) 是 Windows OS 上的錯誤回報工具,近日被發現遭 APT 組織使用,通過網絡釣魚的方法發動無檔案攻擊,並以勞工賠償要求作為誘餌。
懷擬由 APT 組織 APT32 套劃
WER 自 Windpws XP 推出之後一直使用至今,連 Windows Mobile 5.0 和 6.0 也包含其在內,這服務會執行 WerFault.exe,通常都涉及操作系統、Windows 功能和應用程式發生錯誤,研究人員認為這種特性為犯罪份子提供了一個絕佳的掩飾,令用戶對該服務執行時不會有所懷疑。然而這種逃避的方法並非新手法,該技術被認為與越南人 APT 組織 APT32 (又稱 OceanLotus) 有關連。
APT32 以使用 CactusTorch HTA 去加入 Denis RAT (Remote Access Trojan) 而聞名,而用作存放惡意檔案和文件的網域在越南胡志明市注冊,這也令嫌疑指向 APT32。不過幕後主腦的真身還未能確定,因為研究人員未能存取最終的惡意內容作詳細檢測。
勞工賠償作網絡釣魚餌
攻擊最初通過網絡釣魚發動,網站內含一個名為「Compensation.manual.doc」的 ZIP 檔案內含惡意文件,表面上是提供工作賠償權益的資料,內裡其實含有惡意巨集,以修改過的 CactusTorch VBA 模組去執行 shellcode。載有惡意內容是一個 .Net DLL 名為「Kraken.dll」,會把附有的 shellcode 放入 WerFault.exe,當中的技術在 NetWire RAT 和 Cerber 加密勒索程式中曾經出現。
在最近的活動中,載具分為 Kraken 和 Loader 兩個主要分別,兩者合作把惡意內容放入 WER 服務之內,Kraken 負責把 Shellcode 放入 WerFault.exe,目的是執行 Loader 中的 load 功能。最終的 Shellcode 是一個指令組去訪問一個 hard-coded 的 HTTP 並下載惡意內容和把它加入流程。
有待進一步確定真兇
研究人員表示他們將會繼續調查攻擊與 APT32 的關連,嘗試更確實地找出這次活動的幕後黑手。APT32 至少自 2013 年開始運作,他們的目標大部份位於東南亞地區,在今年初便發現它曾盜取肺炎相關的情報。
資料來源:Threat Post
