本文将介绍Earth Preta APT组织利用的最新工具、技术和程序（TTP）的更多技术细节。介绍在2022年11月，趋势科技的研究人员就披露了由高级持续性威胁（APT）组织Earth Preta（也称为Mustang Panda）发起的大规模网络钓鱼活动。该活动通过鱼叉式网络钓鱼电子邮件针对亚太地区的多个国家。自2023年初以来，该组织正在使用新的方法，例如MIROGO和QMAGENT。

此外，研究人员还新发现了一个名为TONEDROP的释放程序，它可以释放TONEINS和TONESHELL恶意软件，根据观察，该组织正在将其目标扩展到不同的地区，如东欧和西亚，再加上亚太地区的几个国家，如缅甸和日本。

通过追踪分析恶意软件和下载网站，研究人员试图找到攻击者用来绕过不同安全解决方案的工具和技术。例如，研究人员收集了部署在恶意下载网站上的脚本，这使他们能够弄清楚它们的工作原理。研究人员还观察到，Earth Preta向不同的受害者提供不同的有效负载。

受害者研究

从2023年1月开始，研究人员就观察到几波针对不同地区个人的鱼叉式网络钓鱼电子邮件。

鱼叉式网络钓鱼邮件收件人的国家分布

研究人员还能根据目标行业对受害者进行细分。如下图所示，大多数目标自电信行业。

鱼叉式网络钓鱼邮件收件人的行业分布

2023年，研究人员使用了新的攻击指标监测了Earth Preta，包括MIROGO、QMAGENT和名为TONEDROP的新TONESHELL释放程序。

同样，这些攻击链也发生了变化。例如，除了部署合法的Google Drive下载链接外，攻击者还使用其他类似但实际上不是Google Drive页面的下载网站。

2023年的事件时间线

Backdoor.Win32.QMAGENT

2023年1月左右，研究人员发现QMAGENT恶意软件通过鱼叉式网络钓鱼电子邮件传播，目标是与政府组织有关的个人。QMAGENT（也称为MQsTTang）最初是在ESET的一份报告中披露，值得注意的是，它利用了物联网（IoT）设备中常用的MQTT协议来传输数据和命令。由于上述报告详细描述了恶意软件的技术细节，我们在此不再赘述。然而，研究人员认为所使用的协议值得进一步调查。

Backdoor.Win32.MIROGO

2023年2月，研究人员发现了另一个用Golang编写的名为MIROGO的后门，Check Point Research首次将其报告为TinyNote恶意软件。研究人员注意到，它是通过一封嵌入Google Drive链接的钓鱼电子邮件发送的，然后下载了一个名为Note-2.7z的压缩文件。该压缩文件受密码保护，密码在电子邮件正文中提供。提取后，研究人员发现了一个伪装成发给政府的可执行文件。

MIROGO攻击流程

Trojan.Win32.TONEDROP

2023年3月，研究人员发现了一个名为TONEDROP的新释放程序，它可以释放TONEINS和TONESHELL恶意软件。它的攻击链与之前报告中介绍的相似，涉及隐藏被异或的恶意二进制文件的虚假文件。

在接下来的几个月里，研究人员发现该组织还在使用这个释放程序。在研究人员的调查过程中，他们发现了TONESHELL后门的一个新变体。

释放程序流程

TONEDROP中的文件

在释放和安装文件之前，TONEDROP将检查文件夹C:ProgramDataLuaJIT是否存在，以确定环境是否已经被破坏。它还将检查正在运行的进程和窗口是否与恶意软件分析工具有关。如果是这样，它将不会继续其例行程序。

检查正在运行的进程和窗口

如果所有条件都满足了，它将开始安装过程并释放几个文件。这些文件嵌入到释放程序中，并使用异或密钥解密。

释放的文件和用于解密它们的异或密钥

被释放后，WaveeditNero.exe将侧载waveedit.dll并解密其他两个伪造的PDF文件：

它用XOR密钥0x36解密C:userspubliclast.pdf，并将其写入C:userspublic documentsWinDbg（X64）.exe。

它用XOR密钥0x2D解密C:userspublicupdate.pdf，并将其写入C:userspublicdocuments libvcl .dll。

TONEDROP将为进程C:userspublicdocumentsWinDbg（X64）.exe设置一个计划任务，它将绕过加载C:userspublicdocuments libvcl .dll。接下来，它将通过调用具有回调函数的API EnumDisplayMonitors来构造恶意负载并在内存中运行它。

TONESHELL变体D的C&C协议

研究人员发现了TONESHELL的一个新变体，它具有如下命令和控制（C&C）协议请求数据包格式：

加密后发送数据的内容

C&C协议类似于PUBLOAD和其他TONESHELL变体所使用的协议。研究人员将其归类为TONESHELL变体D，因为它还使用CoCreateGuid来生成唯一的受害者ID，这与旧的变体类似。

在第一次握手中，有效负载应该是一个0x221字节长的缓冲区，其中包含加密密钥和唯一受害者ID。表4显示了有效负载的结构。请注意，字段type、victim_id和xor_key_seed在发送缓冲区之前使用xor_key进行加密。

发送数据的内容

研究人员发现该恶意软件将victim_id的值保存到文件%USERPROFILE%AppDataRoamingMicrosoftWeb.Facebook.config中。

第一次握手中的有效负载

C&C通信协议的工作原理如下：

1.将包含xor_key和victim_id的握手发送到C&C服务器；

2.接收由魔术组成并且具有0x02大小的5字节大小的数据包；

3.接收到一个用xor_key解密的2字节大小的数据包，该数据包的第一个字节必须为0x08；

4.接收到由魔术和下一个有效负载大小组成的数据。

5.使用xor_key接收并解密数据。第一个字节是命令代码，下面的数据是额外的信息。

C&C通信

命令代码

虚假Google Drive网站

2023年4月，研究人员发现了一个传播QMAGENT和TONEDROP等恶意软件类型的下载网站。当研究人员请求URL时，它下载了一个名为Documents.rar的下载文件，其中包含一个原来是QMAGENT示例的文件。

下载网站的截图

虽然这个页面看起来像Google Drive下载页面，但它实际上是一个试图伪装成普通网站的图片文件（gdrive.jpg）。在源代码中，它运行脚本文件，它将下载文件Document.rar。

嵌入下载网站的恶意脚本

2023年5月，Earth Preta连续传播了具有不同路径的同一下载网站来部署TONESHELL，例如https://rewards[.]roshan[.]af/aspnet_client/acv[.]htm。在这个版本中，攻击者用另一段JavaScript混淆了恶意URL脚本，如下图所示。

该页面的源代码

解码后的恶意脚本URL

最后，脚本jQuery.min.js将从https://rewards.roshan[.]af/aspnet_client/Note-1[.]rar下载归档文件。

jQuery.min.js脚本

技术分析

在调查过程中，研究人员尝试了几种方法来追踪事件，并将所有指标联系在一起。研究人员的发现可以概括为三个方面：代码相似性、C&C连接和糟糕的操作安全性。

代码相似性

研究人员观察到MIROGO和QMAGENT恶意软件之间有一些相似之处。由于检测次数有限，研究人员认为这两种工具都是Earth Preta开发的，且它们都是用两种不同的编程语言实现了类似的C&C协议。

MIROGO和QMAGENT恶意软件的异同

C&C 通信

恶意软件QMAGENT使用MQTT协议传输数据。经过分析，研究人员意识到所使用的MQTT协议没有加密，也不需要任何授权。由于MQTT协议中的独特“特性”（一个人发布消息，其他所有人接收消息），研究人员决定监控所有消息。他们制作了一个QMAGENT客户端，看看有多少受害者被盯上了。经过长期监测，研究人员制作了如下统计表：

QMAGENT通信

主题名称iot/server0用于检测分析或调试环境，因此受害者数量最少。3月份的峰值最高，因为ESET报告是在3月2日发布的，这个峰值涉及自动化系统（沙箱和其他分析系统）的激活。因此，研究人员决定将峰值分解成更小的范围。

QMAGENT受害者

来自QMAGENT恶意软件的C&C请求JSON体包含一个Alive密钥，该密钥是恶意软件的正常运行时间（以分钟为单位）。

QMAGENT受害者活动时间

研究人员将前10个的运行时间分为三类：473秒、200秒和170秒。由于涉及许多分析系统，研究人员认为这些时间是不同沙盒的一些常见的超时设置。例如，CAPEv2沙箱中的默认超时设置正好是200秒。

CAPEv2中的默认超时设置

操作安全性差

调查中，研究人员收集了几个恶意压缩文件的下载链接。研究人员注意到，攻击者不仅传播了Google Drive链接，还传播了由不同云提供商托管的其他IP地址。以下是研究人员最近观察到的一些下载链接：

很明显，url中的路径遵循几种模式，例如/fav/xxxx或/f/xx。在检查url时，研究人员还发现xx模式与受害者相关（这些模式是他们的国家代码）。在调查下载网站80[.]85[.]156[.]]151（由Python的SimpleHTTPServer托管），研究人员发现它在端口8000上有一个打开的目录，其中托管了大量的数据和脚本。

开放目录漏洞

下载网站中的重要文件如下：

打开目录中的文件

接下来，我们将介绍部署在服务器上的脚本文件。

Firewall: fw.sh

Earth Preta使用脚本文件fw.sh来阻止来自特定IP地址的传入连接。禁止访问的IP地址列在文件blacklist.txt中。该组织似乎有意使用python请求、curl和wget阻止来自某些已知爬虫和某些已知安全提供程序的传入请求。研究人员认为该组织正在试图阻止该网站被扫描和分析。

“fw.sh”脚本

blacklist.txt中列出的一些IP地址

主服务器：app.py

主脚本文件app.py用于托管web服务器并等待来自受害者的连接。它处理以下URL路径：

下载网站的URL路径

下载网站的根路径如下图所示。它显示一条虚假信息，冒充来自谷歌。

网站的根页面

同时，webchat函数/webchat允许两个用户在同一页面上相互通信。登录用户名和密码在源代码中进行硬编码，分别为john:john和tom:tom。

webchat的登录界面

登录后，用户可以通过WebSocket提交他们的短信，他们收到的所有消息都会显示在这里。基于硬编码的用户名，研究人员假设“tom”和“john”是相互合作的。

网络聊天的源代码

如上所述，研究人员收集的大多数恶意下载URL都遵循特定的模式，如/fav/xxxx或/file/xxxx。根据源代码，如果请求的User-Agent标头包含以下任何字符串，则路径/fav/（依此类推）将下载有效负载Documents.rar：Windows NT 10；

Windows NT 6；

这个压缩文件被托管在IP地址80[.]85[.]157[.]3上。如果不满足指定的用户代理条件，用户将被重定向到另一个Google Drive链接。在撰写本文时，研究人员无法检索有效负载，因此无法确定它们是否确实是恶意的。研究人员认为，这是一种向不同受害者提供不同有效负载的机制。

“app.py”中的源代码

值得注意的是，每个源IP地址、请求标头和请求URL都会记录在每个连接上。然后，所有日志文件都存储在/static文件夹中。

The logging files: /static“/static”文件夹包含大量的日志文件，这些文件似乎是由攻击者手动更改的。在撰写本文时，日志文件记录了2023年1月3日至2023年3月29日的日志。当研究人员找到它们的时候，文件夹里有40个日志文件。

日志文件列表

记录请求的示例

研究人员还尝试解析和分析日志文件。由于文件中包含了受害者的访问日志，研究人员认为可以对其进行统计以进行进一步分析。日志记录的格式如下：

研究人员还想知道受害者来自哪些国家。基于app.py，访问日志记录了两种URL：

访问日志中记录的URL

这些URL通常嵌入在电子邮件正文中。第一类URL用作电子邮件签名，第二类URL用作下载链接。为了统计收到鱼叉式网络钓鱼电子邮件的受害者人数，研究人员只保留了第一类URL的日志，因为受害者打开电子邮件时会请求这些签名URL。根据研究人员的数据，研究人员确定他们的主要目标来自立陶宛、拉脱维亚、爱沙尼亚、日本和缅甸。

来自不同国家的连接数量

要强调的是，这些连接只是这次活动的一小部分，因为这些日志只基于单个网站。很明显，这个网站被用来存放针对欧洲地区受害者的恶意文件。

在这些日志文件的帮助下，研究人员能够在野外收集许多分布式链接。