总部位于美国加州桑尼维尔的网络安全公司Proofpoint在上周发表的一篇文章中指出，该公司的安全研究人员已经确定了一起有针对性的APT（Advanced Persistent Threat，高级持续性威胁）活动。

在这起活动中，攻击者利用恶意RTF文档向“没有一点点防备”的受害者发送了自定义的恶意软件。基于感染目标以及命令和控制（C&C）基础设施域名的独特性，Proofpoint的安全研究人员将这一活动命名为“Lagtime IT行动”。

研究人员表示，自今年年初以来，“Lagtime IT行动”主要针对了东亚国家的一些主要负责跟进政府信息技术、国内事务、外交事务、经济发展和政治进程的政府部门。

感染媒介以鱼叉式网络钓鱼电子邮件为主，恶意附件包含了能够利用Microsoft公式编辑器漏洞CVE-2018-0798的脚本，旨在传播一种名为“Cotx RAT”的自定义恶意软件以及另一种名为“Poison Ivy”的恶意软件。

基于对C&C基础设施、后期开发技术以及TTP（战术、技术、程序）的分析，Proofpoint的研究人员将“Lagtime IT行动”归因于被他们追踪为“TA428”的中国黑客组织——一个在2013年就曾被Proofpoint公开披露过的黑客组织。

“Lagtime IT行动”简介

Proofpoint的研究人员表示，他们最初是在今年3月份发现了针对东亚政府机构的鱼叉式网络钓鱼电子邮件活动。大量的钓鱼电子邮件主要来自yahoo[.]co[.].jp和yahoo[.]com免费电子邮箱，虽然附件是.doc文档，但它们实际上是重命名后的RTF文件。

大多数电子邮件使用的主题、附件名称和附件内容均与信息技术有关。例如，其中一些电子邮件就使用了类似于“ITU Asia-Pacific Online CoE Training Course on ‘Conformity & Interoperability in 5G’ for the Asia-Pacific Region, 15-26 April 2019”（大致翻译为：2019年4月15日至26日，ITU亚太地区“5G一致性与互操作性”在线COE培训班）这样的主题以及“190315_annex 1 online_course_agenda_coei_c&i.doc”这样的附件名称。

恶意RTF附件分析

如上所述，恶意RTF附件包含了能够利用Microsoft公式编辑器漏洞CVE-2018-0798的脚本，该脚本能够将PE文件释放到Windows临时目录中，文件名为“8.t”。8.t执行时会将扩展名为“.wll”的Word加载项文件写入Windows启动目录，该目录将在下一次打开Word时运行。

.wll文件执行后，会将自身重命名为“RasTls.dll”。同时，它会解密一个合法的Symantec PE二进制文件，通常名为“intelgraphicscontroller.exe”或“acrod32.exe”。这个合法的Symantec二进制文件的作用是使用DLL搜索顺序劫持来侧向加载RasTls.dll，进而导致COTX RAT恶意软件的执行。

恶意软件：Cotx RAT

简单来说，COTX RAT恶意软件的代码就包含在RasTls.dll文件中。它是采用C++编写的，通过将自身存储在显卡驱动文件夹（具体可能是“AppData”文件夹，也可能是“PROGRAMFILES”文件夹）中来逃避杀毒软件的检测。

COTX RAT能够利用wolfSSL进行TLS加密通信，初始信标包含了以“|”分隔的系统信息（包含在信标中的数据采用的是Zlib格式，在CBC模式下使用了AES-192算法进行压缩和加密），具体如下：

• 来自“software\\\\intel\\\\java”子项的“id”值
• 计算机名称
• 用户名
• Windows版本
• 体系结构
• 恶意软件版本（如“0.9.7”，采用的是硬编码）
• 本地IP地址
• 第一个适配器的MAC地址
• 连接类型（https或_proxy）

来自C＆C的命令也通过恶意软件信标来接收的，数据经过AES加密，具体包括如下命令：

• 0 - 保持运行状态，设置一个“poll again”flag，并向C＆C发送一个空响应
• 1 - 在“software\\\\intel\\\\java”子项中设置“id”值，并向C＆C发送一个空响应
• 2 - 获取文件夹信息或驱动器信息
• 5 - 打开命令shell
• 6 - 以登录用户身份打开命令shell
• 7 - 向命令shell发送命令
• 8 - 复制文件
• 9 - 删除文件
• 10 - 读文件
• 11 - 检查文件名。如果不存在，检查扩展名为“.ut”的文件是否存在，如果存在，将文件大小发送回C＆C
• 12 - 写文件
• 13 - 截图
• 14 - 进程列表
• 15 - 杀死进程
• 16 - 将当前配置发送到C＆C
• 17 - 更新注册表中的配置和“.cotx”PE部分
• 18 - 设置睡眠时间
• 19 - 关闭C＆C通信
• 20 - 卸载并删除自身
• 21 - 获取已安装软件的列表
• 22 - 杀死命令shell
• 23 - 退出恶意软件
• 24 - 向命令shell发送“Ctrl-C”，并退出
• 25 - 执行可执行文件

恶意软件：Poison Ivy

在“Lagtime IT行动”中，TA428还使用了Poison Ivy恶意软件，但与之对应的钓鱼电子邮件数量很少。当恶意RTF附件被执行且公式编辑器漏洞被成功利用时，大多数Poison Ivy有效载荷都被释放为名为“OSE.exe”的PE文件，并尝试与IP 地址95.179.131[.]29建立通信。

具体而言，如果攻击者没能够成功让目标感染上Cotx RAT恶意软件，那么他们接下来就会向其发送带有Poison Ivy的电子邮件。

结论

Proofpoint的安全研究人员认为，躲在“Lagtime IT行动”背后的攻击者极有可能是一个来自中国的黑客组织。这是因为，“Lagtime IT行动”有很大可能就是一起网络间谍活动，主要就是为了获取有关这些国家的情报，而这些国家正是中国的邻国。

Proofpoint的安全研究人员的表示，虽然尚不能很肯定攻击者的最终动机到底是什么，但可以肯定的是，TA428在接下来行动仍然会将目标锁定在负责管理和维护东亚国家政府系统的用户身上。