间谍软件“Dark Universe（暗宇宙）”，窃取敏感信息的一把好手

2017年4月，黑客组织“Shadow Brokers（影子经纪人）”曝光了据称美国国家安全局（NSA）旗下黑客组织“Equation Group（方程式组织）”所使用的“Lost in Translation”工具，其中包含一个有趣的脚本，该脚本能够检测受感染系统中其他APT的痕迹。

2018年，卡巴斯基实验室发现了一种从2009年到2017年一直处于活跃状态的新型APT恶意软件，并认为它正是该脚本的第28个函数。

通过分析被命名为“Dark Universe（暗宇宙）”的新型APT恶意软件的代码，卡巴斯基实验室认为它属于ItaDuke系列活动的一部分。

ItaDuke是一个自2013年以来一直保持活跃的黑客组织，习惯于利用PDF漏洞来释放恶意软件以及利用Twitter帐户来存储C2服务器URL。

传播媒介

和大多数恶意软件一样，Dark Universe的传播载体也是附带恶意Microsoft Office文档的鱼叉式钓鱼电子邮件。

嵌入在恶意文档中的可执行文件会从其自身中提取两个恶意文件：updater.mod和gum30.dll，并将它们保存到“%USERPROFILE%AppDataRoamingMicrosoftWindowsReorder”下。

之后，它会将合法的rundll32.exe可执行文件复制到同一目录下，并使用它运行updater.mod。

updater.mod模块

该模块被实现为一个动态链接库，仅会导出一个函数，名为“callme@16”。

该模块主要负责执行以下任务：与C2服务器通信、实现长久驻留以及管理其他模块。

其中，长久驻留是由updater.mod放置的一个链接文件实现的，以确保受感染系统重启后恶意软件仍能够执行。

C2通信

C2服务器主要基于mydrive.ch上的云存储。针对每一个受感染系统，攻击者都会为其处创建一个新帐户，并上载其他恶意软件模块以及一个带有执行命令的配置文件。

一旦执行，updater.mod模块将连接到C2并执行以下操作：

被下载的其他恶意软件如下：

值得注意的是，所有恶意软件模块均经过了自定义算法的加密：

C2帐户的凭证存储在注册表中的配置中。与此同时此外，updater.mod模块还将副本作为加密字符串存储在可执行文件中。该配置指定了updater.mod多久轮询一次C2，同时支持活动模式和部分活动模式。

注册表中的恶意软件配置

恶意软件配置存储在“SOFTWAREAppDataLowGUILegacyP”条目的注册表中，详见下表：

glue30.dll和msvcrt58.sqt模块

glue30.dll模块提供了按键记录功能——updater.mod模块使用Win API函数SetWindowsHookExW安装按键钩子，并将glue30.dll注入到获取键盘输入的进程中。之后，glue30.dll便能够加载并开始在每个挂钩进程的上下文中拦截输入。

msvcrt58.sqt模块备用拦截未加密的POP3流量，以收集电子邮件对话和受害者的凭证。具体来讲，该模块会从以下进程中查找流量：

之后，它会解析拦截的POP3流量，并将结果发送到主模块（updater.mod），以上传到C2。这是通过挂钩以下与网络相关的Win API函数来完成的：

dfrgntfs5.sqt模块

dfrgntfs5.sqt模块是功能最强大的一个模块，负责处理大量命令：

受害者统计

卡巴斯基实验室表示，他们到目前为止共发现了大约20名受害者，他们分别位于叙利亚、伊朗、阿富汗、坦桑尼亚、埃塞俄比亚、苏丹、俄罗斯、白俄罗斯和阿联酋。

结论

DarkUniverse是一款已经使用了至少8年时间的APT恶意软件，它包含用于收集有关目标用户和受感染系统的各种信息的所有必要模块，并且其代码似乎从头到尾都是原创。

基于代码的重叠，卡巴斯基实验室非常有把握将它与ItaDuke系列活动联系在一起，并且攻击者十分狡猾，在整个操作生命周期中不断地对其恶意软件进行更新。

来源：网络攻防