【nvtt dll】专题NOBELIUM组织的工具集分析

研究人员分析了NOBELIUM用于恶意电子邮件活动的四种工具：EnvyScout、BoomBox、NativeZone和VaporRage。

早在2021年2月，研究人员就已经在野外观察到了这些工具。自2020年末SolarWinds袭击事件曝光以来，NOBELIUM的知名度不断提高，该组织仍在继续以全球政府和外交实体为目标，完善其工具和策略。

1.EnvyScout：NV.html（恶意 HTML 文件）

EnvyScout是一种恶意投放程序，能够对恶意ISO文件进行反混淆并写入磁盘。EnvyScout 主要通过鱼叉式网络钓鱼电子邮件的附件传播。NV.html的HTML主体部分包含四个值得注意的组件：

组件1：跟踪和凭据收集URL

在 EnvyScout 的变体中主体部分包含两个 URL，如下所示：

第一个以file://协议处理程序为前缀，表示试图使操作系统通过端口445将敏感的NTLMv2材料发送到指定IP 地址。第二个URL为与前者相同的 IP 地址，远程提供作为HTML诱饵一部分的图像。

组件2：FileSaver JavaScript代码

组件3：混淆的 ISO 文件

组件4：去混淆器和释放器脚本

2.BoomBox：BOOM.exe（恶意下载器）

BoomBox是一个恶意下载器，负责下载和执行感染从Dropbox下载的下一阶段组件。执行时，BoomBox 确保在其当前工作目录中存在名为“NV”的目录，否则会终止程序。如果该目录存在，BoomBox 会在新的 Windows 资源管理器窗口中显示NV目录的内容。随后，BoomBox检查系统上是否存在以下文件：%AppData%MicrosoftNativeCacheNa。然后枚举受害者系统的主机名、域名、IP 地址和用户名等，以编译以下字符串：

接下来，BoomBox使用加密密钥“ 123do3y4r378o5t34onf7t3o573tfo73”和初始化向量（IV）值“ 1233t04p7jn3n4rg”对上面的字符串进行AES加密，然后再将上述数据伪装成 PDF 文件上传到 Dropbox 中针对受害者的系统文件夹中。随后再从Dropbox上下载加密文件，再继续使用加密密钥和IV值进行解密，并把解密后的文件写入文件系统%AppData%MicrosoftNativeCacheNa。然后使用rundll32.exe命令继续执行先前删除的文件Na。枚举数据经过 AES 加密保存在伪造的 PDF 文件中，并上传到 Dropbox 路径/new/<Victim_ID>。

3.NativeZone：Na（恶意加载器）

NativeZone是一个恶意加载器，利用rundll32.exe加载恶意下载组件Cer，通过调用名为eglGetConfigs的导出函数执行rundll32.exe来加载%AppData%SystemCertificatesLib Cer，如下所示：

4.VaporRage：Cer（恶意下载器）

VaporRage是一个shellcode下载器，可以执行其 C2 服务器提供的任何兼容 shellcode，包含11个导出函数，包括eglGetConfigs，如下：

此外，NOBELIUM还使用了多个自定义Cobalt Strike Beacon加载器，包括 TEARDROP、Raindrop 和其他自定义加载器。

（每日更新整理国内外威胁情报快讯，帮助威胁研究人员了解及时跟踪相关威胁事件）

安恒威胁情报中心：专注于提供威胁数据与分析服务

微信公众号：安恒威胁情报中心