Avast 发现了被损坏的菲律宾海军证书，已被用于远程访问工具

---

Avast 威胁情报团队发现，菲律宾有一种远端存取工具RAT正在活跃使用，并使用了似乎是菲律宾海军的受损数位证书。该证书现在已过期，我们检测到它在 2020 年 6 月曾与此恶意软体一起使用。

根据我们的研究，我们高度确信这名威胁演员拥有该证书的私钥。

我们联络了 CERTPH，菲律宾的国家电脑紧急应变小组，以协助我们联系海军。我们已向他们分享了我们的发现。海军的安全团队后来告诉我们，该事件已经解决，无需我们进一步的协助。

因为目前正在发动活跃攻击，我们立即释出这些发现，以便组织可以采取措施更好地保护自己。我们发现这个样本现已在 VirusTotal 上可用。

被损害的过期菲律宾海军数位证书

在我们的分析中，我们发现样本连接到 dost[]igovservice[]net8443，并使用静态链接的 OpenSSL 库进行 TLS 通信。

对 CampC 网域进行的 WHOIS 查询显示了以下信息：

数位证书被锁定，所以该恶意软体需要证书才能通信。

当我们检查用于 TLS 通道的数位证书时，发现了以下信息：

值得注意的一些重要事项：

每天免费2小时加速器该证书是一个有效证书，主题为 navymilph，为菲律宾海军所有。该证书最近已过期：它的有效期为一年，从 2019 年 12 月 15 日星期日到 2020 年 12 月 15 日星期二。我们的研究显示， Censys 曾在实际的 navymilph 网站上看到 这张证书被使用。

根据我们的研究，我们高度确信这名威胁演员拥有该证书的私钥。

虽然数位证书已过期，但我们看到证据显示它在 2020 年 6 月与此恶意软体一起使用。

我们发现恶意 PE 档案的档名为：CWindowsSystem32wlbsctrldll，其杂凑值为：85FA43C3F84B31FBE34BF078AF5A614612D32282D7B14523610A13944AADAACB。

在分析该恶意 PE 档案时，我们发现其编译时间戳不正确或被编辑过。具体来说， PE 档案的 TimeDateStamp 在 PE 标头和调试目录中都被修改为 2004 年，如下所示：

然而，我们发现该作者使用的是 OpenSSL 111g，并于 2020 年 4 月 21 日进行编译，如下所示：

作者的用户名可能是 udste，这可以从使用的 OpenSSL 库内的调试信息中看出。

我们发现该恶意软体支持以下命令：

执行 shellcode读取档案写入档案取消数据传输列出驱动器重命名档案删除档案列出目录内容

关于该恶意 PE 档案的其他一些值得注意的事项：

除了它使用的互斥锁外，恶意软体中的所有配置字串都使用 AESCBC 加密。该互斥锁未经解密直接使用：t7As7y9I6EGwJOQkJz1oRvPUFx1CJTsjzgDlm0CxIa4=当此字串 被解密 时，使用硬编码的金钥进行解密，结果是 QSRMUTEXzGKwWAejTD9sDitYcK。我们怀疑这是企图将该恶意软体隐藏为恶名昭彰的 Quasar RAT 但这并不成立，因为此样本是用 C 撰写，而 Quasar RAT 是用 C# 撰写的。

Avast 客户已经在保护该恶意软体。

侵犯指标 (IoC)

存储库 https//githubcom/avast/ioc/tree/master/PhilippineNavyCertificate

SHA256 档案名85FA43C3F84B31FBE34BF078AF5A614612D32282D7B14523610A13944AADAACBCWindowsSystem32wlbsctrldll互斥锁

t7As7y9I6EGwJOQkJz1oRvPUFx1CJTsjzgDlm0CxIa4=CampC 伺服器

dost[]igovservice[]net8443

标记为 分析、后门、恶意软体、rat

分享：XFacebook

---