GA黄金甲

首页 > 安全钻研 > 钻研汇报 > 攻击与威胁分析

“�；品洹保赫攵晕夜滦丝萍计笠档那悦芑疃疃确治�

颁布功夫 2022-04-28

一、概述

GA黄金甲ADLab在近几个月内，把稳到多起将发件人假装为物流货运公司的定向邮件垂钓活动，假装的对象蕴含“深圳市运**际物流有限公司”、“上海印**际货运代理有限公司深圳分公司”和“中**运散货运输有限公司”。目前我们监测到的受攻击指标佑妆徐州**光电科技有限公司”（重要从事光电器件研发）和“华**通股份有限公司”（重要从事智能汽车造作），可能还有更多的潜在攻击指标未被发现，攻击者似乎偏差于对一些新兴科技行业提议攻击，值得有关企业提高警惕，加强防备措施。通过溯源我们并没有发现任何与本次攻击有关的现有攻击组织，该组织在窃密木马中内嵌的用于窃密信息回传的发送者邮箱和接管者邮箱均来自伊朗，这在肯定水平让我们误以为攻击者来自伊朗，但是通过更进一步分析发现，这些邮箱均是黑客组织窃取的邮箱，其中还蕴含大量的凭证。

由于该组织出格善于假装，尤其喜欢使用已窃取的邮件凭证来攻击指标，无论是恶意邮件攻击，还是用于回传数据的SMTP信路，都极难溯源和追踪黑客，因而我们将该组织定名为“�；品洹�，该组织就像“�；品洹币谎囟灰妆环⑾秩茨芨酥旅换�。“�；品洹弊橹攘ζ钣谙裙ハ乱恍┖Ｔ死喙静⑶匀≌庑┕居氏淦局�，而后以这些公司的名义对其真实的指标提议攻击，攻击的对象以新兴的科技企业为主，当前能够确定的受害国度有中国、伊朗、韩国和阿联酋。

目前所发现的攻击活动重要以携带有窃密木马的垂钓邮件为主，窃密使用了“Agent Tesla”，木马选取C#编写并经过层层加密�；�，为了不留痕迹选取了不落地执行，窃密数据蕴含指标设备上的“FTP账户凭证”、“邮箱账户凭证”、“VPN账户凭证”、“远程治理软件凭证”以及“浏览器中存储的账户凭证”等各类账户凭证信息。必要警惕的是，以往供给链攻击事务中大部门都和沉要账户的登录凭证失窃有关。“Agent Tesla”是一款驰名的贸易化窃密木马，该木马最早能够追忆到2014年，其最先呈此刻一个土耳其语的网站上售卖，价值凭据选择的职能在几美元到几十美元之间不等，现已呈此刻“海毒蛇”、“Gorgon”、“SWEED”等各个黑客组织的兵器库中。

固然目前所发现的攻击并不频仍，但是从“�；品洹钡墓セ髦髡爬纯�，除了我们所发现邮件攻击表，还可能暗含有更多直接攻击好比通过VPN凭证、远程治理软件凭证进入企业内部所产生的未知潜在的攻击威胁，这些凭证最危险的处地点于黑客可能等闲地执行供给链攻击，正如2020年产生的“太阳风供给链攻击事务”那样，黑客通过凭证进入了太阳风公司内部篡改远程治理软件的源代码，从而导致下游使用该软件的大量企业受害。

此表，通过对内嵌的攻击邮箱进行关联分析发现，该组织最早攻击能够追忆到2020年岁首，该组织成功入侵了伊朗的“Jindal Packaging”、“Voice of Port's Mariner Shipping Agency”等一些海运公司，并且窃取了该公司邮件凭证并以此来攻击韩国的互联网公司“NAVER”，攻击“NAVER”的功夫产生在2020年7月。

二、攻击的指标企业

本次发现的“�；品洹惫セ髦�，攻击者假装成 “深圳市运**际物流有限公司”某员工的邮箱“f***@wi***logistics.com”向“徐州**光电科技有限公司”的4名员工发送了内容一样的垂钓邮件（图1仅列出收件报答“ja***@l**t.com”的垂钓邮件）。垂钓邮件如图1所示，邮件主题为“(SOA) OVERDUE FOR DEC. 2021”（SOA于2021年12月到期），邮件正文为“Please check theattached statement for DEC. 2021”（请查看2021年12月的附件）。附件是名称为“updatedsoa.rar”的压缩文件，其解压后是名称为“updated soa.exe”的恶意可执行法式。

图片1.png

图1 垂钓邮件

仅一周后，该攻击者又假装成“上海印**际货运代理有限公司深圳分公司”某员工的邮箱“***.wu@j***peed.com”向该公司的同样4名员工发送了另一封内容一样的垂钓邮件（图2仅列出收件报答“ja***@l**t.com”的垂钓邮件）。垂钓邮件如图2所示，邮件主题为“URGENT REQUEST”（垂危要求），邮件正文大意为“请凭据邮件附件更新，剩下的文档我会尽快发送”，附件是名称为“Invoice.exe.xz”的压缩文件，其解压后是名称为“Invoice.exe”、图标假装成XML文档的恶意可执行法式。

图2.png

图2 垂钓邮件

我们捕获到的另表一次攻击中，攻击者假装成“中**运散货运输有限公司”某员工的邮箱“yuan-***@chi***ulker.com”向“华**通”公司的员工“***_gao@hum****orizons.com”发送垂钓邮件，见图3。邮件主题为“TT Transmitted Copy”，邮件正文大意为“请查看附件中120,000.00美元的付款凭证并确认无误”。附件是名称为“SWIFT COPY.rar”的压缩文件，其解压后是名称为“SWIFT COPY.exe”、图标假装成Word文档的恶意可执行法式，攻击者贪图假装成“SWIFT”（全球银行金融电信协会）的付款痛处诱使受害者点击。

图3.png

图3 垂钓邮件

以上攻击中，攻击者投递的恶意可执行法式执行后均会向习染设备开释“Agent Tesla”木马，以窃取攻击指标主机的“FTP账户凭证”、“邮箱账户凭证”、VPN账户凭证”、“远程治理软件凭证”以及“浏览器中存储的账户凭证”等各类账户凭证信息。

三、溯源与关联分析

我们监测到的以攻击“徐州**光电科技有限公司”为指标的攻击邮件有8封（见表1）。黑客前后对该公司提议了两轮攻击，并且这两轮攻击所选定的指标和使用的窃密木马都是一样的。第一轮攻击产生于1月6日，攻击者假装成“深圳市运**际物流有限公司”的员工向指标发送垂钓邮件；第二轮攻击产生于1月13日，攻击者这次假装成“上海印**际货运代理有限公司深圳分公司”员工再次向指标投递垂钓邮件。两次攻击活动的TTPs高度类似，攻击指标均为该公司的4名内部人员，并使用了同样的窃密木马Agent Tesla以及同样回传邮箱“donya@fortunaship.com”。

表1.png

表1 关联的垂钓邮件信息

通过对邮件携带的恶意载荷“Agent Tesla”木马的分析发现，黑客通过木马会将窃取到的凭证信息回传给黑客节造的邮箱。黑客在木马中内置了用于回传窃密数据的发送者邮箱“info@jindalpackaging.in”、“nowzathali@ratllc.ae”和接管窃密数据的接管者邮箱“donya@fortunaship.com”。我们通过用于回传窃密数据的发送者邮箱“info@jindalpackaging.in”关联出另一个属于该组织的Tesla木马，并进一步对该木马进行回溯分析，关联出另表一封针对我国智能汽车造作有关公司“华**通”内部人员的垂钓邮件（见表2）。

表2.png

表2 关联的垂钓邮件信息

“info@jindalpackaging.in”同样关联到了2020年7月攻击指标为韩国公司的多起攻击（https://asec.ahnlab.com/en/17550，How AgentTesla Malware is Being Distributed in Korea）。由此能够看出该组织至少从2020年就起头利用垂钓邮件和“AgentTesla”木马进行网络攻击。另表，我们发现 “info@jindalpackaging.in”疑似和邮箱“jindal23396@yahoo.com”为统一幼我持有的两个分歧邮箱，而从“jindal23396@yahoo.com”关联出的信息（见图4）来看，能够确认该邮箱的持有者供职于“Jindal Packaging”公司，并且位于伊朗（98起头的电话）。

图4.png

图4 邮箱和伊朗有关

同时，我们发现用于接管窃密数据的接管者邮箱 “donya@fortunaship.com”疑似是伊朗海运代理公司“Voice of Port's Mariner ShippingAgency”（http://vopmco.com/Aboutper.html）一职位为财政的员工邮箱（见下图5）。结合前文木马用于回传窃密数据的发送者邮箱“info@jindalpackaging.in”的正常持有者也同样为伊朗公司的员工，能够看出攻击者似乎窃取了大量伊朗人员的正常邮箱，由此能够看出，攻击者在早前攻击过伊朗有关公司。

图5.png

图5 关联到的伊朗某海运公司员工

由以上分析可知，“�；品洹弊橹凇癆gent Tesla”木马中使用的回传窃密数据的发送者邮箱“info@jindalpackaging.in”和接管窃密数据的接管者邮箱“donya@fortunaship.com”都不是攻击者自己的邮箱，而是攻击者窃取其他用户的正常邮箱。这和“�；品洹弊橹墓セ鞲鲂韵喾�，该组织持久重要以窃取各类登录凭证为主张，其通过已窃取的凭证作为发送者邮箱，来暗藏自己的攻击行为，预防自己被溯源定位。

我们凭据这次攻击中该黑客组织在木马中内置的用于回传窃密数据的发送者邮箱“info@jindalpackaging.in”关联到该组织2020年7月攻击指标为韩国互联网公司“NAVER”的多起攻击，这起攻击中，用于发送和接管窃密数据的邮箱同样属于伊朗的两家海运公司，这两封邮箱别离为“info@jindalpackaging.in”和“donya@fortunaship.com”，有关的企业别离为别离为“Jindal Packaging”、“Voice of Port's MarinerShipping Agency”。而通过进一步分析发现，“�；品洹弊橹缭�2020岁首对伊朗的这两家公司进行了攻击并成功获得有关人员的登录凭证。从黑客组织的指标我们能够看出，攻击类似海运公司并获得凭证并不是该组织的真实主张，其真实主张只是想利用这些海运公司来打掩护，以更高的成功率更隐秘的方式来攻击一些高科技企业。

四、攻击样本分析

如图6所示，恶意邮件附件是名称为“updated soa.rar”的压缩包，其解压后是名称为“updated soa.exe”、图标假装成“soa”更新法式图标的恶意可执行法式。“updated soa.exe”现实上是自动化工具“Agent Tesla”打包的木马，其运行后分四个阶段执行：“updated soa.exe”是经过大量混合的母体表壳法式，其执行后会在内存中解密并不落地执行第二阶段�？椤癇unifu.UI.dll”；“Bunifu.UI.dll”执行后会从母体“updated soa.exe”的资源段读取名称为“qdjSmj”的资源文件进行解密，并在内存中不落地执行第三阶段�？椤癹s顾RFH顾 diQC”（exe可执行法式）；“js顾RFH顾 diQC”�？橐环矫嬲乒苣柑宸ㄊ健皍pdated soa.exe”的悠久化，另一方面解密、注入并执行最后阶段�？椤癆gentTesla”主题木马。“Agent Tesla”主题木马执行后会窃取习染设备“FTP账户凭证”、“邮箱账户凭证”、“VPN账户凭证”、“远程治理软件凭证”以及“浏览器中存储的账户凭证”等各类账户凭证信息后，以邮件的大局将这些信息回传到攻击者节造的邮箱。

图6.png

图6 攻击流程图

4.1 第一阶段�？�

母体“updated soa.exe”重要用于解密并在内存中加载下一阶段的职能�？椤癇unifu.UI.dll”，“updated soa.exe”将自身假装成“soa”的更新法式，以蛊惑攻击指标执行。“updated soa.exe”使用自界说的函数将密文解密和字符串代替后，得到一串base64编码的字符串，而后挪用FromBase64CharArray函数解码该字符串（见图7）。解码得到名称为“Bunifu.UI.dll”的Dll文件（见图8）并在内存中不落地执行。

图7.png

图7 Base64解码字符串后，内存加载执行

图8.png

图8 Base64解码后的“Bunifu.UI.dll”文件

4.2 第二阶段�？�

该阶段的�？槊莆癇unifu.UI.dll”，其执行后会从母体“updated soa.exe”的资源段读取名称为“qdjSmj”的资源文件（如图9所示）进行解密，解密后是名称为“js顾RFH顾 diQC”的exe可执行法式。

图9.png

图9 “updated soa.exe”中名称为“qdjSmj”的资源文件

“Bunifu.UI.dll”的函数“Bunifu_TextBox”掌管解密“qdjSmj”资源文件（如图10所示），该函数首先遍历图9资源文件中的每个像素点，对每个像素点的RGB数据顺次分列，而后使用自界说的异或算法对这些像素数据进行解密。

图10.png

图10 解密函数

“Bunifu.UI.dll”解密得到名为“js顾RFH顾 diQC”的 exe可执行法式后继而在内存中不落地加载执行该法式。图11为Bunifu.UI.dll解密母体“updated soa.exe” 中资源文件“qdjSmj”得到的“js顾RFH顾 diQC”可执行法式。

图11.png

图11 解密资源文件为可执行法式

4.3 第三阶段�？�

“js顾RFH顾 diQC”�？榫舜罅炕旌希ㄈ缤�12所示）。我们分析后发现该�？橹匾辛礁鲋澳埽阂皇谴唇ù蛩愎ぷ魇迪帜柑濉皍pdated soa.exe”的悠久化，二是解密并执行最后阶段的“AgentTesla”主题木马。

图12.png

图12 经过混合的“js顾RFH顾 diQC”

4.3.1 悠久化

该�？槭紫然崾褂肳riteAllBytes函数将母体“updated soa.exe”的副本写入“C:\Users\username\AppData\Roaming\”目录，并沉定名为“KcSOZJHG.exe”，见图13和图14。

图13.png

图13 写入第一阶段�？楦北�

图14.png

图14 写入的第一阶段�？楦北�

而后该�？榛岫寥∠叭旧璞钢骰⒂没刃畔�，使用“WriteAllText”函数向习染设备的“%tmp%”目录写入“.tmp”后缀的XML文件（见图15）。

图15.png

图15 向习染设备的“%tmp%”目录写入XML文件

XML文件的内容见图16：

图16.png

图16 XML文件内容

接着该�？橹葱�"schtasks.exe" /Create /TN \"Updates\\KcSOZJHG\"/XML \"C:\\Users\\ThinkPad\\AppData\\Local\\Temp\\tmp32C4.tmp\"号令创建打算工作（见图17），实现悠久化，以达到恶意法式开机启动的主张。

图17.png

图17 创建打算工作，实现开机启动

之后该�？榛嵘境齲ml一时文件（见图18）。

图18.png

图18 删除xml一时文件

我们使用号令行查看该�？榇唇ǖ拇蛩愎ぷ鳎ḿ�19），能够看到该�？榇唇嗣莆癨Updates\KcSOZJHG”的打算工作，在系统每次启动后运行恶意法式“C:\Users\username\AppData\Roaming\KcSOZJHG.exe”。

图19.png

图19 恶意代码创建的打算工作

4.3.2 解密并注入“Agent Tesla”主题木马

实现悠久化操作后，该�？榛嵩谀诖嬷薪饷艹鲎詈蠼锥蔚哪？�-“Agent Tesla”主题木马，而后启动“RegSvcs.exe”过程，使用过程镂空的方式将“Agent Tesla”主题木马注入到“RegSvcs.exe”过程中执行。RegAsm.exe 是 Microsoft .Net Framework 的官方组件，攻击者将AgentTesla”主题木马注入其中以躲避安全检测。图20为内存中解密的“Agent Tesla”主题木马数据。

图20.png

图20 内存中解密的“Agent Tesla”木马数据

在过程注入方式上，该�？榕灿昧顺＜墓套⑷階PI进行注入操作：使用 CreateProcess() 创建挂起的“RegSvcs.exe”过程，通过 VirtualAllocEx()、NtUnmapViewOfSection()、ReadProcessMemory()、WriteProcessMemory() 将“Agent Tesla”木马注入挂起的“RegSvcs.exe”过程新分配的内存中，接着使用SetThreadContext()/Wow64SetThreadContext()、GetThreadContext()/Wow64GetThreadContext() 批改exe 的注册表并批改 EIP 指针指向Agent Tesla主题木马，最后挪用 ResumeThread() 复原执杏装RegSvcs.exe”过程。图21是该�？椴棵臕PI的截图。

图21.png

图21 过程注入用到的部门API

4.4 最后阶段�？�

“Agent Tesla”主题木马执行后，先将自身拷贝到“C:\Users\ThinkPad\AppData\Roaming\tKZVPq”目录，并沉定名为tKZVPq.exe，而后通过设置注册表“HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run”实现开机自启动（见图22），实现悠久化。

图22.png

图22 设置开机自启动

4.4.1 窃守信息

该“Agent Tesla”主题木马中有设置Timer对习染设备进行屏幕截图并回传的代码，但未启用，其启用了窃取指标设备上的“FTP账户凭证”、“邮箱账户凭证”、“浏览器中存储的账户凭证”等各类账户凭证和浏览器Cookie的职能。该“Agent Tesla”主题木马支持的回传方式有SMTP、FTP和HTTP。本�？檠≡袷褂肧MTP方式将窃取到的敏感信息回传到攻击者节造的邮箱账户中。

图23是“Agent Tesla”主题木马窃取账户凭证涉及到的部门浏览器截图。

图23.png

图23窃取账户凭证的部门浏览器截图

我们将这些浏览器整顿到表3中。从表3中我们能够看到，“AgentTesla”主题木马尝试窃取蕴含Chrome、Edge、Safari、Firefox等主流浏览器、和国内QQ浏览器、360浏览器、UC浏览器、猎豹浏览器以及其他多个浏览器中所保留的账户凭证和Cookie。

表3.png

表3 窃取账户凭证的所有浏览器

我们将木马窃取账户凭证涉及到的FTP利用、邮箱利用、VPN利用、远程治理当用以及一些其他利用别离列到以下几个表格中。

表4.png

表4 木马窃取账户信息的FTP利用

表5.png

表5 木马窃取账户信息的邮件利用

表6.png

表6 木马窃取账户信息的VPN和远程治理当用

表7.png

表7 木马窃取账户信息的其他利用

4.4.2 回传窃密信息

图24显示的是“Agent Tesla”主题木马窃取到的习染主机Outlook邮箱利用保留的邮箱账户和邮箱密码。

图24.png

图24 窃取到的Outlook邮箱账户和密码

木马窃取到习染主机的有关账户凭证信息后，会使用攻击者事先窃取的邮箱将这些信息回传给其节造的另一邮箱（如图25所示）。

图25.png

图25 邮箱发送窃密信息

从上图能够看到，回传窃密数据的发送者邮箱为“info@jindalpackaging.in”，接管窃密数据的接管者邮箱为“donya@fortunaship.com”。邮件主题为PW_用户名/主机名，邮件正文蕴含功夫、习染设备的用户名、主机名、操作系统名称、CPU信息、内存信息、以及窃取到的Outlook邮箱账户名称和密码（如图26所示）。

图26.png

图26 邮件主题和正文

五、总结

通过度析能够看出，“�；品洹弊橹壳翱赡鼙环⑾值墓セ骷苛┮廊灰晕痹斓挠氏湔嘶Ф灾副杲卸ㄏ蚬セ�，以向指标设备投放恶意木马。在侵入指标设备后，恶意木马再通过内存解密和多层嵌套加载、不落地执行来躲避安全查抄，最终在指标设备上持久埋伏。针对此类攻击，企业该当做好企业邮箱SPF防护，以阻止来自伪造邮箱的攻击。同时我们建议用户不要轻易打开和下载未知起源的邮件附件、做好邮件系统的防护表，即就是收到的邮件来自已知起源或熟悉的合作同伴公司也要审慎对待，慎沉打开其附件中的文件，如有必要联系发送者进行确认，提高安全风险意识，一旦发现系统或服务器出现异常行为，应实时汇报并请专业人员进行排查，以解除安全隐患。此表，“�；品洹弊橹匾髡攀乔匀〔⑼绻セ髦副晟璞干系摹癋TP账户凭证”、“邮箱账户凭证”、“VPN账户凭证”、“远程治理软件凭证”以及“浏览器中存储的账户凭证“等各类账户凭证信息，而后利用这些信息作为假装，进一步攻击其他指标。更让人不安的是，这些敏感信息能够让黑客齐全节造企业的内部系统，并且可能等闲地执行荫蔽性更强、风险性更高的供给链攻击。因而，我们除了对邮件提高警惕和防护表，还必要加强VPN、远程治理软件等等内部软件的异常行为监测。

上一篇下一篇

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

04152424g9z1

官方微信

12145445s033

官方微博

网御星云合多数据书生电子云子可信

司法申明

Copyright ? GA黄金甲版权所有京ICP备05032414号京公网安备11010802024551号

【网站地图】