执行摘要

TeamTNT是一个专注对云进行加密劫持操作的攻击组织,以使用XMRig加密工具挖矿而广为人知。在近期TeamTNT组织的最新动态中,他们仍以AWS凭证和Kubernetes集群为目标,并且还创建了名为Black-T的新恶意软件,该软件集成了开源云原生工具,能协助他们的加密劫持。除此之外,TeamTNT使用AWS凭据来枚举AWS云环境,并试图识别与之绑定的所有身份和访问管理(IAM)权限、弹性计算云(EC2)实例、简单存储服务(S3)存储桶、CloudTrail配置和CloudFormation操作。该组织目前能收集包括AWS和谷歌云在内的16个云平台或应用程序的凭据。

TeamTNT早在2020年8月就开始收集云实例上的AWS凭据,而对谷歌云凭据的窃取则表示TeamTNT的目标在进一步拓展,目前尚无迹象表明微软Azure、阿里巴巴云、甲骨文云或IBM云的这些云服务提供商成为攻击目标,但其IAM证书仍有可能通过类似的方法被锁定。

此外,TeamTNT还在其活动中添加了对开源Kubernetes和云渗透工具集Peirates的使用。有了这些技术,TeamTNT越来越有能力在目标云环境中收集足够的信息,并用于执行后利用操作。这会导致更多的横向移动或提权攻击案例,最终可能让TeamTNT获得对整个云环境的管理访问权限。

截止本文发表时,TeamTNT收集了6.52012192枚门罗币(价值1,788美元)。采矿作业中的八个矿机以77.7KH/s的平均速度运行,此门罗币钱包地址存在了114天。

枚举技术

Unit42研究人员确定了TeamTNT的恶意软件存储库之一为hxxp://45.9.148[.]35/chimaera/sh/,其中包含多个bash脚本,用于执行加密劫持、漏洞利用、横向移动和凭据抓取等操作,图1所示这个恶意软件存储库称为Chimaera存储库,它能体现TeamTNT在云环境中不断扩大的业务范围,当前和未来的面向目标。

图1.TeamTNT的Chimaera存储库

在Chimaera存储库中,有三个脚本体现了TeamTNT的定位和意图。第一个脚本是grab_aws-data.sh,(SHA256:a1e9cd08073e4af3256b31e4b42f3aa69be40862b3988f964e96228f91236593),它主要使用获取的AWSIAM凭证枚举AWS云环境;第二个脚本bd_aws.sh(SHA256:de3747a880c4b69ecaa92810f4aac20fe5f6d414d9ced29f1f7ebb82cd0f3945)从一个AWS实例提取所有SSH密钥,并标识当前运行在该实例上的所有可执行程序;最后的脚本search.sh(SHA256:ed40bce040778e2227c869dac59f54c320944e19f77543954f40019e2f2b0c35)搜索存储在特定主机上的应用程序的配置文件。上述三个脚本都是新发现的,显露了TeamTNT以AWS、谷歌云环境中的应用程序为目标的意图。

枚举AWS环境

bash脚本grab_aws-data.sh包含70个独特的AWS命令行界面(AWSCLI)命令,用于枚举7类AWS服务,包括IAM配置、EC2实例、S3存储桶、支持案例和直接连接,以及CloudTrail和CloudFormation。如图2所示,通过AWS枚举过程获得的所有值都存储在受感染系统的本地目录/var/tmp/.../...TnT.../aws-account-data/中。

图2.TeamTNT的grab_aws.sh脚本

TeamTNT脚本包含以下七种AWS服务的命令:

· 44个EC2实例命令

· 14个IAM命令

· 4直接连接命令

· 4CloudFormation命令

· 2CloudTrail命令

· 1S3命令

· 1支持命令

凭据抓取

TeamTNT还扩展了他们的凭证抓取功能,比如识别并收集16个应用程序凭据,这些应用程序可能存在于受感染的云端点上,也可能出现在云实例上的任何已知用户帐户上,包括根帐户,如下所示:

· SSHkeys.

· AWSkeys.

           s3clients.

           s3backer

           s3proxy

           s3ql

           passwd-s3fs

           s3cfg

· Docker.

· GitHub.

· Shodan.

· Ngrok.

· Pidgin.

· Filezilla.

· Hexchat.

· 谷歌云.

· ProjectJupyter.

· ServerMessageBlock(SMB)clients.

对谷歌云凭证的窃取值得注意,因为这是首个窃取除AWS之外的IAM产品凭证的攻击组织(参见图3),这类手法未来可能会被用于其他同类产品中,微软Azure、阿里云、甲骨文云或IBM云环境可能会成为攻击目标。研究人员认为,TeamTNT开发类似于上述grab_aws-data.sh的功能只是时间问题。

图3.TeamTNT的search.sh脚本搜索谷歌云凭据

横向移动操作

下面的程序是专门处理横向移动的。

Weaveworks

在search.sh脚本中,有几个应用程序显示了TeamTNT操作不断发展的攻击模式。

在Chimaera存储库中,Unit42研究人员确定了几个脚本,这些脚本可以挑选出特定的应用程序,其中之一是Weaveworks(参见图4)。Weave是为Docker和Kubernetes等容器基础设施开发的微服务网络网格应用程序,允许微服务在一个或多个主机上运行,同时保持网络连接。通过以Weave安装为目标,TeamTNT有可能使用Weave网络网格应用程序在容器内实现横向移动。从脚本setup_scope.sh中的base64编码代码中可以看出(SHA256:584c6efed8bbce5f2c52a52099aafb723268df799f4d464bf5582a9ee83165c1),TeamTNT的目标是包含WeaveDocker容器用户帐户信息。

图4.TeamTNT脚本setup_scope.shbase64解码代码

图5.为门罗币挖掘而创建的本地Docker镜像

ProjectJupyter

ProjectJupyter也列为TeamTNT操作的目标,首先是在search.sh脚本中作为凭证抓取的目标,其次作为beta横向移动脚本spread_jupyter_tmp.sh(SHA256:0d7912e62bc663c9ba6bff21ae809e458b227e3ceec0abac105d20d5dc533a22)。

Unit42研究人员还在某TeamTNT人员的Twitter帐户中发现了对Jupyter的引用。如图6所示,内容提到了某个遭入侵的Jupyter端点。

图6.TeamTNT人员展示某个遭入侵的Jupyter端点

Peirates

Peirates工具被TeamTNT用于对AWS和Kubernetes的入侵操作,有多种功能,如图7所示。该工具可以让攻击者调查和识别Kubernetes和云环境中的错误配置或潜在漏洞,并可以让TeamTNT对云基础设施执行入侵行动。

图7.Peirates渗透测试选项

门罗币挖矿业务

TeamTNT在运营上仍然专注于加密劫持。前几节介绍了TeamTNT用于扩展其加密劫持基础设施的新技术的发现,以下部分将重点介绍用于执行其加密劫持操作的过程相关的发现。

本地Docker镜像

值得注意是脚本文件docker.container.local.spread.txt,其中列出了本地Docker映像的名称,如图8所示Docker映像是本地Docker映像,这意味着它不是从托管或外部下载的Docker存储库。研究人员在DockerHub中搜索了这个Docker镜像的存在,但没有找到。

图8.docker.container.local.spread.txt的内容

创建Docker容器是为挖矿操作提供主机。如图5所示,创了一个名为mangletmpuser/fcminer的Docker镜像,启动该镜像并导到Chimaera存储库文件setup_xmr.sh,(SHA256:5ddd226d400cc0b49d0175ba06a7e55cb2f5e9586111464bcf7b3bd709417904),该文件将使用Docker容器中的开源XMRig应用程序启动Docker加密挖掘过程。

新的门罗币钱包

研究人员发现了一个新的门罗币钱包地址,该地址与门罗币公共矿池pool.supportxmr[.]com:3333相关联,如图9所示。

图9.SupportXMR公共矿池配置

在图10中,此矿池地址显示TeamTNT挖矿操作已收集6.52012192门罗币,涉及8台矿机,此已持续了114天。对于TeamTNT这样的组织来说,这个规模只能算是小型挖矿了。

图10.SupportXMR矿池显示

结论

我们建议在云环境中运行的组织,监控并阻止与TeamTNT的Chimaera存储库以及历史C2端点相关的所有网络连接。使用云原生安全平台将显着减少云基础设施的攻击面,并允许组织监控风险。

Unit42研究人员强烈推荐以下提示,以帮助保护云基础架构:

对所有云IAM角色和权限执行最小权限IAM访问策略。在适用的情况下,对服务帐户使用短期或一次性IAM凭证。

监控并阻止已知恶意端点的网络流量。

只在生产环境中部署经过审查的容器映像。

实现并使用基础设施作为代码(IaC)扫描平台,以防止不安全的云实例部署到生产环境中。

使用支持治理、风险管理和遵从性(GRC)的云基础设施配置扫描工具来识别潜在的危险错误配置。

使用云端点代理来监控和阻止已知恶意应用程序在云基础设施中的运行。

执行摘要

TeamTNT是一个专注对云进行加密劫持操作的攻击组织,以使用XMRig加密工具挖矿而广为人知。在近期TeamTNT组织的最新动态中,他们仍以AWS凭证和Kubernetes集群为目标,并且还创建了名为Black-T的新恶意软件,该软件集成了开源云原生工具,能协助他们的加密劫持。除此之外,TeamTNT使用AWS凭据来枚举AWS云环境,并试图识别与之绑定的所有身份和访问管理(IAM)权限、弹性计算云(EC2)实例、简单存储服务(S3)存储桶、CloudTrail配置和CloudFormation操作。该组织目前能收集包括AWS和谷歌云在内的16个云平台或应用程序的凭据。

TeamTNT早在2020年8月就开始收集云实例上的AWS凭据,而对谷歌云凭据的窃取则表示TeamTNT的目标在进一步拓展,目前尚无迹象表明微软Azure、阿里巴巴云、甲骨文云或IBM云的这些云服务提供商成为攻击目标,但其IAM证书仍有可能通过类似的方法被锁定。

此外,TeamTNT还在其活动中添加了对开源Kubernetes和云渗透工具集Peirates的使用。有了这些技术,TeamTNT越来越有能力在目标云环境中收集足够的信息,并用于执行后利用操作。这会导致更多的横向移动或提权攻击案例,最终可能让TeamTNT获得对整个云环境的管理访问权限。

截止本文发表时,TeamTNT收集了6.52012192枚门罗币(价值1,788美元)。采矿作业中的八个矿机以77.7KH/s的平均速度运行,此门罗币钱包地址存在了114天。

枚举技术

Unit42研究人员确定了TeamTNT的恶意软件存储库之一为hxxp://45.9.148[.]35/chimaera/sh/,其中包含多个bash脚本,用于执行加密劫持、漏洞利用、横向移动和凭据抓取等操作,图1所示这个恶意软件存储库称为Chimaera存储库,它能体现TeamTNT在云环境中不断扩大的业务范围,当前和未来的面向目标。

图1.TeamTNT的Chimaera存储库

在Chimaera存储库中,有三个脚本体现了TeamTNT的定位和意图。第一个脚本是grab_aws-data.sh,(SHA256:a1e9cd08073e4af3256b31e4b42f3aa69be40862b3988f964e96228f91236593),它主要使用获取的AWSIAM凭证枚举AWS云环境;第二个脚本bd_aws.sh(SHA256:de3747a880c4b69ecaa92810f4aac20fe5f6d414d9ced29f1f7ebb82cd0f3945)从一个AWS实例提取所有SSH密钥,并标识当前运行在该实例上的所有可执行程序;最后的脚本search.sh(SHA256:ed40bce040778e2227c869dac59f54c320944e19f77543954f40019e2f2b0c35)搜索存储在特定主机上的应用程序的配置文件。上述三个脚本都是新发现的,显露了TeamTNT以AWS、谷歌云环境中的应用程序为目标的意图。

枚举AWS环境

bash脚本grab_aws-data.sh包含70个独特的AWS命令行界面(AWSCLI)命令,用于枚举7类AWS服务,包括IAM配置、EC2实例、S3存储桶、支持案例和直接连接,以及CloudTrail和CloudFormation。如图2所示,通过AWS枚举过程获得的所有值都存储在受感染系统的本地目录/var/tmp/.../...TnT.../aws-account-data/中。

图2.TeamTNT的grab_aws.sh脚本

TeamTNT脚本包含以下七种AWS服务的命令:

· 44个EC2实例命令

· 14个IAM命令

· 4直接连接命令

· 4CloudFormation命令

· 2CloudTrail命令

· 1S3命令

· 1支持命令

凭据抓取

TeamTNT还扩展了他们的凭证抓取功能,比如识别并收集16个应用程序凭据,这些应用程序可能存在于受感染的云端点上,也可能出现在云实例上的任何已知用户帐户上,包括根帐户,如下所示:

· SSHkeys.

· AWSkeys.

           s3clients.

           s3backer

           s3proxy

           s3ql

           passwd-s3fs

           s3cfg

· Docker.

· GitHub.

· Shodan.

· Ngrok.

· Pidgin.

· Filezilla.

· Hexchat.

· 谷歌云.

· ProjectJupyter.

· ServerMessageBlock(SMB)clients.

对谷歌云凭证的窃取值得注意,因为这是首个窃取除AWS之外的IAM产品凭证的攻击组织(参见图3),这类手法未来可能会被用于其他同类产品中,微软Azure、阿里云、甲骨文云或IBM云环境可能会成为攻击目标。研究人员认为,TeamTNT开发类似于上述grab_aws-data.sh的功能只是时间问题。

图3.TeamTNT的search.sh脚本搜索谷歌云凭据

横向移动操作

下面的程序是专门处理横向移动的。

Weaveworks

在search.sh脚本中,有几个应用程序显示了TeamTNT操作不断发展的攻击模式。

在Chimaera存储库中,Unit42研究人员确定了几个脚本,这些脚本可以挑选出特定的应用程序,其中之一是Weaveworks(参见图4)。Weave是为Docker和Kubernetes等容器基础设施开发的微服务网络网格应用程序,允许微服务在一个或多个主机上运行,同时保持网络连接。通过以Weave安装为目标,TeamTNT有可能使用Weave网络网格应用程序在容器内实现横向移动。从脚本setup_scope.sh中的base64编码代码中可以看出(SHA256:584c6efed8bbce5f2c52a52099aafb723268df799f4d464bf5582a9ee83165c1),TeamTNT的目标是包含WeaveDocker容器用户帐户信息。

图4.TeamTNT脚本setup_scope.shbase64解码代码

图5.为门罗币挖掘而创建的本地Docker镜像

ProjectJupyter

ProjectJupyter也列为TeamTNT操作的目标,首先是在search.sh脚本中作为凭证抓取的目标,其次作为beta横向移动脚本spread_jupyter_tmp.sh(SHA256:0d7912e62bc663c9ba6bff21ae809e458b227e3ceec0abac105d20d5dc533a22)。

Unit42研究人员还在某TeamTNT人员的Twitter帐户中发现了对Jupyter的引用。如图6所示,内容提到了某个遭入侵的Jupyter端点。

图6.TeamTNT人员展示某个遭入侵的Jupyter端点

Peirates

Peirates工具被TeamTNT用于对AWS和Kubernetes的入侵操作,有多种功能,如图7所示。该工具可以让攻击者调查和识别Kubernetes和云环境中的错误配置或潜在漏洞,并可以让TeamTNT对云基础设施执行入侵行动。

图7.Peirates渗透测试选项

门罗币挖矿业务

TeamTNT在运营上仍然专注于加密劫持。前几节介绍了TeamTNT用于扩展其加密劫持基础设施的新技术的发现,以下部分将重点介绍用于执行其加密劫持操作的过程相关的发现。

本地Docker镜像

值得注意是脚本文件docker.container.local.spread.txt,其中列出了本地Docker映像的名称,如图8所示Docker映像是本地Docker映像,这意味着它不是从托管或外部下载的Docker存储库。研究人员在DockerHub中搜索了这个Docker镜像的存在,但没有找到。

图8.docker.container.local.spread.txt的内容

创建Docker容器是为挖矿操作提供主机。如图5所示,创了一个名为mangletmpuser/fcminer的Docker镜像,启动该镜像并导到Chimaera存储库文件setup_xmr.sh,(SHA256:5ddd226d400cc0b49d0175ba06a7e55cb2f5e9586111464bcf7b3bd709417904),该文件将使用Docker容器中的开源XMRig应用程序启动Docker加密挖掘过程。

新的门罗币钱包

研究人员发现了一个新的门罗币钱包地址,该地址与门罗币公共矿池pool.supportxmr[.]com:3333相关联,如图9所示。

图9.SupportXMR公共矿池配置

在图10中,此矿池地址显示TeamTNT挖矿操作已收集6.52012192门罗币,涉及8台矿机,此已持续了114天。对于TeamTNT这样的组织来说,这个规模只能算是小型挖矿了。

图10.SupportXMR矿池显示

结论

我们建议在云环境中运行的组织,监控并阻止与TeamTNT的Chimaera存储库以及历史C2端点相关的所有网络连接。使用云原生安全平台将显着减少云基础设施的攻击面,并允许组织监控风险。

Unit42研究人员强烈推荐以下提示,以帮助保护云基础架构:

对所有云IAM角色和权限执行最小权限IAM访问策略。在适用的情况下,对服务帐户使用短期或一次性IAM凭证。

监控并阻止已知恶意端点的网络流量。

只在生产环境中部署经过审查的容器映像。

实现并使用基础设施作为代码(IaC)扫描平台,以防止不安全的云实例部署到生产环境中。

使用支持治理、风险管理和遵从性(GRC)的云基础设施配置扫描工具来识别潜在的危险错误配置。

使用云端点代理来监控和阻止已知恶意应用程序在云基础设施中的运行。

针对性攻击事件

SolarWinds供应链攻击事件

2020年12 月,国际IT管理软件供应商SolarWinds被发现其Orion软件更新服务器上存在一个受感染的更新程序,此次事件导致世界各地超18,000 名 SolarWinds 客户(包括许多大型公司和政府机构)受到感染,受害者机器上被部署了名为 Sunburst的自定义后门。

此次攻击行动中较为与众不同的是对特定受害者的分析和验证方案。在受恶意软件影响的18,000个Orion IT客户中,攻击者似乎只对少数几个感兴趣。此外攻击者采用了多种方法来尽可能长时间地保持隐蔽性,例如在首次与其C2建立连接之前,Sunburst恶意软件处于休眠状态长达两个星期,从而无法轻易在沙箱中检测到其行为。

Sunburst_backdoor_Kazuar_01.png对 Sunburst 后门的进一步调查揭示它与 Kazuar后门有所关联,后者是 2017 年公布的 .NET 后门,目前归于Turla APT 组织。Sunburst 和 Kazuar 之间的共通点包括:受害者 UID 生成算法、初始睡眠算法以及广泛使用FNV1a散列来混淆字符串比较。这背后有几种可能性,一是Sunburst可能与 Kazuar 由同一组人员开发,Sunburst的开发人员采用了Kazuar的一些代码;二是Kazuar某些开发人员进了Sunburst团队;三是Sunburst的开发人员故意留下这些线索误导分析。

Lazarus组织攻击国防工业

Lazarus是当今最多产、活跃的威胁组织之一,参与了多起大规模的网络间谍、勒索软件、加密货币的攻击行动。

从2020年初开始,该威胁组织一直在使用一个被称为ThreatNeedle的定制后门程序对十几个国家的国防工业目标实施攻击。该后门会在受感染网络内横向移动,收集敏感信息。

初始感染一般通过鱼叉式钓鱼攻击进行,以新冠疫情或疫苗接种的名义诱使受害者点击,恶意文档后释放恶意软件,后者进入下一阶段的部署过程。安装后,ThreatNeedle会获得受害者设备的完全控制权,这意味着攻击者可以做任何事情,从操纵文件到执行接收到的命令。

在获得初始的立足点后,攻击者收集凭证并横向移动,在受害者的环境中寻找关键资产。他们通过访问内部路由器并将其配置为代理服务器来克服网络分段,从而将被盗数据从受害者的内联网泄露到远程服务器。

下图展示了Lazarus使用的ThreatNeedle武器集与其他武器集的关联。

MS Exchange 0 day漏洞被广泛利用

3月2日,微软发布了针对Exchange Server中的四个0day漏洞(CVE-2021-26855、CVE-2021-26857、CVE-2021-26858和CVE-2021-27065)的带外补丁。通过这些漏洞,攻击者无需身份验证或访问个人电子邮件帐户即可从Exchange服务器读取电子邮件。而通过后面的漏洞链接,攻击者则能够完全接管邮件服务器。

一旦攻击者接管了Exchange服务器,他们就可以将网络连接至互联网并开始远程访问。许多Exchange服务器都具有internet exposer功能(特别是Outlook Web Access功能),并集成到更广泛的网络中,这对数百万组织构成了严重的安全风险。

这些漏洞似乎至少从今年1月初开始就被利用。全球各地的公司都成为利用这些漏洞的攻击的目标,其中最集中在欧洲和美国。

微软将这些攻击归咎于一个名为 Hafnium的威胁行为者,并称该组织历来以美国机构为目标,包括传染病研究人员、律师事务所、高等教育机构、国防承包商、政策智库和非政府组织等。

Ecipekac:在 A41APT 活动中发现的复杂多层加载程序

A41APT是一项长期运行的活动,从2019年3月到2020年12月底检测到过。该活动源于初始感染中使用的攻击者系统的主机名“ DESKTOP-A41UVJV”。攻击者利用Pulse Connect Secure中的漏洞,或利用先前操作中被盗的系统凭据来劫持VPN会话。

此活动中的一种特定恶意软件称为Ecipekac(又名 DESLoader、SigLoader 和 HEAVYHAND),它是一个非常复杂的多层加载程序模块,用于交付有效负载,如SodaMaster(又名DelfsCake,dfls和DARKTOWN),P8RAT(又名GreetCake和HEAVYPOT)和FYAnti(又名DILLJUICE stage2),进而加载 QuasarRAT。

APT10_and_the_A41_APT_campaign_14.png该活动的操作和植入都非常隐蔽,威胁行为者实施了多项措施来隐藏自己并使其更难以分析,因此很难跟踪威胁行为者的活动。活动中使用的大多数恶意软件系列都是无文件恶意软件,以前从未见过。

我们认为 Ecipekac恶意软件最重要的方面是将加密的shellcode插入到数字签名的 DLL 中而不会影响数字签名的有效性。使用此技术时,某些安全解决方案无法检测到这些植入程序。从 P8RAT 和 SodaMaster 后门的主要特征来看,这些模块是负责下载更多恶意软件的下载器,但这些恶意软件我们迄今为止无法获得。

APT10_and_the_A41_APT_campaign_05.png其他恶意行动

伪装成广告拦截器的矿机

前段时间,我们发现了一些伪造的应用程序被用来向目标计算机提供加密货币矿机。伪造程序是通过恶意网站分发的,这些网站可能会列在受害者的搜索结果中,比如有点恶意软件伪装成 Malwarebytes防病毒安装程序。在最新的观察中,又有恶意软件冒充了多个应用程序:广告拦截器 AdShield 和 Netshield,以及 OpenDNS服务等。

受害者启动程序后,恶意软件会更改设备上的 DNS 设置,以便通过攻击者的服务器解析所有域,进而阻止受害者访问某些防病毒站点。然后恶意软件会自我更新,下载并运行经过修改的传输 Torrent 客户端,该客户端会将目标计算机的 ID 以及安装详细信息发送到 C2 服务器,接着下载并安装矿机。

卡巴斯基数据显示,从 2021 年 2 月至今,超过 7,000 名用户的设备有安装虚假应用程序的动作。在当前活动的高峰期,每天有超过 2,500 人受到攻击,大多数受害者位于俄罗斯和独联体国家。

加密虚拟硬盘的勒索软件

勒索软件团伙正在利用 VMware ESXi中的漏洞攻击虚拟硬盘并加密存储在其中的数据。ESXi 管理程序允许多个虚拟机使用 SLP(服务层协议)在单个服务器上存储信息。

第一个漏洞(CVE-2019-5544)可用于进行堆溢出攻击,第二个 (CVE-2020-3992) 是一个 Use-After-Free (UAF 漏洞,与程序运行期间不正确使用动态内存有关。一旦攻击者能够在目标网络中获得初步立足点,他们就可以利用这些漏洞生成恶意 SLP 请求并破坏数据存储。

RansomExx勒索软件背后的团伙正在利用这些漏洞,Darkside组织也在使用相同的方法,而BabuLocker木马背后的攻击者也暗示他们能够加密ESXi。

针对macOS的恶意软件

去年年底,苹果推出了由自己的M1芯片搭载的设备,旨在取代其计算机中的英特尔处理器。在第一台 Apple M1计算机发布仅仅几个月后,黑客就已经重新编译了代码以使其适应新的架构。

这其中包括XCSSET的开发人员。XCSSET是去年首次发现的恶意软件,它将恶意负载注入Mac上的 Xcode IDE 项目,此有效负载随后在Xcode 中构建项目文件期间执行。XCSSET 模块能够读取和转储 Safari cookie,将恶意JavaScript代码注入各种网站,从 Notes、微信、Skype、Telegram 等应用程序中窃取文件和信息,并对文件进行加密。我们观察到的样本中就包括一些专门为 Apple Silicon 芯片编译的样本。

Silver Sparrow 是另一款针对 M1 芯片的恶意软件。这类恶意软件引入了一种滥用默认封装功能的新方法:不将恶意负载放置在预安装或安装后脚本中,而是将其隐藏在分发 XML 文件中。此有效负载使用 JavaScript API 运行 bash 命令以下载 JSON 配置文件,从“downloadURL”字段中提取 URL 以供下次下载。还为恶意样本的持续执行创建了适当的启动代理。无论芯片架构如何,JavaScript负载都可以执行,对包文件的分析表明它同时支持Intel和M1芯片。

在macOS 平台检测到的大多数恶意对象都是广告软件。这些程序的开发人员也在更新代码以支持 M1 芯片,比如 Pirrit 和 Bnodlero 家族。

网络犯罪分子不只是增加对新平台的拓展,有时他们会使用新的编程语言来开发“产品”。最近,macOS 广告软件开发人员越来越关注新语言的运用,前段时间有不少用 Go 编写的样本,而最近网络犯罪分子又将注意力转向了Rust,比如 Convuster广告软件程序。

跟踪软件

跟踪软件是一种商用软件,指在他人不知情或未经他人同意的情况下通过他们的设备监视他人。欧洲性别平等研究所在2017 年的一份报告中表示,每 10 名受在线跟踪影响的女性中,就有7人遭受过施暴者的身体暴力。反跟踪软件联盟将跟踪软件定义为“可能促进伴侣监视、骚扰、虐待、跟踪或暴力”的软件。

近年来,受跟踪软件影响的人数一直在增加,2020 年的人数受疫情影响有所下降,不过53,870 是一个很大的数字,而且这格数字是卡巴斯基客户的数量,那么实际数字要高得多。

2020年最常检测到的跟踪软件样本是Monitor.AndroidOS.Nidb.a。此应用程序以其他名称的形式出售,如iSpyoo、TheTruthSpy 和 Copy9,也有以防盗保护程序出售的Cerberus,Cerberus 可以访问地理位置、拍照、截屏、录制声音,类似的还有Track My Phone(检测为 Agent.af)、MobileTracker 和 Anlost。

全球检测到的跟踪软件样本前 10 名:

image.png

跟踪软件检测数量最多的是俄罗斯、巴西和美国。

全球受跟踪软件影响最严重的 10 个国家/地区:

image.png

2019 年,卡巴斯基和其他九名成员创建了反跟踪软件联盟,并于去年创建了 TinyCheck,这是一个免费工具,用于检测移动设备上的跟踪软件——专门为可能面临家庭暴力的人提供的。

对企业的人肉搜索

当提到人肉搜索时,人们往往认为它只适用于知名人士,但公司机密信息在泄露后同样容易导致其成为受害者,比如多个勒索软件团伙就以泄露被盗公司数据的名义索要大额赎金。

网络犯罪分子使用各种方法来收集机密的公司信息。

最简单的方法之一是使用开源情报 (OSINT)——即从可公开访问的来源收集数据。互联网为潜在的攻击者提供了许多有用的信息,包括员工的姓名和职位,包括在公司担任关键职位的人。

从员工的在线个人资料中收集的信息可用于设置 BEC(商业电子邮件威胁)攻击,攻击者通过冒充不同的员工与合作伙伴公司通信,说服目标执行某些操作,例如发送机密数据或将资金转移到攻击者控制的帐户。BEC 攻击还可用于收集有关公司的更多信息或访问有价值数据或公司资源,例如基于云的系统的凭据。

网络犯罪分子还可以通过发送包含跟踪像素的电子邮件获取受害者的信息,诸如打开电子邮件的时间、收件人邮件客户端的版本和 IP 地址等数据。这些数据让攻击者可以冒充受害人用于随后的攻击。

网络钓鱼仍然是攻击者收集公司数据的有效方式。例如,攻击者可能会模仿SharePoin 等业务平台向员工发送钓鱼链接,员工点击链接后被重定向到钓鱼网站,输入公司帐户凭据数据后被攻击者捕获。

除了邮件钓鱼,还有电话钓鱼的方式,要么直接致电员工并试图“钓鱼”公司信息,要么发送消息并要求他们拨打提供的号码——这种方法曾在2020年7月的 Twitter黑客事件中使用过,甚至出现了网络犯罪分子获取某国际公司CEO的音视频内容,利用deepfake技术模仿CEO的声音,说服该公司某分公司的管理团队向骗子转账的案例。

针对性攻击事件

SolarWinds供应链攻击事件

2020年12 月,国际IT管理软件供应商SolarWinds被发现其Orion软件更新服务器上存在一个受感染的更新程序,此次事件导致世界各地超18,000 名 SolarWinds 客户(包括许多大型公司和政府机构)受到感染,受害者机器上被部署了名为 Sunburst的自定义后门。

此次攻击行动中较为与众不同的是对特定受害者的分析和验证方案。在受恶意软件影响的18,000个Orion IT客户中,攻击者似乎只对少数几个感兴趣。此外攻击者采用了多种方法来尽可能长时间地保持隐蔽性,例如在首次与其C2建立连接之前,Sunburst恶意软件处于休眠状态长达两个星期,从而无法轻易在沙箱中检测到其行为。

Sunburst_backdoor_Kazuar_01.png对 Sunburst 后门的进一步调查揭示它与 Kazuar后门有所关联,后者是 2017 年公布的 .NET 后门,目前归于Turla APT 组织。Sunburst 和 Kazuar 之间的共通点包括:受害者 UID 生成算法、初始睡眠算法以及广泛使用FNV1a散列来混淆字符串比较。这背后有几种可能性,一是Sunburst可能与 Kazuar 由同一组人员开发,Sunburst的开发人员采用了Kazuar的一些代码;二是Kazuar某些开发人员进了Sunburst团队;三是Sunburst的开发人员故意留下这些线索误导分析。

Lazarus组织攻击国防工业

Lazarus是当今最多产、活跃的威胁组织之一,参与了多起大规模的网络间谍、勒索软件、加密货币的攻击行动。

从2020年初开始,该威胁组织一直在使用一个被称为ThreatNeedle的定制后门程序对十几个国家的国防工业目标实施攻击。该后门会在受感染网络内横向移动,收集敏感信息。

初始感染一般通过鱼叉式钓鱼攻击进行,以新冠疫情或疫苗接种的名义诱使受害者点击,恶意文档后释放恶意软件,后者进入下一阶段的部署过程。安装后,ThreatNeedle会获得受害者设备的完全控制权,这意味着攻击者可以做任何事情,从操纵文件到执行接收到的命令。

在获得初始的立足点后,攻击者收集凭证并横向移动,在受害者的环境中寻找关键资产。他们通过访问内部路由器并将其配置为代理服务器来克服网络分段,从而将被盗数据从受害者的内联网泄露到远程服务器。

下图展示了Lazarus使用的ThreatNeedle武器集与其他武器集的关联。

MS Exchange 0 day漏洞被广泛利用

3月2日,微软发布了针对Exchange Server中的四个0day漏洞(CVE-2021-26855、CVE-2021-26857、CVE-2021-26858和CVE-2021-27065)的带外补丁。通过这些漏洞,攻击者无需身份验证或访问个人电子邮件帐户即可从Exchange服务器读取电子邮件。而通过后面的漏洞链接,攻击者则能够完全接管邮件服务器。

一旦攻击者接管了Exchange服务器,他们就可以将网络连接至互联网并开始远程访问。许多Exchange服务器都具有internet exposer功能(特别是Outlook Web Access功能),并集成到更广泛的网络中,这对数百万组织构成了严重的安全风险。

这些漏洞似乎至少从今年1月初开始就被利用。全球各地的公司都成为利用这些漏洞的攻击的目标,其中最集中在欧洲和美国。

微软将这些攻击归咎于一个名为 Hafnium的威胁行为者,并称该组织历来以美国机构为目标,包括传染病研究人员、律师事务所、高等教育机构、国防承包商、政策智库和非政府组织等。

Ecipekac:在 A41APT 活动中发现的复杂多层加载程序

A41APT是一项长期运行的活动,从2019年3月到2020年12月底检测到过。该活动源于初始感染中使用的攻击者系统的主机名“ DESKTOP-A41UVJV”。攻击者利用Pulse Connect Secure中的漏洞,或利用先前操作中被盗的系统凭据来劫持VPN会话。

此活动中的一种特定恶意软件称为Ecipekac(又名 DESLoader、SigLoader 和 HEAVYHAND),它是一个非常复杂的多层加载程序模块,用于交付有效负载,如SodaMaster(又名DelfsCake,dfls和DARKTOWN),P8RAT(又名GreetCake和HEAVYPOT)和FYAnti(又名DILLJUICE stage2),进而加载 QuasarRAT。

APT10_and_the_A41_APT_campaign_14.png该活动的操作和植入都非常隐蔽,威胁行为者实施了多项措施来隐藏自己并使其更难以分析,因此很难跟踪威胁行为者的活动。活动中使用的大多数恶意软件系列都是无文件恶意软件,以前从未见过。

我们认为 Ecipekac恶意软件最重要的方面是将加密的shellcode插入到数字签名的 DLL 中而不会影响数字签名的有效性。使用此技术时,某些安全解决方案无法检测到这些植入程序。从 P8RAT 和 SodaMaster 后门的主要特征来看,这些模块是负责下载更多恶意软件的下载器,但这些恶意软件我们迄今为止无法获得。

APT10_and_the_A41_APT_campaign_05.png其他恶意行动

伪装成广告拦截器的矿机

前段时间,我们发现了一些伪造的应用程序被用来向目标计算机提供加密货币矿机。伪造程序是通过恶意网站分发的,这些网站可能会列在受害者的搜索结果中,比如有点恶意软件伪装成 Malwarebytes防病毒安装程序。在最新的观察中,又有恶意软件冒充了多个应用程序:广告拦截器 AdShield 和 Netshield,以及 OpenDNS服务等。

受害者启动程序后,恶意软件会更改设备上的 DNS 设置,以便通过攻击者的服务器解析所有域,进而阻止受害者访问某些防病毒站点。然后恶意软件会自我更新,下载并运行经过修改的传输 Torrent 客户端,该客户端会将目标计算机的 ID 以及安装详细信息发送到 C2 服务器,接着下载并安装矿机。

卡巴斯基数据显示,从 2021 年 2 月至今,超过 7,000 名用户的设备有安装虚假应用程序的动作。在当前活动的高峰期,每天有超过 2,500 人受到攻击,大多数受害者位于俄罗斯和独联体国家。

加密虚拟硬盘的勒索软件

勒索软件团伙正在利用 VMware ESXi中的漏洞攻击虚拟硬盘并加密存储在其中的数据。ESXi 管理程序允许多个虚拟机使用 SLP(服务层协议)在单个服务器上存储信息。

第一个漏洞(CVE-2019-5544)可用于进行堆溢出攻击,第二个 (CVE-2020-3992) 是一个 Use-After-Free (UAF 漏洞,与程序运行期间不正确使用动态内存有关。一旦攻击者能够在目标网络中获得初步立足点,他们就可以利用这些漏洞生成恶意 SLP 请求并破坏数据存储。

RansomExx勒索软件背后的团伙正在利用这些漏洞,Darkside组织也在使用相同的方法,而BabuLocker木马背后的攻击者也暗示他们能够加密ESXi。

针对macOS的恶意软件

去年年底,苹果推出了由自己的M1芯片搭载的设备,旨在取代其计算机中的英特尔处理器。在第一台 Apple M1计算机发布仅仅几个月后,黑客就已经重新编译了代码以使其适应新的架构。

这其中包括XCSSET的开发人员。XCSSET是去年首次发现的恶意软件,它将恶意负载注入Mac上的 Xcode IDE 项目,此有效负载随后在Xcode 中构建项目文件期间执行。XCSSET 模块能够读取和转储 Safari cookie,将恶意JavaScript代码注入各种网站,从 Notes、微信、Skype、Telegram 等应用程序中窃取文件和信息,并对文件进行加密。我们观察到的样本中就包括一些专门为 Apple Silicon 芯片编译的样本。

Silver Sparrow 是另一款针对 M1 芯片的恶意软件。这类恶意软件引入了一种滥用默认封装功能的新方法:不将恶意负载放置在预安装或安装后脚本中,而是将其隐藏在分发 XML 文件中。此有效负载使用 JavaScript API 运行 bash 命令以下载 JSON 配置文件,从“downloadURL”字段中提取 URL 以供下次下载。还为恶意样本的持续执行创建了适当的启动代理。无论芯片架构如何,JavaScript负载都可以执行,对包文件的分析表明它同时支持Intel和M1芯片。

在macOS 平台检测到的大多数恶意对象都是广告软件。这些程序的开发人员也在更新代码以支持 M1 芯片,比如 Pirrit 和 Bnodlero 家族。

网络犯罪分子不只是增加对新平台的拓展,有时他们会使用新的编程语言来开发“产品”。最近,macOS 广告软件开发人员越来越关注新语言的运用,前段时间有不少用 Go 编写的样本,而最近网络犯罪分子又将注意力转向了Rust,比如 Convuster广告软件程序。

跟踪软件

跟踪软件是一种商用软件,指在他人不知情或未经他人同意的情况下通过他们的设备监视他人。欧洲性别平等研究所在2017 年的一份报告中表示,每 10 名受在线跟踪影响的女性中,就有7人遭受过施暴者的身体暴力。反跟踪软件联盟将跟踪软件定义为“可能促进伴侣监视、骚扰、虐待、跟踪或暴力”的软件。

近年来,受跟踪软件影响的人数一直在增加,2020 年的人数受疫情影响有所下降,不过53,870 是一个很大的数字,而且这格数字是卡巴斯基客户的数量,那么实际数字要高得多。

2020年最常检测到的跟踪软件样本是Monitor.AndroidOS.Nidb.a。此应用程序以其他名称的形式出售,如iSpyoo、TheTruthSpy 和 Copy9,也有以防盗保护程序出售的Cerberus,Cerberus 可以访问地理位置、拍照、截屏、录制声音,类似的还有Track My Phone(检测为 Agent.af)、MobileTracker 和 Anlost。

全球检测到的跟踪软件样本前 10 名:

image.png

跟踪软件检测数量最多的是俄罗斯、巴西和美国。

全球受跟踪软件影响最严重的 10 个国家/地区:

image.png

2019 年,卡巴斯基和其他九名成员创建了反跟踪软件联盟,并于去年创建了 TinyCheck,这是一个免费工具,用于检测移动设备上的跟踪软件——专门为可能面临家庭暴力的人提供的。

对企业的人肉搜索

当提到人肉搜索时,人们往往认为它只适用于知名人士,但公司机密信息在泄露后同样容易导致其成为受害者,比如多个勒索软件团伙就以泄露被盗公司数据的名义索要大额赎金。

网络犯罪分子使用各种方法来收集机密的公司信息。

最简单的方法之一是使用开源情报 (OSINT)——即从可公开访问的来源收集数据。互联网为潜在的攻击者提供了许多有用的信息,包括员工的姓名和职位,包括在公司担任关键职位的人。

从员工的在线个人资料中收集的信息可用于设置 BEC(商业电子邮件威胁)攻击,攻击者通过冒充不同的员工与合作伙伴公司通信,说服目标执行某些操作,例如发送机密数据或将资金转移到攻击者控制的帐户。BEC 攻击还可用于收集有关公司的更多信息或访问有价值数据或公司资源,例如基于云的系统的凭据。

网络犯罪分子还可以通过发送包含跟踪像素的电子邮件获取受害者的信息,诸如打开电子邮件的时间、收件人邮件客户端的版本和 IP 地址等数据。这些数据让攻击者可以冒充受害人用于随后的攻击。

网络钓鱼仍然是攻击者收集公司数据的有效方式。例如,攻击者可能会模仿SharePoin 等业务平台向员工发送钓鱼链接,员工点击链接后被重定向到钓鱼网站,输入公司帐户凭据数据后被攻击者捕获。

除了邮件钓鱼,还有电话钓鱼的方式,要么直接致电员工并试图“钓鱼”公司信息,要么发送消息并要求他们拨打提供的号码——这种方法曾在2020年7月的 Twitter黑客事件中使用过,甚至出现了网络犯罪分子获取某国际公司CEO的音视频内容,利用deepfake技术模仿CEO的声音,说服该公司某分公司的管理团队向骗子转账的案例。

针对性攻击事件

SolarWinds供应链攻击事件

2020年12 月,国际IT管理软件供应商SolarWinds被发现其Orion软件更新服务器上存在一个受感染的更新程序,此次事件导致世界各地超18,000 名 SolarWinds 客户(包括许多大型公司和政府机构)受到感染,受害者机器上被部署了名为 Sunburst的自定义后门。

此次攻击行动中较为与众不同的是对特定受害者的分析和验证方案。在受恶意软件影响的18,000个Orion IT客户中,攻击者似乎只对少数几个感兴趣。此外攻击者采用了多种方法来尽可能长时间地保持隐蔽性,例如在首次与其C2建立连接之前,Sunburst恶意软件处于休眠状态长达两个星期,从而无法轻易在沙箱中检测到其行为。

Sunburst_backdoor_Kazuar_01.png对 Sunburst 后门的进一步调查揭示它与 Kazuar后门有所关联,后者是 2017 年公布的 .NET 后门,目前归于Turla APT 组织。Sunburst 和 Kazuar 之间的共通点包括:受害者 UID 生成算法、初始睡眠算法以及广泛使用FNV1a散列来混淆字符串比较。这背后有几种可能性,一是Sunburst可能与 Kazuar 由同一组人员开发,Sunburst的开发人员采用了Kazuar的一些代码;二是Kazuar某些开发人员进了Sunburst团队;三是Sunburst的开发人员故意留下这些线索误导分析。

Lazarus组织攻击国防工业

Lazarus是当今最多产、活跃的威胁组织之一,参与了多起大规模的网络间谍、勒索软件、加密货币的攻击行动。

从2020年初开始,该威胁组织一直在使用一个被称为ThreatNeedle的定制后门程序对十几个国家的国防工业目标实施攻击。该后门会在受感染网络内横向移动,收集敏感信息。

初始感染一般通过鱼叉式钓鱼攻击进行,以新冠疫情或疫苗接种的名义诱使受害者点击,恶意文档后释放恶意软件,后者进入下一阶段的部署过程。安装后,ThreatNeedle会获得受害者设备的完全控制权,这意味着攻击者可以做任何事情,从操纵文件到执行接收到的命令。

在获得初始的立足点后,攻击者收集凭证并横向移动,在受害者的环境中寻找关键资产。他们通过访问内部路由器并将其配置为代理服务器来克服网络分段,从而将被盗数据从受害者的内联网泄露到远程服务器。

下图展示了Lazarus使用的ThreatNeedle武器集与其他武器集的关联。

MS Exchange 0 day漏洞被广泛利用

3月2日,微软发布了针对Exchange Server中的四个0day漏洞(CVE-2021-26855、CVE-2021-26857、CVE-2021-26858和CVE-2021-27065)的带外补丁。通过这些漏洞,攻击者无需身份验证或访问个人电子邮件帐户即可从Exchange服务器读取电子邮件。而通过后面的漏洞链接,攻击者则能够完全接管邮件服务器。

一旦攻击者接管了Exchange服务器,他们就可以将网络连接至互联网并开始远程访问。许多Exchange服务器都具有internet exposer功能(特别是Outlook Web Access功能),并集成到更广泛的网络中,这对数百万组织构成了严重的安全风险。

这些漏洞似乎至少从今年1月初开始就被利用。全球各地的公司都成为利用这些漏洞的攻击的目标,其中最集中在欧洲和美国。

微软将这些攻击归咎于一个名为 Hafnium的威胁行为者,并称该组织历来以美国机构为目标,包括传染病研究人员、律师事务所、高等教育机构、国防承包商、政策智库和非政府组织等。

Ecipekac:在 A41APT 活动中发现的复杂多层加载程序

A41APT是一项长期运行的活动,从2019年3月到2020年12月底检测到过。该活动源于初始感染中使用的攻击者系统的主机名“ DESKTOP-A41UVJV”。攻击者利用Pulse Connect Secure中的漏洞,或利用先前操作中被盗的系统凭据来劫持VPN会话。

此活动中的一种特定恶意软件称为Ecipekac(又名 DESLoader、SigLoader 和 HEAVYHAND),它是一个非常复杂的多层加载程序模块,用于交付有效负载,如SodaMaster(又名DelfsCake,dfls和DARKTOWN),P8RAT(又名GreetCake和HEAVYPOT)和FYAnti(又名DILLJUICE stage2),进而加载 QuasarRAT。

APT10_and_the_A41_APT_campaign_14.png该活动的操作和植入都非常隐蔽,威胁行为者实施了多项措施来隐藏自己并使其更难以分析,因此很难跟踪威胁行为者的活动。活动中使用的大多数恶意软件系列都是无文件恶意软件,以前从未见过。

我们认为 Ecipekac恶意软件最重要的方面是将加密的shellcode插入到数字签名的 DLL 中而不会影响数字签名的有效性。使用此技术时,某些安全解决方案无法检测到这些植入程序。从 P8RAT 和 SodaMaster 后门的主要特征来看,这些模块是负责下载更多恶意软件的下载器,但这些恶意软件我们迄今为止无法获得。

APT10_and_the_A41_APT_campaign_05.png其他恶意行动

伪装成广告拦截器的矿机

前段时间,我们发现了一些伪造的应用程序被用来向目标计算机提供加密货币矿机。伪造程序是通过恶意网站分发的,这些网站可能会列在受害者的搜索结果中,比如有点恶意软件伪装成 Malwarebytes防病毒安装程序。在最新的观察中,又有恶意软件冒充了多个应用程序:广告拦截器 AdShield 和 Netshield,以及 OpenDNS服务等。

受害者启动程序后,恶意软件会更改设备上的 DNS 设置,以便通过攻击者的服务器解析所有域,进而阻止受害者访问某些防病毒站点。然后恶意软件会自我更新,下载并运行经过修改的传输 Torrent 客户端,该客户端会将目标计算机的 ID 以及安装详细信息发送到 C2 服务器,接着下载并安装矿机。

卡巴斯基数据显示,从 2021 年 2 月至今,超过 7,000 名用户的设备有安装虚假应用程序的动作。在当前活动的高峰期,每天有超过 2,500 人受到攻击,大多数受害者位于俄罗斯和独联体国家。

加密虚拟硬盘的勒索软件

勒索软件团伙正在利用 VMware ESXi中的漏洞攻击虚拟硬盘并加密存储在其中的数据。ESXi 管理程序允许多个虚拟机使用 SLP(服务层协议)在单个服务器上存储信息。

第一个漏洞(CVE-2019-5544)可用于进行堆溢出攻击,第二个 (CVE-2020-3992) 是一个 Use-After-Free (UAF 漏洞,与程序运行期间不正确使用动态内存有关。一旦攻击者能够在目标网络中获得初步立足点,他们就可以利用这些漏洞生成恶意 SLP 请求并破坏数据存储。

RansomExx勒索软件背后的团伙正在利用这些漏洞,Darkside组织也在使用相同的方法,而BabuLocker木马背后的攻击者也暗示他们能够加密ESXi。

针对macOS的恶意软件

去年年底,苹果推出了由自己的M1芯片搭载的设备,旨在取代其计算机中的英特尔处理器。在第一台 Apple M1计算机发布仅仅几个月后,黑客就已经重新编译了代码以使其适应新的架构。

这其中包括XCSSET的开发人员。XCSSET是去年首次发现的恶意软件,它将恶意负载注入Mac上的 Xcode IDE 项目,此有效负载随后在Xcode 中构建项目文件期间执行。XCSSET 模块能够读取和转储 Safari cookie,将恶意JavaScript代码注入各种网站,从 Notes、微信、Skype、Telegram 等应用程序中窃取文件和信息,并对文件进行加密。我们观察到的样本中就包括一些专门为 Apple Silicon 芯片编译的样本。

Silver Sparrow 是另一款针对 M1 芯片的恶意软件。这类恶意软件引入了一种滥用默认封装功能的新方法:不将恶意负载放置在预安装或安装后脚本中,而是将其隐藏在分发 XML 文件中。此有效负载使用 JavaScript API 运行 bash 命令以下载 JSON 配置文件,从“downloadURL”字段中提取 URL 以供下次下载。还为恶意样本的持续执行创建了适当的启动代理。无论芯片架构如何,JavaScript负载都可以执行,对包文件的分析表明它同时支持Intel和M1芯片。

在macOS 平台检测到的大多数恶意对象都是广告软件。这些程序的开发人员也在更新代码以支持 M1 芯片,比如 Pirrit 和 Bnodlero 家族。

网络犯罪分子不只是增加对新平台的拓展,有时他们会使用新的编程语言来开发“产品”。最近,macOS 广告软件开发人员越来越关注新语言的运用,前段时间有不少用 Go 编写的样本,而最近网络犯罪分子又将注意力转向了Rust,比如 Convuster广告软件程序。

跟踪软件

跟踪软件是一种商用软件,指在他人不知情或未经他人同意的情况下通过他们的设备监视他人。欧洲性别平等研究所在2017 年的一份报告中表示,每 10 名受在线跟踪影响的女性中,就有7人遭受过施暴者的身体暴力。反跟踪软件联盟将跟踪软件定义为“可能促进伴侣监视、骚扰、虐待、跟踪或暴力”的软件。

近年来,受跟踪软件影响的人数一直在增加,2020 年的人数受疫情影响有所下降,不过53,870 是一个很大的数字,而且这格数字是卡巴斯基客户的数量,那么实际数字要高得多。

2020年最常检测到的跟踪软件样本是Monitor.AndroidOS.Nidb.a。此应用程序以其他名称的形式出售,如iSpyoo、TheTruthSpy 和 Copy9,也有以防盗保护程序出售的Cerberus,Cerberus 可以访问地理位置、拍照、截屏、录制声音,类似的还有Track My Phone(检测为 Agent.af)、MobileTracker 和 Anlost。

全球检测到的跟踪软件样本前 10 名:

image.png

跟踪软件检测数量最多的是俄罗斯、巴西和美国。

全球受跟踪软件影响最严重的 10 个国家/地区:

image.png

2019 年,卡巴斯基和其他九名成员创建了反跟踪软件联盟,并于去年创建了 TinyCheck,这是一个免费工具,用于检测移动设备上的跟踪软件——专门为可能面临家庭暴力的人提供的。

对企业的人肉搜索

当提到人肉搜索时,人们往往认为它只适用于知名人士,但公司机密信息在泄露后同样容易导致其成为受害者,比如多个勒索软件团伙就以泄露被盗公司数据的名义索要大额赎金。

网络犯罪分子使用各种方法来收集机密的公司信息。

最简单的方法之一是使用开源情报 (OSINT)——即从可公开访问的来源收集数据。互联网为潜在的攻击者提供了许多有用的信息,包括员工的姓名和职位,包括在公司担任关键职位的人。

从员工的在线个人资料中收集的信息可用于设置 BEC(商业电子邮件威胁)攻击,攻击者通过冒充不同的员工与合作伙伴公司通信,说服目标执行某些操作,例如发送机密数据或将资金转移到攻击者控制的帐户。BEC 攻击还可用于收集有关公司的更多信息或访问有价值数据或公司资源,例如基于云的系统的凭据。

网络犯罪分子还可以通过发送包含跟踪像素的电子邮件获取受害者的信息,诸如打开电子邮件的时间、收件人邮件客户端的版本和 IP 地址等数据。这些数据让攻击者可以冒充受害人用于随后的攻击。

网络钓鱼仍然是攻击者收集公司数据的有效方式。例如,攻击者可能会模仿SharePoin 等业务平台向员工发送钓鱼链接,员工点击链接后被重定向到钓鱼网站,输入公司帐户凭据数据后被攻击者捕获。

除了邮件钓鱼,还有电话钓鱼的方式,要么直接致电员工并试图“钓鱼”公司信息,要么发送消息并要求他们拨打提供的号码——这种方法曾在2020年7月的 Twitter黑客事件中使用过,甚至出现了网络犯罪分子获取某国际公司CEO的音视频内容,利用deepfake技术模仿CEO的声音,说服该公司某分公司的管理团队向骗子转账的案例。

Kimsuky(也称为Thallium、BlackBanshee、VelvetChollima)APT是朝鲜的网络间谍组织,主要针对韩国的政府实体开展网络威胁活动,该组织自2012年以来一直活跃。2020年12月,KISA(韩国互联网与安全局)提供了对Kimsuky用于网络钓鱼的基础设施和TTP的详细分析。

Malwarebytes安全团队在近期观测到Kimsuky的活动迹象,发现其用于攻击韩国政府内知名人士的网络钓鱼网站、恶意文档和脚本。活动中使用的设备、TTP与KISA报告中的内容一致。

攻击目标

Kimsuky使用的钓鱼文件之一名为“외교부사판2021-05-07”,翻译为“外交部版2021-05-07”,表明它的目标是韩国外交部。其他与韩国政府有关的目标包括:

· 大韩民国外务省一秘

· 大韩民国外务省二秘

· 贸易部长

· 韩国驻香港总领事馆副总领事

· 国际原子能机构(IAEA)核安全官员

· 斯里兰卡驻华大使馆大使

· 外交贸易部参赞

除了针对政府之外,Kimsuky的目标还包括韩国的大学和公司,比如首尔国立大学、大新金融安全公司以及KISA。

网络钓鱼基础设施

Kimsuky会模仿知名网站并诱骗受害者输入其凭据,这是该组织用来收集电子邮件地址的主要方法之一,地址之后用于发送钓鱼邮件。Kimsuky组织仍在使用之前在KISA报告中提到的类似的网络钓鱼模型,但有一些细微的变化。

例如,Mobile_detect和Anti_IPs模块从B型添加到C型(KISA报告),以便能够检测移动设备并基于此调整视图。此网络钓鱼模型能够根据从钓鱼邮件收到的参数值以英语或韩语的形式呈现钓鱼页面。

图1:网络钓鱼服务模型

Kimsuky开发了多种网络钓鱼技术来模仿以下Web服务并窃取凭据:Gmail、Hotmail、MicrosoftOutlook、Nate、Daum、Naver、Telegram、KISA。

图2:KimsukyAPT开发的Nate钓鱼页面

Kimsuky使用Twitter帐户来查找目标,并向其发送定制钓鱼邮件。该组织还使用Gmail帐户进行钓鱼攻击或注册域,使用的Gmail帐户之一是“[email protected][.]com”,注册了以下域名:

· ns1.microsoft-office[.]us

· ns2.microsoft-office[.]us

上面两个域名于4月3日注册,应该是暂时保留用于未来的活动中。从域名中我们能找到攻击者使用的基础设施,其中一些与之前报道的由Kimsuky运营的活动重叠。

图3:基础设施关联

C2基础设施

Kimsuky将其部分钓鱼基础设施用于指挥和控制通信。在最近针对韩国政府的攻击中,他们重新利用了曾经用于托管钓鱼网站的基础设施,如AppleSeed后门的C&C通信。除了用AppleSeed后门针对Windows用户外,还有针对Android用户的定制后门,Android后门可看作是AppleSeed后门的移动版本,它使用与Windows相同的命令模式和基础设施。

图4:C2基础设施

以下是攻击者用于C2通信的一些IP和域:

210.16.120[.]34

216.189.157[.]89

45.58.55[.]73

45.13.135[.]103

27.102.114[.]89

210.16.121[.]137

58.229.208[.]146

27.102.107[.]63

download.riseknite[.]life

onedrive-upload.ikpoo[.]cf

alps.travelmountain[.]ml

texts.letterpaper[.]press

对最近一次AppleSeed攻击的分析

在本节中,我们将分析Kimsuky用于攻击韩国外交部的AppleSeed后门。

初始访问

Kimsuky于2021年5月7日对韩国外交部进行了鱼叉式网络钓鱼攻击,钓鱼邮件中携带恶意附件(외교부사판2021-05-07.zip),攻击目标由上文所述的途径收集。

附件文件包含一个伪装成PDF文件的JavaScript文件(외교부사판2021-05-07.pdf.jse),它包含两个Base64编码的数据块,第一个是数据块是PDF诱饵文件的内容,另一个为Base64格式的AppleSeed有效负载(编码两次)。后者先使用MSXMLBase64解码函数解码第一层,然后使用certutil.exe解码第二层并获得最终的ApppleSeed有效负载。

图5:JS文件

解码PDF和AppleSeed有效负载后的内容将写入ProgramData目录。最后,通过调用Wscript.Shell.Run打开诱饵PDF文件,并通过PowerShell调用regsvr32.exe执行AppleSeed有效负载。调用regsvr32.exe来运行DLL将其注册为一个服务器,该服务器自动调用名为DllRegisterServer的DLL导出函数。

powershell.exe-windowstylehiddenregsvr32.exe/sAppleSeed_Payload
Wscript_Shell.Run(Pdf_Name);

AppleSeed后门

植入的有效负载是由UPX封装的DLL文件。解压后的样本经过高度混淆,重要的API调用和字符串已使用自定义加密算法进行加密。字符串和API调用的加密版本采用十六进制ASCII格式,每当在代码中恶意软件需要使用字符串时,它就会获取加密的字符串并将其传递给两个函数对其进行解密。

第一个函数“string_decryptor_prep”获取加密的字符串,然后准备一个自定义数据结构,该结构有四个元素:

typedefstruct_UNICODESTR{
wchar_t*Buffer;//Encryptedstring
DWORDpadding;
uint64_tLength;//Lengthofthestring
uint64_tMaxLength;//Maxlengthforthestringwhichhasbeencalculatedbasedonthelenght
}UNICODESTR;

第二个函数“string_decryptor”获取前一个函数中创建的数据结构,解密其中的字符串并将其放入相同的数据结构中。

图6:字符串解密函数

解密器函数首先通过调用hexascii_to_binary函数,对每两个十六进制的ascii字符(即示例1中的c3、42、b1、1d...)转换为二进制,然后将输入中的前16个字节用作密钥,其余部分是在16个字节块(即ed、d5、0d、60)中解密的实际值。

解密过程是对key[i]^string[i-1]^string[i]的简单异或运算(第一个字符string_to_be_decrypted[i-1]设置为零)。

图7:字符串解码器示例

大多数重要的API调用在运行时使用“string_decryptor”函数动态解析。

图8:解析API调用

AppleSeed有效负载有一个名为“DllRegisterServer”的导出函数,该函数将在使用RegSvr32.exe执行DLL时调用。DllRegisterServer有一个函数负责执行DLL初始化和设置,包括以下步骤:

1、将自身复制到“C:\ProgramData\Software\ESTsoft\Common”中,并重命名为ESTCommon.dll,假装它是属于ESTsecurity公司的DLL。

2、通过创建以下注册表项使其持久化:

注册表项名称:EstsoftAutoUpdate

注册表项值:Regsvr32.exe/sC:\ProgramData\Software\ESTsoft\Common\ESTCommon.dll

注册表位置:HKLU\Software\Microsoft\Windows\CurrentVersion\RunOnce

图9:注册表创建

功能通过在“C:\ProgramData\Software\ESTsoft\Common\flags”目录中创建文件(FolderMonitor、KeyboardMonitor、ScreenMonitor、UsbMonitor)并将“flag”写入其中来激活。

下一步会创建一个互斥锁,确保只感染受害者一次。

图10:互斥锁创建

创建互斥锁后,通过调用GetTokenInformationAPI调用检查当前进程是否具有正确的访问权限,如果它没有,则尝试将SeDebugPrivilege传递给AdjustTokenPrivilege获得系统级权限。

图11:提权

最后,它在单独的线程中执行其主要功能。每个线程中收集的数据都被压缩和加密,并使用HTTPPOST请求发送到命令和控制服务器。将数据发送到服务器后,数据会从受害者的机器中删除。

ApppleSeed有效负载使用RC4来加密和解密数据。为了生成RC4密钥,它通过调用CryptGenRandom创建一个117字节的随机缓冲区,然后使用CryptCreateHash和CryptHashData将缓冲区添加到MD5哈希对象中,接着调用CryptDeriveKey来生成RC4密钥。

创建的117字节缓冲区使用RSA算法加密,并与RC4加密数据一起发送到服务器。RSA密钥采用十六进制ASCII格式,并已使用“string_decryptor”函数解密。

输入捕获(KeyLogger)

键盘记录器函数使用GetKeyState和GetKeyboardState来捕获受害者机器上按下的键,并将每个进程的所有键记录到log.txt文件中。

图12:键盘记录器

屏幕截图

该模块通过调用API(GetDesktopWindow、GetDC、CreateCompstibleDC、CreateCompatibleBitmap、Bitblt和GetDIBits)来截取屏幕截图,然后使用CreateFileW和WriteFile将它们写入文件。

图13:屏幕截图

收集可移动设备数据

该模块查找连接到机器的可移动媒体设备并收集数据,然后发送到命令和控制服务器。识别 USB 驱动器是调用 CM_Get_Device_IDW 检索格式为“

图 14:获取可移动设备

收集文件

该线程在Desktop、Documents、Downloads 和 AppData\Local\Microsoft\Windows\INetCache\IE 目录中查找 txt、ppt、hwp、pdf 和 doc 文件,将它们存档以备发送到服务器。

图 15:文件收集

命令结构

AppleSeed后门使用两层命令结构与服务器进行通信,模式为:

entity:url url:?m=[command layer one]&p1=[volume serial number]&p2=[command layer two]

第一层命令定义了服务器期望在机器上执行的命令类型,具有以下值之一:

· a  ping模式(收集受害者信息,包括 IP、时间戳、受害者操作系统版本)

· b 上传数据模式

· c 下载命令(等待命令)

· d 删除命令

· e 上传命令模式

· f 列出目录模式

· g 删除文件模式

· h 检查文件模式是否存在

命令层2仅用于当命令层 1 处于上传数据模式 (c) 并定义上传类型时。它可以具有以下值之一:

· a 上传命令执行结果

· b 上传文件和可移动媒体数据

· c 上传截图

· d 上传输入捕获数据(键盘记录器数据)

Kimsuky(也称为Thallium、BlackBanshee、VelvetChollima)APT是朝鲜的网络间谍组织,主要针对韩国的政府实体开展网络威胁活动,该组织自2012年以来一直活跃。2020年12月,KISA(韩国互联网与安全局)提供了对Kimsuky用于网络钓鱼的基础设施和TTP的详细分析。

Malwarebytes安全团队在近期观测到Kimsuky的活动迹象,发现其用于攻击韩国政府内知名人士的网络钓鱼网站、恶意文档和脚本。活动中使用的设备、TTP与KISA报告中的内容一致。

攻击目标

Kimsuky使用的钓鱼文件之一名为“외교부사판2021-05-07”,翻译为“外交部版2021-05-07”,表明它的目标是韩国外交部。其他与韩国政府有关的目标包括:

· 大韩民国外务省一秘

· 大韩民国外务省二秘

· 贸易部长

· 韩国驻香港总领事馆副总领事

· 国际原子能机构(IAEA)核安全官员

· 斯里兰卡驻华大使馆大使

· 外交贸易部参赞

除了针对政府之外,Kimsuky的目标还包括韩国的大学和公司,比如首尔国立大学、大新金融安全公司以及KISA。

网络钓鱼基础设施

Kimsuky会模仿知名网站并诱骗受害者输入其凭据,这是该组织用来收集电子邮件地址的主要方法之一,地址之后用于发送钓鱼邮件。Kimsuky组织仍在使用之前在KISA报告中提到的类似的网络钓鱼模型,但有一些细微的变化。

例如,Mobile_detect和Anti_IPs模块从B型添加到C型(KISA报告),以便能够检测移动设备并基于此调整视图。此网络钓鱼模型能够根据从钓鱼邮件收到的参数值以英语或韩语的形式呈现钓鱼页面。

图1:网络钓鱼服务模型

Kimsuky开发了多种网络钓鱼技术来模仿以下Web服务并窃取凭据:Gmail、Hotmail、MicrosoftOutlook、Nate、Daum、Naver、Telegram、KISA。

图2:KimsukyAPT开发的Nate钓鱼页面

Kimsuky使用Twitter帐户来查找目标,并向其发送定制钓鱼邮件。该组织还使用Gmail帐户进行钓鱼攻击或注册域,使用的Gmail帐户之一是“[email protected][.]com”,注册了以下域名:

· ns1.microsoft-office[.]us

· ns2.microsoft-office[.]us

上面两个域名于4月3日注册,应该是暂时保留用于未来的活动中。从域名中我们能找到攻击者使用的基础设施,其中一些与之前报道的由Kimsuky运营的活动重叠。

图3:基础设施关联

C2基础设施

Kimsuky将其部分钓鱼基础设施用于指挥和控制通信。在最近针对韩国政府的攻击中,他们重新利用了曾经用于托管钓鱼网站的基础设施,如AppleSeed后门的C&C通信。除了用AppleSeed后门针对Windows用户外,还有针对Android用户的定制后门,Android后门可看作是AppleSeed后门的移动版本,它使用与Windows相同的命令模式和基础设施。

图4:C2基础设施

以下是攻击者用于C2通信的一些IP和域:

210.16.120[.]34

216.189.157[.]89

45.58.55[.]73

45.13.135[.]103

27.102.114[.]89

210.16.121[.]137

58.229.208[.]146

27.102.107[.]63

download.riseknite[.]life

onedrive-upload.ikpoo[.]cf

alps.travelmountain[.]ml

texts.letterpaper[.]press

对最近一次AppleSeed攻击的分析

在本节中,我们将分析Kimsuky用于攻击韩国外交部的AppleSeed后门。

初始访问

Kimsuky于2021年5月7日对韩国外交部进行了鱼叉式网络钓鱼攻击,钓鱼邮件中携带恶意附件(외교부사판2021-05-07.zip),攻击目标由上文所述的途径收集。

附件文件包含一个伪装成PDF文件的JavaScript文件(외교부사판2021-05-07.pdf.jse),它包含两个Base64编码的数据块,第一个是数据块是PDF诱饵文件的内容,另一个为Base64格式的AppleSeed有效负载(编码两次)。后者先使用MSXMLBase64解码函数解码第一层,然后使用certutil.exe解码第二层并获得最终的ApppleSeed有效负载。

图5:JS文件

解码PDF和AppleSeed有效负载后的内容将写入ProgramData目录。最后,通过调用Wscript.Shell.Run打开诱饵PDF文件,并通过PowerShell调用regsvr32.exe执行AppleSeed有效负载。调用regsvr32.exe来运行DLL将其注册为一个服务器,该服务器自动调用名为DllRegisterServer的DLL导出函数。

powershell.exe-windowstylehiddenregsvr32.exe/sAppleSeed_Payload
Wscript_Shell.Run(Pdf_Name);

AppleSeed后门

植入的有效负载是由UPX封装的DLL文件。解压后的样本经过高度混淆,重要的API调用和字符串已使用自定义加密算法进行加密。字符串和API调用的加密版本采用十六进制ASCII格式,每当在代码中恶意软件需要使用字符串时,它就会获取加密的字符串并将其传递给两个函数对其进行解密。

第一个函数“string_decryptor_prep”获取加密的字符串,然后准备一个自定义数据结构,该结构有四个元素:

typedefstruct_UNICODESTR{
wchar_t*Buffer;//Encryptedstring
DWORDpadding;
uint64_tLength;//Lengthofthestring
uint64_tMaxLength;//Maxlengthforthestringwhichhasbeencalculatedbasedonthelenght
}UNICODESTR;

第二个函数“string_decryptor”获取前一个函数中创建的数据结构,解密其中的字符串并将其放入相同的数据结构中。

图6:字符串解密函数

解密器函数首先通过调用hexascii_to_binary函数,对每两个十六进制的ascii字符(即示例1中的c3、42、b1、1d...)转换为二进制,然后将输入中的前16个字节用作密钥,其余部分是在16个字节块(即ed、d5、0d、60)中解密的实际值。

解密过程是对key[i]^string[i-1]^string[i]的简单异或运算(第一个字符string_to_be_decrypted[i-1]设置为零)。

图7:字符串解码器示例

大多数重要的API调用在运行时使用“string_decryptor”函数动态解析。

图8:解析API调用

AppleSeed有效负载有一个名为“DllRegisterServer”的导出函数,该函数将在使用RegSvr32.exe执行DLL时调用。DllRegisterServer有一个函数负责执行DLL初始化和设置,包括以下步骤:

1、将自身复制到“C:\ProgramData\Software\ESTsoft\Common”中,并重命名为ESTCommon.dll,假装它是属于ESTsecurity公司的DLL。

2、通过创建以下注册表项使其持久化:

注册表项名称:EstsoftAutoUpdate

注册表项值:Regsvr32.exe/sC:\ProgramData\Software\ESTsoft\Common\ESTCommon.dll

注册表位置:HKLU\Software\Microsoft\Windows\CurrentVersion\RunOnce

图9:注册表创建

功能通过在“C:\ProgramData\Software\ESTsoft\Common\flags”目录中创建文件(FolderMonitor、KeyboardMonitor、ScreenMonitor、UsbMonitor)并将“flag”写入其中来激活。

下一步会创建一个互斥锁,确保只感染受害者一次。

图10:互斥锁创建

创建互斥锁后,通过调用GetTokenInformationAPI调用检查当前进程是否具有正确的访问权限,如果它没有,则尝试将SeDebugPrivilege传递给AdjustTokenPrivilege获得系统级权限。

图11:提权

最后,它在单独的线程中执行其主要功能。每个线程中收集的数据都被压缩和加密,并使用HTTPPOST请求发送到命令和控制服务器。将数据发送到服务器后,数据会从受害者的机器中删除。

ApppleSeed有效负载使用RC4来加密和解密数据。为了生成RC4密钥,它通过调用CryptGenRandom创建一个117字节的随机缓冲区,然后使用CryptCreateHash和CryptHashData将缓冲区添加到MD5哈希对象中,接着调用CryptDeriveKey来生成RC4密钥。

创建的117字节缓冲区使用RSA算法加密,并与RC4加密数据一起发送到服务器。RSA密钥采用十六进制ASCII格式,并已使用“string_decryptor”函数解密。

输入捕获(KeyLogger)

键盘记录器函数使用GetKeyState和GetKeyboardState来捕获受害者机器上按下的键,并将每个进程的所有键记录到log.txt文件中。

图12:键盘记录器

屏幕截图

该模块通过调用API(GetDesktopWindow、GetDC、CreateCompstibleDC、CreateCompatibleBitmap、Bitblt和GetDIBits)来截取屏幕截图,然后使用CreateFileW和WriteFile将它们写入文件。

图13:屏幕截图

收集可移动设备数据

该模块查找连接到机器的可移动媒体设备并收集数据,然后发送到命令和控制服务器。识别 USB 驱动器是调用 CM_Get_Device_IDW 检索格式为“

图 14:获取可移动设备

收集文件

该线程在Desktop、Documents、Downloads 和 AppData\Local\Microsoft\Windows\INetCache\IE 目录中查找 txt、ppt、hwp、pdf 和 doc 文件,将它们存档以备发送到服务器。

图 15:文件收集

命令结构

AppleSeed后门使用两层命令结构与服务器进行通信,模式为:

entity:url url:?m=[command layer one]&p1=[volume serial number]&p2=[command layer two]

第一层命令定义了服务器期望在机器上执行的命令类型,具有以下值之一:

· a  ping模式(收集受害者信息,包括 IP、时间戳、受害者操作系统版本)

· b 上传数据模式

· c 下载命令(等待命令)

· d 删除命令

· e 上传命令模式

· f 列出目录模式

· g 删除文件模式

· h 检查文件模式是否存在

命令层2仅用于当命令层 1 处于上传数据模式 (c) 并定义上传类型时。它可以具有以下值之一:

· a 上传命令执行结果

· b 上传文件和可移动媒体数据

· c 上传截图

· d 上传输入捕获数据(键盘记录器数据)

Nobelium是一种合成化学元素,为了纪念阿尔弗雷德·诺贝尔(Alfred Nobel)而命名,但它当前又有了一层新的含义——被微软命名为此前发动过SolarWinds事件的幕后攻击组织。SolarWinds事件堪称2020年最严重的供应链攻击事件,导致九家联邦机构和数百家私营企业数据泄露,美国白宫方面宣称俄罗斯对外情报局应为SolarWinds入侵事件负责,并直接宣布多项对俄罗斯的制裁措施。

近期,微软威胁情报中心(MSTIC)发布警告称,由NOBELIUM发起的大规模恶意电子邮件活动正在肆虐。在此活动中,NOBELIUM利用了合法的群发邮件服务Constant Contact,将自己伪装成美国的某个开发组织,从而将恶意链接分发给各种组织和垂直行业。

活动介绍

此次大规模电子邮件活动利用了Constant Contact发送恶意链接,目标受害者点击钓鱼邮件中的恶意链接后就会被植入恶意文件,该文件用于分发一个被称为 NativeZone 的后门。这种后门可以使后续的恶意活动成为可能,从窃取数据到横向移动感染网络上的其他计算机等。

此次活动最早开始于2021年1月28日,当时攻击者似乎在进行早期侦察,利用Firebase URL来记录点击的目标,且未观察到恶意有效负载。随着时间的推移,Nobelium试图通过附加在鱼叉式网络钓鱼电子邮件中的HTML文件来破坏系统,如果接收者打开了HTML附件,则HTML中的嵌入式JavaScript代码会将一个ISO文件写入磁盘,并诱导目标用户打开。

在整个三月期间,都有类似的鱼叉式网络钓鱼活动被检测到,NOBELIUM也会根据预期目标对HTML文档进行相应修改。MSTIC表示,攻击者会在HTML文档中编码ISO,ISO中的RTF文档含有恶意Cobalt Strike Beacon DLL编码。攻击者将用一个URL替代HTML,前者指向的钓鱼网站中包含欺骗目标组织的ISO文件。

ISO有效负载

如上所述,有效负载是通过ISO文件传送的。打开ISO文件时,它们的安装方式很像外部驱动器或网络驱动器。攻击者可以将容器部署到环境中,以促进执行或逃避防御。有时他们会部署一个新的容器来执行与特定映像或部署相关的进程,比如执行或下载恶意软件的进程。在其他情况下,攻击者可能部署一个没有配置网络规则、用户限制等的新容器,以绕过环境中现有的防御。

在这种情况下,快捷方式文件(.lnk)将执行随附的DLL,这将导致在主机上执行Cobalt Strike Beacons。值得注意的是,DLL是隐藏文件,Cobalt Strike Beacons通过端口443向呼叫攻击者的基础设施。

行动演变

传递方式并不是这场行动中唯一的演变因素。在某次更具针对性的攻击中,攻击者没有传递ISO有效负载,但用户点击链接后,Web服务器将对目标设备执行分析。如果目标设备是苹果iOS设备,用户将被重定向到另一个由NOBELIUM控制的服务器,那里提供了对0 day漏洞CVE-2021-1879的漏洞利用。

在四月份的攻击行动中,攻击者停止了对Firebase的使用,并且不再跟踪用户,他们的技术转向了在HTML文档中对ISO进行编码。现在,有效负载通过使用api.ipify.org服务将目标主机的详细信息存储在远程服务器上,攻击者有时会对特定的内部Active Directory域进行检查,如果识别出意外的环境,这些域将终止恶意进程的执行。

最新动态

5月25日,NOBELIUM行动出现了明显的升级,攻击者瞄准了150多个组织中的大约3,000个个人帐户,目标受害者至少遍及 24 个国家,位于美国的组织受到的攻击最多,至少有 1/4 的目标组织参与了国际发展、人道主义和人权工作。由于此行动中分发的电子邮件数量庞大,大部分都被邮件侦测系统封锁并被标记为垃圾邮件,但仍可能有部分受害者中招。有效负载成功部署后,NOBELIUM 能够持续访问受感染的机器,并能够进行后续的恶意活动,例如横向移动、数据泄露或安装其他恶意软件。

IOC

MSTIC 提供了一份来自 2021 年 5 月 25 日发起的大规模攻击活动的入侵指标列表。MSTIC 指出,当前NOBELIUM的攻击仍然活跃,后续活动可能发生变化,不应将这些指标视为详尽无遗。

图1.Malwarebytes 在攻击前检测到 Cobalt Strike 负载 

theyardservice.com

图2.Malwarebytes还阻止了域 theyardservice.com

Nobelium是一种合成化学元素,为了纪念阿尔弗雷德·诺贝尔(Alfred Nobel)而命名,但它当前又有了一层新的含义——被微软命名为此前发动过SolarWinds事件的幕后攻击组织。SolarWinds事件堪称2020年最严重的供应链攻击事件,导致九家联邦机构和数百家私营企业数据泄露,美国白宫方面宣称俄罗斯对外情报局应为SolarWinds入侵事件负责,并直接宣布多项对俄罗斯的制裁措施。

近期,微软威胁情报中心(MSTIC)发布警告称,由NOBELIUM发起的大规模恶意电子邮件活动正在肆虐。在此活动中,NOBELIUM利用了合法的群发邮件服务Constant Contact,将自己伪装成美国的某个开发组织,从而将恶意链接分发给各种组织和垂直行业。

活动介绍

此次大规模电子邮件活动利用了Constant Contact发送恶意链接,目标受害者点击钓鱼邮件中的恶意链接后就会被植入恶意文件,该文件用于分发一个被称为 NativeZone 的后门。这种后门可以使后续的恶意活动成为可能,从窃取数据到横向移动感染网络上的其他计算机等。

此次活动最早开始于2021年1月28日,当时攻击者似乎在进行早期侦察,利用Firebase URL来记录点击的目标,且未观察到恶意有效负载。随着时间的推移,Nobelium试图通过附加在鱼叉式网络钓鱼电子邮件中的HTML文件来破坏系统,如果接收者打开了HTML附件,则HTML中的嵌入式JavaScript代码会将一个ISO文件写入磁盘,并诱导目标用户打开。

在整个三月期间,都有类似的鱼叉式网络钓鱼活动被检测到,NOBELIUM也会根据预期目标对HTML文档进行相应修改。MSTIC表示,攻击者会在HTML文档中编码ISO,ISO中的RTF文档含有恶意Cobalt Strike Beacon DLL编码。攻击者将用一个URL替代HTML,前者指向的钓鱼网站中包含欺骗目标组织的ISO文件。

ISO有效负载

如上所述,有效负载是通过ISO文件传送的。打开ISO文件时,它们的安装方式很像外部驱动器或网络驱动器。攻击者可以将容器部署到环境中,以促进执行或逃避防御。有时他们会部署一个新的容器来执行与特定映像或部署相关的进程,比如执行或下载恶意软件的进程。在其他情况下,攻击者可能部署一个没有配置网络规则、用户限制等的新容器,以绕过环境中现有的防御。

在这种情况下,快捷方式文件(.lnk)将执行随附的DLL,这将导致在主机上执行Cobalt Strike Beacons。值得注意的是,DLL是隐藏文件,Cobalt Strike Beacons通过端口443向呼叫攻击者的基础设施。

行动演变

传递方式并不是这场行动中唯一的演变因素。在某次更具针对性的攻击中,攻击者没有传递ISO有效负载,但用户点击链接后,Web服务器将对目标设备执行分析。如果目标设备是苹果iOS设备,用户将被重定向到另一个由NOBELIUM控制的服务器,那里提供了对0 day漏洞CVE-2021-1879的漏洞利用。

在四月份的攻击行动中,攻击者停止了对Firebase的使用,并且不再跟踪用户,他们的技术转向了在HTML文档中对ISO进行编码。现在,有效负载通过使用api.ipify.org服务将目标主机的详细信息存储在远程服务器上,攻击者有时会对特定的内部Active Directory域进行检查,如果识别出意外的环境,这些域将终止恶意进程的执行。

最新动态

5月25日,NOBELIUM行动出现了明显的升级,攻击者瞄准了150多个组织中的大约3,000个个人帐户,目标受害者至少遍及 24 个国家,位于美国的组织受到的攻击最多,至少有 1/4 的目标组织参与了国际发展、人道主义和人权工作。由于此行动中分发的电子邮件数量庞大,大部分都被邮件侦测系统封锁并被标记为垃圾邮件,但仍可能有部分受害者中招。有效负载成功部署后,NOBELIUM 能够持续访问受感染的机器,并能够进行后续的恶意活动,例如横向移动、数据泄露或安装其他恶意软件。

IOC

MSTIC 提供了一份来自 2021 年 5 月 25 日发起的大规模攻击活动的入侵指标列表。MSTIC 指出,当前NOBELIUM的攻击仍然活跃,后续活动可能发生变化,不应将这些指标视为详尽无遗。

图1.Malwarebytes 在攻击前检测到 Cobalt Strike 负载 

theyardservice.com

图2.Malwarebytes还阻止了域 theyardservice.com

Hancitor(又称Chanitor或Tordal)是一个基于宏的恶意软件,通过垃圾邮件活动中的Microsoft Office钓鱼文档传播。Hancitor被设计为充当其他恶意软件的下载器,通过下载其他恶意软件感染Windows计算机,常见的是Pony、Vawtrak、Ficker之类的银行木马或间谍软件。

Hancitor的影响相当有限,很容易被微软内置的Windows Defender反病毒工具检测到,此外许多电子邮件过滤器也能够检测出这些垃圾邮件。那么Hancitor究竟对谁有效?一个理想的目标便是运行Windows 7过时版本的计算机用户,如禁用了反病毒的Windows 7。

Hancitor于2016年出现,这几年的时间一直表现平平,直到最近研究人员发现其被用于Cuba大型勒索软件攻击行动中。此次行动最早可追溯至2020年1月,背后的运营人员会在网站上公布拒绝支付赎金的受害者的窃取数据。截至2021年4月28日,该网站公布了9家大型公司的机密信息,分别来自来自航空、金融、教育和制造业等。

Hancitor通常是通过垃圾邮件活动分发的。在此行动中,邮件伪装成DocuSign通知:

垃圾邮件内容示例

单击恶意链接后会导致武器化文档的下载,文档会诱导用户禁用保护措施:

武器化文件的内容

文档打开后,宏提取Hancitor DLL并将其拖放到C:\Users\%username%\AppData\Roaming\Microsoft\Word,然后通过rundll32.exe运行。

这种行为很容易被基于主机的防御检测到,因为winword.exe通常不应启动rundll32.exe:

检测由Hancitor引起的异常活动

从C2服务器接收的数据经过base64编码,并与0x7A进行了异或。经过解码和解密后再检查命令,命令应显示为以下符号之一:«b», «e», «l», «n», «r»。Hancitor对每个命令对应的操作如下:

  • b-从命令服务器上下载PE。下载的数据解密、解压后并注入到新启动的svchost.exe进程中。

  • e-从命令服务器上下载PE。下载的数据在Hancitor进程的单独线程中解密、解压并执行。

  • l-从命令服务器上下载PE。通过创建远程线程,将下载的数据解密、解压并注入到新启动的svchost.exe进程中。

  • n-类似于ping命令。

  • r-从命令服务器上下载PE。下载的数据被解密、解压并保存到一个临时文件中。如果下载的文件是EXE文件,则通过CreateProcess执行;如果下载的文件是DLL文件,则通过rundll32.exe执行。

如今,Hancitor提供的最常见的有效负载之一是Ficker窃取器,该窃取器在各种地下论坛中经常出现,它能够从各种网页浏览器、邮件客户端、加密货币钱包等中提取数据。但攻击者对Cobalt Strike的使用更值得关注。

在后利用阶段,攻击者主要依靠Cobalt Strike,在攻击周期的各个阶段利用其功能,比如jump psexec、jump psexec_psh、SMB Beacons,攻击者有时还使用了一些不太常见的技术,如WMI和WinRM来执行远程主机上的Beacon stagers。

由于Cobalt Strike具有凭证转储功能,因此攻击者利用了mimikatz的sekurlsa :: logonpasswords,在某些情况下也使用单独的二进制文件在主机上运行mimikatz。该工具用获得的哈希值和mimikatz的sekurlsa :: pth来实现横向移动功能。

Beacon的功能还用于扫描受感染的网络。此外,该组织还利用了一些自定义工具来进行网络侦察。第一个工具称为Netping——它是一种简单的扫描程序,能够收集有关网络中活动主机的信息并将其保存到文本文件中,另一个工具Protoping可以收集有关可用网络共享的信息。如net view的内置工具也有被滥用收集网络中主机的信息,nltest实用工具用于收集受感染域的信息。

除了Cobalt Strike能够在远程主机上运行Beacon stagers外,攻击者还使用远程桌面协议进行横向移动。他们有一个名为RDP .bat的批处理脚本,用于启用RDP连接并在目标主机上添加相应的防火墙规则。

Ficker并不是攻击者武器库中唯一热门的工具。SystemBC是另一种在各种勒索软件运营商中越来越受欢迎的工具,即使Cobalt Strike活动被检测和阻止,此类后门程序也能使攻击者下载并执行有效负载。

勒索软件部署的方法简单但有效,与其他行动类似,攻击者通常利用PsExec进行部署。

所窃取的数据将发布在专用的Cuba DLS(数据泄漏站点)上。

截至4月28日,该网站主要提供了9家美国公司的数据供其他人免费下载,这些公司都是拒绝支付赎金大型公司,包括航空、金融、教育、制造和物流。预计实际受害者人数会更高。

网站还包括付费内容部分:

Cuba DLS上的付费内容

根据Group-IB TI&A的说法,勒索软件部署背后的组织是Balbesi。尽管该组织在操作中运用了相当普遍的技术,但它们的攻击仍然非常有效,并且影响了各个部门的组织,包括金融、制药、教育、工业、专业服务和软件开发,这些部门主要集中在欧洲和美国。