Silence組織使用惡意CHM文件攻擊俄羅斯銀行
在2018年11月,我們跟進了一條推文,提到在CHM中傳播的潛在惡意程式碼(Microsoft Compiled HTML Help)。初步分析引起了我們的威脅分析和情報團隊的注意,特別是俄羅斯聯邦和白俄羅斯共和國的員工。
此次行動針對的是金融行業,尤其是是俄羅斯聯邦和白俄羅斯共和國金融行業的工作人員。此次行動背後的行為者是Silence團伙,這是一個相對較新的威脅團伙,自2016年中期以來一直在運營。到目前為止,我們已確定的被攻擊的企業包括:
NBD Bank Russia:提供零售和商業服務的俄羅斯銀行。 Zapsibkombank(Zapadno-Sibirskiy Kommercheskiy Bank):西西伯利亞商業銀行(WSCB),位於俄羅斯。 FPB(Finprombank):同樣位於俄羅斯。 MSP銀行(МСПБанк):專注於為中小企業提供融資的俄羅斯聯邦國家銀行。 MT Bank(МТБанк):Meridian trade Bank,也是唯一一家位於白俄羅斯的實體銀行。
主向量由惡意CHM檔案表示。儘管CHZ是一種“過時”的格式,但它過去曾被有效地用於執行惡意程式碼。在這種情況下,除了執行本機OS二進位制檔案以收集與其目標相關的資訊之外,它還用於下載屬於感染鏈的元件。
Silence團伙如何傳播
此次攻擊利用魚叉式網路釣魚電子郵件進行傳播,郵件由俄語編寫,並帶有一個名為“Contract_12112018.Z”(2018年11月12日合同)的壓縮附件。
對附件進行解壓後,得到一個名為“ Contract_12112018.chm ”的檔案,其內容是銀行開戶協議,其執行代表感染過程的第一步。
此郵件會偽造成是由俄羅斯各家銀行的官方地址傳送的,調查結果顯示,大多傳送地址都是俄羅斯聯邦央行,郵件內容如下:
“Good day! I, Skurtov Andrei Vladimirovich, Head of Interbank Operations and Correspondent Relations of PJSC “FinServisBank”. We negotiated the opening and maintenance of correspondent accounts in rubles and freely convertible currencies. I ask you to consider the application as soon as possible to open and maintain accounts. I attach the archive with the contract. Please fill it in and send it to me. Thank you in advance, waiting for an answer.
Respectfully,Head of Interbank Operations andCorrespondent Relations of PJSC “FinserviceBank”Nizhny Novgorod region, Sarov, Silkin street, 13”
惡意元件
在下圖中,我們重建了Silence小組使用的完整CHM感染鏈,分為三個主要階段:
1.下載啟動感染鏈所需的初始payload(VBScript);
2.由受感染計算機上的初始有效負載執行的活動,以及主要惡意軟體元件的下載;
3.資訊收集和交付給C&C。
編譯的HTML幫助檔案(contract_12112018.chm)的檔案結構類似於超文字頁面,需要通過本地Microsoft Windows程式“HH.exe”開啟。CHM檔案包含一個名為start.htm的檔案和惡意payload,用於啟動cmd.exe和mshta.exe從IP 下載惡意VBscript(稱為“ li ”)146.0.72.139。這是感染鏈的第一階段。
下圖顯示了用於啟動 mshta 的命令列,該命令列下載並執行惡意VBS檔案:
感染鏈的第二階段繼續執行“li”檔案中包含的指令,主要負責:
複製一份cmd.exe和PowerShell.exe將它們分別重新命名為 ejpejpff.com 和 ejpejpf.com ,並將它們儲存在 %TEMP% 資料夾中。
使用引數 -nop -W hidden -noninteractive -c 呼叫ejpejpf.com(這是 Powershell.exe 的副本)來:
1.下載Base64編碼的“flk”payload,並將其儲存到 %TEMP% 資料夾中,格式為“ejpej .txt”;
2.解碼並儲存為“ejpejp.com”;
3.執行“ejpejp.com”。
感染鏈的第三個也是最後一個階段,將繼續執行“ejpejp.com”,負責:
在 \AppData\Roaming\ 中將自身複製為conhost.exe,該檔名也是合法的Console Windows Host經常呼叫的檔名,這麼做可能是為了逃避檢測;
將引用新增到 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run 作為永續性方法執行;
執行System Information Discovery;
惡意檔案的元資料描述為“MS DefenderApplicationController”。
我們已經確認該應用程式是Silence團伙使用的木馬變種,該木馬負責收集每個受害者電腦的資訊,是通過以下4個Windows系統二進位制檔案進行收集的:
system.exe:執行“System Information”以收集有關受害者計算機配置和作業系統的詳細資訊,例如:產品ID,硬體功能和安全資訊; net.exe:“Net View”用於收集有關區域網的資訊以及啟動/停止IPv6協議服務; whoami.exe:用於獲取使用者的當前域和使用者名稱; ipconfig.exe:用於收集TCP / IP網路配置設定。
所有這些資訊都儲存在“INFOCONTENT.TXT”檔案中,檔案儲存在%ProgramData%中,並上傳到IP 146.0.72.188託管的伺服器,該伺服器是Silence團伙用於此次行動的C2。以下是使用 ReaQta-Hive 重建攻擊的詳細步驟。
完整的攻擊鏈在 VirusTotal 。
網路基礎設施
如上所示,此次攻擊行動通過執行本機的幾個二進位制檔案來收集目標銀行基礎設施的情報。
通訊過程使用兩個IP地址進行:第一個是146.0.72.139,它是下載攻擊鏈不同部分的直接通道;第二個是通過IP地址146.0.72.188與C2進行通訊,將採集到的資訊進行過濾。這兩個ip都位於荷蘭。
歸因
我們想要分享為什麼我們認為Silence團伙是這次攻擊背後的因素:
其操作方式和感染載體(CHM)是Silence最新操作的典型特徵;
CHM的內部結構是Silence團伙攻擊的常見結構;
下載的二進位制檔案與Silence使用的二進位制檔案相匹配(Truebot的變體);
魚叉式網路釣魚活動中使用的語言是一樣的;
目標主要為東歐和俄羅斯;
目標型別(金融機構)與Silence集團通常選擇的目標相匹配;
在之前Silence小組的攻擊中發現的TTP與此處分析的攻擊相匹配。
這些因素使我們得出結論,Silence團伙(或附屬團體)很可能是此次攻擊背後的原因。
結論
我們收集的情報顯示,這次攻擊行動只是冰山一角,其攻擊目標仍是主要在俄羅斯境內運作的金融機構。從感染過程、攻擊鏈和操作結構來看,Silence團伙雖然還很年輕,但已經成為一個越來越有組織、越來越危險的銀行惡意軟體的傳播源。
我們的分析是使用ReaQta-Hive進行的:端點可見性和威脅搜尋能力是每個旨在降低網路攻擊風險的威脅組織的需求。這類威脅顯示了攻擊者的速度有多快、適應性有多強,而檢測、包含和響應的結構化流程對於防止對業務連續性的破壞和中斷至關重要。
Mitre Att&ck
T1193:Spearphishing附件
T1223:編譯的HTML檔案
T1105:遠端檔案複製
T1043:常用埠
T1170:Mshta
T1036:偽裝
T1059:命令列介面
T1086:Powershell
T1064:指令碼
T1140:反混淆/解碼檔案或資訊
T1060:登錄檔執行鍵/啟動資料夾
T1082:系統資訊發現
IOCs
SHA1 CHM檔案 20055FC3F1DB35B279F15D398914CABA11E5AD9D D83D27BC15E960DD50EAD02F70BD442593E92427 2250174B8998A787332C198FC94DB4615504D771 9D4BBE09A09187756533EE6F5A6C2258F6238773 D167B13988AA0B277426489F343A484334A394D0 26A8CFB5F03EAC0807DD4FD80E80DBD39A7FD8A6 290321C1A00F93CDC55B1A22DA629B3FCF192101 2CD620CEA310B0EDB68E4BB27301B2563191287B E5CB1BE1A22A7BF5816ED16C5644119B51B07837 SHA1 Dropped files 290321C1A00F93CDC55B1A22DA629B3FCF192101 2CD620CEA310B0EDB68E4BB27301B2563191287B E5CB1BE1A22A7BF5816ED16C5644119B51B07837 IP地址 146.0.72.139 146.0.72.188
*參考來源: reaqta ,由周大濤編譯,轉載請註明來自FreeBuf.COM