神祕黑客組織向義大利使用者郵件投遞SLoad惡意軟體
網路安全公司Yoroi在上週披露,在過去的幾個月裡,他們觀察到了一起針對義大利使用者的惡意電子郵件活動。目前,尚不清楚這些攻擊嘗試到底是由一個成熟的網路犯罪團伙在修改其TTP之後發起的,還是由一個全新的網路犯罪團伙發起的。但無論如何,Yoroi公司已經啟用了內部代號“Sload-ITA”(TH-163)來追蹤這一威脅。此外,在今年5月份,SANS ICS的研究人員在英國也觀察到了類似的活動。類似的惡意軟體元件投遞方式以及利用壓縮檔案來隱藏惡意程式碼的技術,將這兩起活動聯絡在了一起。
Yoroi公司收集並分析了在此次活動中使用的惡意樣本,以揭示攻擊者所使用的惡意軟體的細節。下圖總結了SLoad惡意軟體的感染鏈。
圖1. SLoad惡意軟體感染鏈
技術分析
由Yoroi公司分析的惡意樣本是一個zip壓縮檔案,其中包含兩個不同的檔案:
- 一個偽裝成指向系統資料夾的快捷方式檔案,被命名為“invio fattura elettronica.lnk”;
- 一個隱藏的JPEG影象檔案,被命名為“ image _20181119_100714_40.jpg ”。
儘管解壓後的.lnk檔案從表面上看是合法的,但它的“武器化”方式與APT29在近期活動中採用的方式是類似的,這也反映出這種技術已經成為了某些網路武器的一部分。事實上,當用戶雙擊該檔案時,一個批處理指令碼會生成如下所示的powershell指令碼:
這個powershell指令碼會搜尋與“documento-aggiornato-novembre - * .zip ”格式匹配的所有檔案。如果檔案存在,指令碼則會從其末尾提取一段程式碼,然後通過“IEX”原語呼叫。在下圖中,你可以看到真正涉及壓縮檔案內容的程式碼被標識為粉色和黃色,而附加的惡意程式碼則被標識為藍色。
圖2.附加到zip壓縮檔案的惡意程式碼
zip檔案的這一部分包含一段將由powershell指令碼呼叫的可執行程式碼。通過濫用“bitsadmin.exe”,這段程式碼可以從“firetechnicaladvisor.com”下載其他指令碼。然後,將所有新下載的檔案儲存到“%APPDATA%/
圖3.資料夾中的惡意軟體元件
資料夾中的“ NxPgKLnYEhMjXT.ps1 ”指令碼用於將這些惡意軟體元件安裝到受害者的裝置中,並在系統上註冊一個計劃任務,以建立永續性。然後,它會刪除自身。
圖4. 惡意軟體元件的安裝指令碼
在查看了資料夾中的“CxeLtfwc.ps1”指令碼之後,研究人員還注意到惡意軟體元件使用cmdlet“Invoke-Expression ”從檔案“config.ini ”載入並執行了另一段程式碼。
下圖展示了惡意軟體的其他元件是如何呼叫這段特定程式碼的:你可能會注意到,指令碼是在輸入引數(“1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16”)的情況下啟動的,這些引數用作密碼鑰匙來解密“config”的內容——惡意軟體的實際payload。
需要說明的是,“config.ini ”和“ web.ini ”檔案都是在執行時通過以下一組系統原語進行解密和呼叫的:
- “ConvertTo-SecureString”,
- [System.Runtime.InteropServices.Marshal]::SecureStringToBSTR($Encrypted);
- [System.Runtime.InteropServices.Marshal]::PtrToStringAuto($slStr);
下圖展示的是“ config.ini ”檔案中經加密處理的程式碼的一部分。
圖5.“config.ini”中經過加密處理的payload
解密“ web.ini ”的內容,可以得到惡意軟體使用的C&C伺服器地址: https[://hamofgri.me/images/和 https[://ljfumm.me/images/。
Sload惡意軟體會收集有關受害者裝置的資訊,如域名、dns快取、正在執行的程序、ip和系統架構。此外,它還會定時抓取受害者當前桌面的螢幕截圖,搜尋Microsoft Outlook資料夾並收集有關使用者目錄中是否存在“* .ICA”Citrix檔案的資訊。所有這些資訊都會被髮送給C&C伺服器。提交資料後,它會直接從攻擊者那裡接收到用於實施進一步攻擊的Shell/">PowerShell程式碼。這種行為是木馬/間諜軟體的代表特徵之一,通常被用來完成入侵目標裝置前的偵察工作,以及某些更復雜攻擊的初始階段。
圖6.Sload惡意軟體元件在VT中的檢測結果
總結
一些第三方安全公司和政府認證機構也公開披露了最近的SLoad攻擊浪潮,但由於精心設計的釣魚電子郵件主題,以及惡意軟體元件本身使用的技術,導致反病毒引擎針對該惡意軟體的檢測率可能相對較低,這無疑對義大利使用者構成了嚴重的威脅。
目前,尚不清楚這些攻擊背後的運營者是否是網路犯罪領域中新出現的參與者,但有跡象表明,此惡意活動最早被發現可能是在2018年5月份,在當時針對的是英國使用者,而最近針對義大利使用者的活動是從10月份開始的,這似乎預示著該組織已經擴大了其惡意活動的規模。
宣告:本文來自黑客視界,版權歸作者所有。文章內容僅代表作者獨立觀點,不代表安全內參立場,轉載目的在於傳遞更多資訊。如需轉載,請聯絡原作者獲取授權。