APT 后门 加密货币 危险密码
【微步在线报告】全球加密货币公司的梦魇——揭秘APT组织“危险密码”
微步情报局 2020-01-08 16:13:45 3384人浏览

TAG:加密货币公司、APT、中国、后门、危险密码

TLP:白(报告转发及使用不受限制)

日期:2019-11-21

概要

近日微步在线威胁情报云捕获到多个具备相同特点的压缩木马文件,并关联发现幕后黑客的更多网络资产及攻击样本。由于诱饵文件以“每月业务报告”、“职位描述”、“项目风险简介”等话题,且内容均涉及加密货币,研判认为幕后存在一个专门攻击加密货币公司的APT团伙,我们根据攻击手法将其命名为“危险密码”(DangerousPassword),具体情况包括:

Ø  “危险密码”发布的诱饵文件涉及中文、英文、日文、俄文等,域名资产数量过百,且攻击目标集中于加密货币公司,是一个资源丰富、目标明确的APT团伙。

Ø   “危险密码”至少于2018年3月开始活跃,主要通过钓鱼邮件投递恶意文件下载链接,诱导收件者从仿冒的谷歌、微软、亚马逊云服务器下载木马压缩文件。

Ø  压缩文件一般包含诱饵加密文档和伪装成密码文件的恶意快捷方式,用户启动后会下载后门脚本直接执行,同时展示文档密码迷惑用户。

Ø  恶意后门启动后监测主机是否存在“金山毒霸”、“360”等软杀进程,以判断绕过或是否驻留等后续操作。同时后门会将主机信息、运行进程等数据发送回C&C服务器,并持续发起请求以执行后续操作。

Ø  微步在线威胁检测平台(TDP)、威胁情报管理平台(TIP)、DNS防火墙(OneDNS)、威胁情报云API均已支持该团伙最新攻击的检测。如需协助,请与我们联系: contactus@threatbook.cn。

详情

近日,微步在线威胁情报云捕获到多个利用压缩包存储木马的样本文件,解压后的文件包括经过加密的合法Office文档以及伪装成“密码”TXT(包括英语、俄语、日语等)的恶意快捷方式文件,效果如下图所示:

1.jpg

分析发现,快捷方式指向的地址均为美国bit.ly网站提供的短链接形式,文件执行后会从C&C服务器返回加密文档的密码同时在后台执行恶意代码,让用户误以为找到了密码并成功打开加密文件,是一个典型的社会工程学攻击手法。

2.jpg3.jpg

样本分析

此次捕获木马的攻击框架如下:

1.jpg

                                   以其中一份为例分析如下:

Table 1

文件名
New Employee_s Salary and Bonus Guideline.zip
文件类型
Zip压缩文件
文件大小
43kb
SHA256
A50EC2F42BEC1C43E952DE2728DE0217F178440BDD8FCEF70BB6DB4C27E9B4BB

1、压缩包包含三个文件,两个相同的加密的docx文件,以及一个伪装成“Password.txt”的lnk文件。

2.jpg

“1.New Employee's Salary and Bonus Guideline.docx”和“2.NewEmployee's Salary and Bonus Guideline.docx”是两个哈希相同的文件,其文件内容经过加密,以此诱使用户点击“Password.txt”获取密码。Password.txt.lnk文件将远程链接一段Vbscript脚本执行,短域名形式的URL为“hxxps://bit[.]ly/2MgEsjc”,实际网络请求时,URL地址为“hxxp://download[.]showprice.xyz:8080/open?id=1qbg9gs5iLsG0BMJmCBAVWdmAbkV7WFDYPndK528Q7I%3D”。

2、通过lnk文件请求执行的vbscript脚本代码如下所示。

3.jpg

这段vbscript脚本的作用有四个:

a、在用户临时目录写入真正的Password.txt本文文件然后打开,显示密码内容“newsalarysystem”(该密码用于打开诱饵文件中的docx文件)。如用户关闭文本编辑器进程notepad,则Password.txt随即被删除。

b、在临时目录创建名为“xBoxOne.lnk”的lnk文件,该文件请求执行远程脚本类文件,URL地址:hxxps://bit[.]ly/2xMHylE。然后将该文件移动到启动目录实现持久化驻留。

c、杀软检测。

d、解密释放名为“qjqykntc.vbs”的文件到用户临时目录,然后执行。

杀软检测如下,通过wmi接口遍历当前系统进程,如检测到“kwsprot”进程(金山毒霸)或“npprot”进程(NPAV防病毒保护),则使用cscript.exe执行后续的落地vbscript;反之则使用wscript.exe引擎(猜测这里是为了做动态免杀处理)。然后接着进行杀软进程名称查找,如检测到包含“hudongf”的进程(360主动防御)或“qhsafe”的进程(360杀软组件),则删除临时目录中创建的lnk文件;反之正常执行。

4.jpg

在未检测到相关杀软的环境下释放的文件如下。

5.jpg

该段vbscript中,进行一系列字符串拼接、base64解密、杀软检测之后,将执行以下shell命令。

6.jpg

该shell将携带参数“41.85.145.164:8080/open”启动qjqykntc.vbs脚本。然后将临时目录中的lnk文件移动到系统启动目录实现持久化驻留。

3、分析释放执行的qjqykntc.vbs。

这是一个后门类的vbscript,该脚本将持续地向“http:41.85.145.164:8080/open?topic=s随机数”发送Post请求。如目标返回数据大于等于10字节则结束post请求,然后执行返回数据。

7.jpg

监控到的post请求如下。

8.jpg

4、监控到后续C&C返回的依旧是vbscript形式的脚本代码,抓包数据如下。

9.jpg

这段vbscript的作用是收集用户主机信息(用户名称、主机名称、主机装机配置信息、系统版本信息、网卡信息、ip等等)、系统当前进程信息,然后将这些信息返回给C&C服务器。C&C地址依旧为第一段vbs中编码的IP:41.85.145.164:8080

10.jpg

5、通过对C&C域名showprice.xyz进行拓线关联,发现C&C端还存在其他可疑组件,可用于下发。

11.jpg

其中较为特殊的是v.dat文件,这是一款免费、开源的远程管理工具,TightVNC,版本号2.8.8.

12.jpg

TightVNC工具端配置界面如下,通过设置连接密码(需与服务端保持一致)以及被控端ip即可实现远程桌面控制。被控端IP信息在上述分析的vbscript中已经获取,推断该工具将被用于黑客的后续攻击中。

13.jpg

6、分析启动目录下的xBoxOne.lnk文件。

xBoxOne.lnk链接执行远程资源脚本,url地址:hxxps://bit[.]ly/2xMHylE,跳转地址为hxxp://start.showprice[.]xyz:8080/open?id=rwWMIZ8lQAhRwWMTUEMo7orKhsHwtFd0WCYa1uiXpGeyOIy%2BMCi5djeGEpOUUix/。通过持续监控收到返回数据下。

14.jpg

这是一段类似于最开始password.txt.lnk链接执行的vbscript脚本,释放在用户临时目录的vbscript完全一致,取消了无用的自启设置,在代码混淆层面做了一些调整,内置的释放脚本启动参数换成了域名形式的C&C(drivegoogle.publicvm[.]com)。其用于释放执行的脚本原始加密形态如下。

15.jpg

解密逻辑为:将元数据中的“`”(开单引号)、“~”(波浪号)进行替换,然后通过自定义的“bEABrsCDaInopJKdeLGHZcfMNOyzPiQRvwxSTklUVWghjmqXYFtu”字符串序列与默认base64字符序列“ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz”进行凯撒密码解密替换。解密函数如下。

16.jpg

该段脚本将执行自解密的lhMDuTqVJi.vbs,传入参数“drivegoogle.publicvm.com/open”。请求执行../open目录返回数据。

关联分析

对此次捕获样本的C&C关联发现,幕后黑客还注册有大量类似恶意资产,且多仿冒谷歌、微软、亚马逊等大厂域名,如googleupload.info、docs.goglesheet.com、msupdate.publicvm.com、amzonnews.club等。

17.jpg

而从拓线出的域名又能关联到该组织更多攻击样本,追溯发现其攻击特点包括:

1、攻击初始阶段为发送带有恶意链接的钓鱼邮件,诱导收件者下载上文分析的木马压缩包文件,如下图中的钓鱼邮件使用中文,且目标为一家区块链技术公司。

18.jpg

2、诱饵文档名称包括“每月业务报告”、“Development Management Plan”(发展管理计划)、“事業の指針”(事业方针)、“Security Report (August 2019)”(2019年8月安全报告)、“New Employee's Salary and Bonus Guideline”(新员工薪金和奖金指南)、“CONSENSYS JOB DESCRIPTION”(CONSENSYS职位描述)、“BlockVerify Group Job Description[GDPR]”(BlockVerify小组职位描述)、“Обзор рисков проекта”(项目风险简介)等,推测其邮件发送目标可能涉及科技公司的高管、技术、招聘、运营等人员,且所有文档内容均与加密货币有关,因此判断其攻击目标为加密货币公司。

19.jpg20.jpg

21.jpg22.jpg

3、早期攻击中的恶意代码需通过启动Office文档中的宏启动,而从其LNK文件属性判断,攻击者至少自2018年6月22日起开始使用快捷方式植入后门,攻击手法更为巧妙,隐蔽性更强。

23.jpg24.jpg25.jpg

奖励计划banner
今日推荐