加密货币 窃密 GandSteal
【微步在线报告】境外黑客团伙“肖邦”借助美伊军事冲突热点传播窃密木马
微步情报局 2020-03-06 11:45:48 2373人浏览

TAG:GandSteal、德国、智利、金融、教育、窃密、加密货币

TLP:白(报告使用及转发不受限制)

日期:2020-01-18

概要

微步在线威胁追踪团队发现一起借助近期美伊军事冲突事件传播窃密木马的攻击活动,攻击者具体情报信息包括:

·利用美伊军事冲突国际高度关注的热点问题对欧洲地区目标发起攻击。

·攻击者近期攻击使用的首层loader木马编译解析名称为Chopins,因此命名该攻击团伙为“肖邦”。

·通过木马功能分析了解,攻击主要目的是窃取指定类型文件情报和虚拟加密货币钱包以及互联网用户登录凭证信息。

·在2019年5月起“肖邦”曾频繁以各种主题为诱饵向位于德国、韩国、智利等国家的金融、教育行业攻击目标发起“鱼叉攻击”攻击。

·目前“肖邦”仍然处于攻击活跃状态,全球的相关行业的网络安全仍然受到该团伙的威胁。

详情

2020年新年伊始之际,伊朗伊斯兰革命卫队下属“圣城旅”指挥官卡西姆·苏莱马尼3日在美国对伊拉克首都巴格达国际机场发起的一场火箭弹袭击中被“定点清除”。8日凌晨,伊朗向驻伊拉克美军和联军部队发射了十几枚导弹,伊朗方面声称是为了报复美国的非法刺杀行动,在本次导弹袭击造成的伤亡和损失三方各执一词。美伊冲突双方,一个是世界具有海陆空立体化全天候全球核打击的超级核大国,另一个是具有中远程导弹且为准核的地区强国。本次美伊军事冲突给全球政治、军事、经济都带来极大的恐慌,恐慌由此引发的第三次世界大战甚至核大战。亚欧等第三方国家积极调停双方冲突,德国总理默克尔与俄总统普京也计划讨论由于美国空袭巴格达机场而导致的中东紧张局势升级问题。

1.jpg

美伊冲突问题成为近期国际社会重点关注的热点,也是全球APT组织和黑产团伙攻击的热点诱饵主题,德国地区的企业或政府他们的攻击目标。2020年1月15日,微步在线威胁追踪团队捕获境外黑产团伙利用美伊军事冲突热点,对德国国家职业教育中心BBZ发起“渔叉攻击”。在钓鱼邮件中夸大美伊军事冲突肆意制造舆情恐慌作为诱饵主题,诱使攻击目标下载并运行最新舆情信息附件下载木马。本次攻击主要目的是窃取攻击目标指定类型的文件、互联网账号、虚拟加密货币钱包和远程控制等。我们根据该团伙首层loader木马编译解析名称为Chopins,因此命名该团伙为“肖邦”。

2.jpg

3.jpg

样本分析

“肖邦”黑产团伙攻击执行流程:

4.jpg

5.jpg

攻击者利用国际社会担心美伊军事冲突导致引发核战风险热点议题伪造攻击诱饵主题,附件中最新动态消息。

6.jpg

7.jpg

附件样本并没有包含热点新闻信息,而嵌入宏代码远程下载情报窃取加载木马http://st8.paakuno.ru/Chopins.exe 。

8.jpg

9.jpg

样本通过多层编码解密获取木马下载链接地址,下载经过编码加密后的下层木马Holivar.exe。

10.jpg

11.jpg

经过类似的编码解密内存释放GandSteal开源木马。

12.jpg

13.jpg

采集本地存放的虚拟加密货币钱包信息(BQT、BTC、BYT、DQT、ELECT、EnumerateData、ETH、EXDS、LTC、LTCQT、MNT)。

14.jpg

采集浏览器cookies、虚拟加密货币钱包、TelagramSession、桌面文件、ftp、远程控制,系统进程、系统配置等信息。

15.jpg

远程连接C2,接收C2下发指令,采集系统指定路径的指定类型文件,加密回传到C2服务器中。

16.jpg

C2下发远程指令,要求收集Desktop、Documents的*.txt、*.doc、*.docx、*.xls、*.xlsx、*.pdf等文件加密回传C2。

17.jpg

加密回传C2服务器数据。

18.jpg

19.jpg

关联分析

微步在线威胁追踪团队通过诱饵文档关联发现类似文件曾于2019年12月11日出现,且传播木马相同。而从关联文档的IOC(2o6nm.fastyou.ru、45.147.230.39)进一步拓线发现“肖邦”在2019年5月使用的早期样本,证明该团伙至少于2019年5月就已经开始针对全球多个国家的金融、教育等行业开展攻击活动。

20.jpg

21.jpg

在“肖邦”关联的历史样本时间分析判断,相比于前期2019年的攻击态势,目前仍然处于攻击活跃状态;从核心木马功能以及历史诱饵文档主题判断,该团伙主要是针对金融和教育行业进行数据情报窃取;从关联木马中解析有俄文痕迹,木马使用的IOC资产主要集中在俄罗斯地区。

22.jpg

微步在线威胁追踪团队仍会持续跟进监控该团伙,并充分利用我司OneDNS云和TDP/TDPS及时阻断或预警对应威胁,为广大用户安全上网保驾护航。同时,也建议广大用户对异常邮件时刻保持警惕状态,特别是社会热点议题相关且存在异常的邮件。

dask_safe 2020-03-28 16:41:19 回复
表示我的邮箱只是用来收验证码
859760597 2020-03-08 01:32:28 回复
了解