入侵 后门连接
【微步在线报告】金融黑客团伙Cobalt2.0最新动向分析
微步情报局 2018-07-04 16:36:13 7721人浏览

TAG:高级可持续攻击、APT、Cobalt、Cobalt2.0、鱼叉式网络钓鱼、JS后门、金融

TLP:黄(仅限接受报告的组织内部使用)

日期:2018-06-27

概要

        2018年5月至今,微步在线监测发现,有金融黑客团伙持续针对俄罗斯、独联体和西方国家的银行进行攻击,该团伙的TTP与Cobalt 组织极为相似,因此有安全公司将之归因到Cobalt组织,但该团伙却在木马样本中留言否定这种联系。根据该团伙与Cobalt极为相似的TTP,以及Cobalt头目于2018年3月26日被捕等信息,我们推测该团伙可能系Cobalt演变而来,并将之称为Cobalt2.0。

本报告分析了该团伙近来的相关攻击活动,以及所使用的技术和工具,具体内容包含:

- Cobalt2.0近来活动极为频繁,主要通过伪装McAfee等知名安全厂商、Apple等高科技公司、金融监管机构和攻陷的银行供应链,针对俄罗斯、独联体和西方国家的银行进行攻击。

- Cobalt2.0在6月18日盗走了美国最大ATM机供应商Diebold Nixdorf的域名dieboldnixdorf.us,随后便伪装Diebold Nixdorf向多家银行发送钓鱼邮件。

- Cobalt2.0近来主要利用包含CVE-2017-8570、CVE-2017-11882和CVE-2018-0802漏洞或恶意宏的Office文档作为初始感染载体,利用cmstp.exe和regsvr32.exe等系统工具执行恶意代码,以及绕过AppLocker和UAC,并最终投递其所有的JS后门,该JS后门具备下载执行PE和脚本,以及远程shell等功能。

- 微步在线通过对相关样本、IP和域名的溯源分析,共提取24条相关IOC,可用于威胁情报检测。微步在线的威胁检测响应平台(TDP)、威胁情报订阅、API等均已支持此次攻击事件和团伙的检测。

详情

        微步在线监测发现,2018年5月至今,有金融黑客团伙持续针对俄罗斯、土耳其、哈萨克斯坦和保加利亚等国的多家银行进行鱼叉式网络钓鱼攻击,尤其是在其攻陷美国ATM机供应商Diebold Nixdorf的域名dieboldnixdorf.us之后,攻击更是频繁。根据微步在线威胁情报云,该团伙近来多利用包含CVE-2017-8570、CVE-2017-11882和CVE-2018-0802漏洞或恶意宏的Office文档发起攻击,一旦受害者下载并打开恶意文档,则可能导致感染一个JS后门,该后门具备下载执行PE和脚本,以及远程shell功能。

        在最近两个月,我们发现俄罗斯Rosgosstrakh Bank至少遭到该团伙的三次钓鱼攻击,最近的一次攻击发生在6月19日,攻击者以“Black box attacks”(黑匣子攻击)为主题向Rosgosstrakh Bank发送鱼叉式网络钓鱼邮件,诱导下载托管在dieboldnixdorf.us上的攻击文档,相关邮件如下:

image.png


此外,该组织还发起了大量针对银行的鱼叉式网络钓鱼攻击,相关攻击活动如下图:

 image.png

样本分析

        近来,Cobalt2.0主要通过包含恶意宏或漏洞利用的Office文档进行攻击,本文以最近捕获的攻击文档“Security_protocol.doc”为例进行分析,该攻击文档至少被用于攻击四家银行。

1、 该样本的基本信息如下:

文件类型 doc
文件大小 83968 字节
文件名 Security_protocol.doc
下载链接 http://dieboldnixdorf.us/Doc/Security_protocol.doc
SHA256 e566db9e491fda7a5d28ffe9019be64b4d9bc75014bbe189a9dcb9d987856558
SHA1 bd1e815dd492be3ff0ec54351fe61ce1b0e2a5af
MD5 92f1bb5aa4a1c6c8ac81cbfdc2b3698a

2、 该样本在微步云沙箱的检测结果如下:

image.png 

https://s.threatbook.cn/report/file/e566db9e491fda7a5d28ffe9019be64b4d9bc75014bbe189a9dcb9d987856558/?env=win7_sp1_enx64_office2013

3、 该样本的整体执行流程如下:

 image.png

4、 样本行为分析:

1) 本次分析的样本为包含恶意宏的Office文档,该样本通过宏利用的方式进行样本下载和感染,样本运行后,需手动启用宏来触发行为,宏代码经过了加密和混淆。

文档打开后的截图:

 image.png

部分宏代码如下:

 image.png

2) 宏代码会在%appdata%目录释放s886A5.txt文件,该文件本质上是一个inf文件,随后调用“连接管理器”命令cmstp.exe,命令格式如下:

 image.png

s886A5.txt文件内容对字符串经过了简单分割的处理,部分内容如下:

 image.png

3) 经还原后的URL为http://documents.total-cloud.biz/version.txt。此处利用了一种INF-Script下载执行技术,该技术最早于2018年2月在国外网站公开,主要原理便是利用cmstp.exe加载INF文件来下载SCT脚本并执行COM脚本文件,该技术具备免杀,以及绕过AppLocker和UAC的能力。

4) cmstp命令执行后,会从http://documents.total-cloud.biz请求version.txt文件保存到IE的临时目录并重命名为version[1].txt,覆盖IE保存浏览记录的index.dat文件,写入LEAK标记(用于删除失败后的重新删除)。如下图:

 image.png

5) 该文件本质上是一个sct文件,文件通过regsvr32.exe命令被调用执行,文件内嵌的JS代码同样经过了加密混淆。部分代码如下:

 image.png

解密后的部分JS代码如下:

 image.png

6) 内嵌的JS代码的主要功能:

- 首先在当前用户文件夹释放49129.doc(白文件,文件名随机),调用taskkill命令结束掉当前Word进程并打开新释放的doc文档。

- 然后调用reg命令删除注册表键值HKEY_CURRENT_USER\Software\Microsoft\Office\版本号\Word\Resiliency,避免当再次打开文档时由于之前的崩溃导致word报错或者弹出其他警示消息。

- 最后向用户文件夹(C:\Users\用户名)释放10664.txt(文件名随机),并调用regsvr32 /s 命令执行该文件,最后进行自删除。

7) 与之前的txt后缀文件不同,这里释放的10664.txt并非文本文件而是一个dll。该dll运行后会向%appdata%目录释放F228F449F5E416.txt,并向注册表路径HKEY_CURRENT_USER\Environment\UserInitMprLogonScript写入数据,内容为regsvr32 /S /N /U /I:"C:/Users/L/AppData/Roaming/F228F449F5E416.txt" ScRoBJ,这样做的目的是利用Logon Scripts技术实现脚本优先于杀软执行,以绕过杀软对敏感操作的拦截,并实现开机自启,这些操作完成之后该dll便会自删除。该dll的部分代码如下:

 image.png

8) F228F449F5E416.txt同样是一个sct文件,主要功能由内嵌的JS脚本实现,该JS脚本同样经过了加密和混淆。部分代码如下:

 image.png

解密后的部分JS代码如下:

image.png 

该脚本被注册为开机启动,运行后会先通过访问域名www.w3.org进行网络连通性测试,如能连接,则检测自身文件是否被删除,如是则结束操作,如否则通过https://api.asus.org.kz/version.txt下载文件到%appdata%目录,文件名随机(文件名存储于HKEY_CURRENT_USER\Software\Microsoft\Notepad\用户名),随后通过命令regsvr32.exe /S /N /U /I:”文件路径” sCrobJ执行。

9) 此阶段下载的version.txt虽同样是sct文件,但还是有别于之前下载的version.txt,解密后的JS脚本的部分代码如下:

 image.png

该JS脚本是最终的后门程序,通过https://api.asus.org.kz/v1进行C2连接,利用https://api.asus.org.kz/version.txt进行后门更新。该后门具备下载并执行脚本、远程Shell和下载并执行PE文件等功能,具体命令列表如下:

d&exec 下载并执行PE文件
more_eggs 下载脚本
gtfo 启用或删除文件开机启动,并结束进程
more_onion 运行脚本
more_power 远程Shell

关联分析

        分析该团伙发送的钓鱼邮件,可以发现其主要针对俄罗斯、独联体和西方国家的银行进行攻击。此外,该团伙的TTP与Cobalt组织极为相似,因此有安全公司将之归因到Cobalt组织,但该团伙却否定这种联系,并在其使用的4.4版本的JS后门中留下了“We are not cobalt gang, stop associating us with such skids!”。 

 image.png

根据该组织与Cobalt极为相似的TTP,该组织在Cobalt头目被捕(2018年3月26日)之后才开始声称非Cobalt,我们推测该团伙可能系Cobalt演变而来,并将之称为Cobalt2.0。Cobalt和Cobalt2.0的相关对比如下:

团伙 Cobalt Cobalt2.0
攻击链 钓鱼邮件->恶意文档->宏/漏洞->下载执行JS脚本->释放DLL->释放JS Backdoor; 钓鱼邮件->恶意文档->宏/漏洞->Cobalt Strike 钓鱼邮件->恶意文档->宏/漏洞->下载执行JS脚本->释放DLL->释放JS Backdoor; 钓鱼邮件->恶意文档->宏/漏洞->下载执行JS脚本->释放DLL->释放JS Downloader->下载执行JS Backdoor
目标行业 金融 金融
具体目标 银行 银行
目标地域 欧洲(俄罗斯和独联体)、亚洲、美洲 欧洲(俄罗斯和独联体)、美洲
攻击目的 资金 资金
攻击手法 社工、供应链攻击、多阶段攻击、JS后门 社工、供应链攻击、多阶段攻击、JS后门
攻击工具 特有:JS后门 公开:Cobalt Strike 系统工具:PowerShell、odbcconf.exe、regsvr32.exe、msxsl.exe 特有:JS后门 系统工具:cmstp.exe、regsvr32.exe、msxsl.exe
载荷投递 邮件链接、邮件附件(Office文档,PDF…) 邮件链接、邮件附件(Office文档,PDF…)

        微步在线监测发现,自2018年5月以来,Cobalt2.0注册了大量域名资产用于针对银行的攻击。根据微步在线监测数据,2018年6月18日,Cobalt2.0抢注了美国最大ATM机供应商Diebold Nixdorf(占全球ATM市场约35%的份额)的域名dieboldnixdorf.us,用于向目标银行发送钓鱼邮件和托管攻击文档。Diebold Nixdorf持有该域名的时间段为2015/10/27-2018/10/26,该域名疑似于2018年6月18日被盗,推测可能是攻击者窃取了注册该域名的相关邮箱账密,然后将之转移到自己名下。

image.png 

https://x.threatbook.cn/domain/dieboldnixdorf.us

此外,Cobalt2.0近来用于发送钓鱼邮件的域名多启用了SPF来绕过目标的垃圾邮件过滤策略,比如apple-istores.com,相关情报如下:

 image.png

https://x.threatbook.cn/domain/apple-istores.com

评论 14
Pratik 2018-07-30 16:55:40 回复
编辑器一个是sublime,另一个是??
Knut 2018-07-23 16:04:36 回复
顶一个,TTP如出一辙。
alsn 2018-07-17 01:28:18 回复
学习
匿名用户 2018-07-14 00:51:57 回复
越来越高明了
匿名用户 2018-07-14 00:51:50 回复
手法越来越高明了
匿名用户 2018-07-10 12:42:43 回复
这样分析才能学到技术
Danel 2018-07-06 10:44:55 回复
比起那些干瘪的样本分析,微步的报告确实很丰富,相当专业!!!
vulbook 2018-07-06 09:21:48 回复
相关技巧值得学习!
wu 2018-07-05 17:35:42 回复
太专业了
250291575 2018-07-05 06:15:53 回复
人家才叫专业
匿名用户 2018-07-04 19:32:20 回复
Lh4s 2018-07-04 19:23:28 回复
主要原理便是利用cmstp.exe加载INF文件来下载SCT脚本并执行COM脚本文件,,,, 卧槽,牛逼!!!!
Lh4s 2018-07-04 19:21:53 回复
这是多少个阶段啊!!!
匿名用户 2018-07-04 17:46:06 回复
专业!