譯者:知道創宇404實驗室翻譯組
原文鏈接:https://www.trendmicro.com/en_us/research/20/l/pawn-storm-lack-of-sophistication-as-a-strategy.html
前言
遠程訪問木馬(RAT)的防禦者不會立即辨別這是來自APT黑客的惡意軟件。同樣,網絡服務(例如電子郵件、Microsoft Autodiscover、SMB、LDAP和SQL)的惡意攻擊也是如此。在2020年,APT黑客組織Pawn Storm使用非複雜的攻擊方法。
2020年,Pawn Storm黑客組織傳播了Google雲端硬盤和IMAP遠程訪問木馬(RAT)進行網絡攻擊,目標羣體包括外交部、大使館、國防工業和軍事部門以及世界各地的各行業。該組織還通過網絡攻擊竊取公司電子郵件帳戶的憑據,還利用IMAP RAT惡意軟件對軍方和政府相關的電子郵件地址進行了硬編碼,與計算機進行通信。最近,挪威當局宣佈Pawn Storm黑客組織通過網絡攻擊入侵了挪威議會 。
惡意軟件的後續版本揭露了黑客的發展趨勢。僅使用樣本很難將這些惡意軟件歸因於Pawn Storm。但基於對Pawn Storm活動的長期監控,我們對這些樣本進行了歸屬分類。
Pawn Storm活動回顧:
損害中東用戶的帳戶
我們一直密切監控Pawn Storm的活動,在2020年3月發佈了最新研究上,我們分享了被Pawn Storm嚴重攻擊的帳戶(主要在中東)。中東的攻擊活動在2020年仍在繼續。在2020年12月上旬,該組織使用VPN服務連接到受感染的雲服務器,使用雲服務器連接到商業電子郵件服務提供商,登錄到阿曼一家養雞場的受感染電子郵件帳戶,向全球目標發送了網絡釣魚垃圾郵件。這表明Pawn Storm黑客在多個級別上模糊了其攻擊軌跡。
中東各種受感染電子郵件帳戶的濫用始於2019年5月,並一直持續到今天。自2020年8月以來,他們不再發送網絡釣魚電子郵件,而是利用IMAP RAT中受損系統進行通信。
暴力網絡攻擊
我們認爲Pawn Storm通過對網絡服務(例如電子郵件、LDAP、Microsoft Autodiscover、SMB和SQL)的攻擊來破壞電子郵件帳戶。例如,在2020年5月,Pawn Storm在TCP端口445和1433上掃描了包括來自歐洲國防工業IP地址,這可能是爲了尋找易受攻擊的SMB和SQL服務器的憑證。2020年8月,Pawn Storm還從專用IP地址向全球LDAP服務器發送了UDP探測。
在2020年,Pawn Storm試圖通過在Tor和VPN服務器上攻擊流量以掩藏蹤跡。然而,這並不足以隱藏這些活動。在Microsoft一篇有關通過Tor強行使用Office365憑據的文章中,Microsoft將活動歸因於Strontium,這是Pawn Storm的另一個名稱。我們在2020年初撰寫了有關攻擊的文章。這些攻擊始於2019年,我們可以將全球Microsoft Autodiscover服務器的廣泛探測與高可信度指標進行關聯,將其歸咎於Pawn Storm黑客組織。
爲說明Pawn Storm黑客組織的網絡釣魚攻擊中惡意軟件的簡單性,我們通過以下示例進行描述:
Google Drive RAT的技術分析 :
圖1.來自Pawn Storm的網絡釣魚電子郵件–於2020年8月收集從2020年8月開始,Pawn Storm發送了幾封帶有惡意RAR附件的網絡釣魚電子郵件。在我們收到的最早的樣本中,有兩個幾乎相同的RAR文件,其中包含一個名爲info.exe的文件。這兩個版本的info.exe文件都是自解壓存檔(SFX),它們提取並執行兩個文件:decrypt.exe和gdrive.exe。
c4a61b581890f575ba0586cf6d7d7d3e0c7603ca40915833d6746326685282b7installing
- crypto.exe – 661d4a0d877bac9b813769a85c01bce274a77b29ccbd4b71e5b92df3c425b93b
- gdrive.exe – cbd9cb7b69f864ce8bae983ececb7cf8627f9c17fdaba74bd39baa5cdf605f79
3fd45b9b33ff5b6363ba0013178572723b0a912deb8235a951aa3f0aa3142509installing
- crypto.exe – 661d4a0d877bac9b813769a85c01bce274a77b29ccbd4b71e5b92df3c425b93b
- gdrive.exe – 2060f1e108f5feb5790320c38931e3dc6c7224edf925bf6f1840351578bbf9cc
誘餌文件
我們注意到文件crypto.exe是一個誘餌文件,執行info.exe後,它將運行。該應用程序僅顯示一個消息框,用戶可以在其中鍵入用於解密的密碼。檢查此文件的反彙編可以發現,只有在主應用程序上輸入密碼後,它纔會顯示另一個消息框。
圖2-3.crypto.exe顯示的消息框關閉此應用程序後,SFX歸檔文件將執行文件gdrive.exe。gdrive.exe的不同版本幾乎相同,只是在受害者的ID上對base64編碼的文件2060f1e108f5feb5790320c38931e3dc6c7224edf925bf6f1840351578bbf9cc進行了少量添加。
圖4.顯示comp_id的Drive.exe代碼片段 圖5.顯示comp_id和base64編碼的Drive.exe代碼片段初始運行
該惡意軟件要做的第一件事是將其複製到啓動目錄中以保持持久性,使用以下命令通過cmd.exe完成此操作:
move /Y "{malware_location}" "C:\Users{username}\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\gdrive.exe"
每次惡意軟件使用cmd.exe運行命令時,執行命令的標準輸出(STDOUT)都會通過管道傳輸並以以下文件名格式寫入Google雲端硬盤帳戶:
- {utcnow} report {受害者的身份證}
用於讀寫攻擊者的Google雲端硬盤帳戶的客戶端密鑰和令牌已硬編碼在惡意軟件本身上。
圖7-8.顯示客戶端密鑰和令牌的代碼片段通過Google雲端硬盤發送回信息,黑客可以檢查執行該惡意軟件的計算機是否是爲目標受害者。
接收命令和數據泄露
該漫遊器每20分鐘檢查一次Google雲端硬盤中的文件。如果存在具有相應文件名格式的文件(cmd_ {受害者的ID}),它將下載該文件並將其內容作爲批處理文件運行。
圖9.代碼片段顯示等待命令同樣,命令的STDOUT將被寫回到Google雲端硬盤。以Google雲端硬盤作爲命令與控制(C&C)服務器,這可以作爲攻擊者的反向外殼。從Google雲端硬盤收到的命令文件一旦下載,也會被刪除。
圖10.顯示readFile的代碼片段使用上面提到的“反向外殼”方法,黑客可以使用以下命令來竊取數據/文檔:
powershell -command "[Convert]::ToBase64String([IO.File]::ReadAllBytes('{filename}')
圖11.代碼片段顯示了數據的滲漏具有文件名Google Drivemonitor.exe(0b94e123f6586967819fa247cdd58779b1120ef93fa1ea1de70dffc898054a09)的輔助負載是鍵盤記錄程序,收集的擊鍵存儲在與執行惡意軟件相同的目錄中。
圖12.顯示關鍵日誌的代碼片段此輔助有效負載不具有將收集的擊鍵上傳回攻擊者的任何功能。但由於主要的惡意軟件充當“反向外殼”,因此黑客可以在後期取回收集的擊鍵。最終,黑客對惡意軟件進行了改進加密。
IOCs
IP地址
IP地址 | 描述 | 有效日期 |
---|---|---|
34.243.239.199(ZoomEye搜索結果) | 連接到受感染帳戶的電子郵件服務器。IP地址可能已被Pawn Storm破壞。 | 2020年10月29日– 2020年12月8日 |
74.208.228.186(ZoomEye搜索結果) | 連接到受感染帳戶的電子郵件服務器。IP地址可能已被Pawn Storm破壞。 | 2020年10月15日– 2020年12月14日 |
193.56.28.25(ZoomEye搜索結果) | 掃描TCP端口445和1433 | 2020年5月21日至5月26日 |
195.191.235.155(ZoomEye搜索結果) | 掃描UDP端口389 | 2020年8月22日 |
SHA256 | Filename | Description | Trend Micro Pattern Detection | Trend Micro Machine Learning Detection |
---|---|---|---|---|
c4a61b581890f575ba0586cf6d7d7d3e0c7603ca40915833d6746326685282b7 | info.exe | Google Drive RAT | Trojan.MSIL.DRIVEOCEAN.A | Troj.Win32.TRX.XXPE50FSX005 |
3fd45b9b33ff5b6363ba0013178572723b0a912deb8235a951aa3f0aa3142509 | info.exe | Google Drive RAT | Trojan.MSIL.DRIVEOCEAN.A | Troj.Win32.TRX.XXPE50FSX005 |
cbd9cb7b69f864ce8bae983ececb7cf8627f9c17fdaba74bd39baa5cdf605f79 | gdrive.exe | Google Drive RAT | Trojan.MSIL.DRIVEOCEAN.A | Troj.Win32.TRX.XXPE50FFF039 |
2060f1e108f5feb5790320c38931e3dc6c7224edf925bf6f1840351578bbf9cc | gdrive.exe | Google Drive RAT | Trojan.MSIL.DRIVEOCEAN.A | Troj.Win32.TRX.XXPE50FFF039 |
f364729450cb91b2a4c4e378c08e555137028c63480a221bb70e7e179a03f5cc | gdrive.exe | Google Drive RAT | Trojan.MSIL.DRIVEOCEAN.A | N/A |
e3894693eff6a2ae4fa8a8134b846c2acaf5649cd61e71b1139088d97e54236d | info.exe | IMAP RAT | Trojan.MSIL.OCEANMAP.A | Troj.Win32.TRX.XXPE50FSX005 |
83fbd76d298253932aa3e3a9bc48c201fe0b7089f0a7803e68f41792c05c5279 | decrypt_v2.4.exe | IMAP RAT | Trojan.MSIL.OCEANMAP.A | Troj.Win32.TRX.XXPE50FSX005 |
fe00bd6fba209a347acf296887b10d2574c426fa962b6d4d94c34b384d15f0f1 | email.exe | IMAP RAT | Trojan.MSIL.OCEANMAP.A | Troj.Win32.TRX.XXPE50FFF039 |
b61e0f68772f3557024325f3a05e4edb940dbbe380af00f3bdaaaeabda308e72 | igmtSX.exe | IMAP RAT | Trojan.MSIL.OCEANMAP.A | Troj.Win32.TRX.XXPE50FFF039 |
c8b6291fc7b6339d545cbfa99256e26de26fff5f928fef5157999d121fe46135 | igmtSX.exe | IMAP RAT | Trojan.MSIL.OCEANMAP.A | Troj.Win32.TRX.XXPE50FFF039 |
50b000a7d61885591ba4ec9df1a0a223dbceb1ac2facafcef3d65c8cbbd64d46 | email.exe | IMAP RAT | Trojan.MSIL.OCEANMAP.A | Troj.Win32.TRX.XXPE50FFF039 |
3384a9ef3438bf5ec89f268000cc7c83f15e3cdf746d6a93945add300423f756 | email.exe | IMAP RAT | Trojan.MSIL.OCEANMAP.A | Troj.Win32.TRX.XXPE50FFF039 |
abf0c2538b2f9d38c98b422ea149983ca95819aa6ebdac97eae777ea8ba4ca8c | email.exe | IMAP RAT | Trojan.MSIL.OCEANMAP.A | Troj.Win32.TRX.XXPE50FFF039 |
faf8db358e5d3dbe2eb9968d8b19f595f45991d938427124161f5ed45ac958d5 | email.exe | IMAP RAT | Trojan.MSIL.OCEANMAP.A | Troj.Win32.TRX.XXPE50FFF039 |
4c1b8d070885e92d61b72dc9424d9b260046f83daf00d93d3121df9ed669a5f9 | email.exe | IMAP RAT | Trojan.MSIL.OCEANMAP.A | Troj.Win32.TRX.XXPE50FFF039 |
770206424b8def9f6817991e9a5e88dc5bee0adb54fc7ec470b53c847154c22b | email.exe | IMAP RAT | Trojan.MSIL.OCEANMAP.A | Troj.Win32.TRX.XXPE50FFF039 |
6fb2facdb906fc647ab96135ce2ca7434476fb4f87c097b83fd1dd4e045d4e47 | email.exe | IMAP RAT | Trojan.MSIL.OCEANMAP.A | Troj.Win32.TRX.XXPE50FFF039 |
31577308ac62fd29d3159118d1f552b28a56a9c039fef1d3337c9700a3773cbf | photos.exe | IMAP RAT | Trojan.MSIL.OCEANMAP.A | N/A |
661d4a0d877bac9b813769a85c01bce274a77b29ccbd4b71e5b92df3c425b93b | decrypt.exe | decoy file | N/A | N/A |
0b94e123f6586967819fa247cdd58779b1120ef93fa1ea1de70dffc898054a09 | Google Drivemonitor.exe | keylogger | TrojanSpy.MSIL.KEYLOGGR.WLDG | N/A |
本文由 Seebug Paper 發佈,如需轉載請註明來源。本文地址:https://paper.seebug.org/1434/