黑客組織 Pawn Storm 的非複雜性攻擊策略

原創 osc_eoffv2le 2021-01-30 10:44

譯者:知道創宇404實驗室翻譯組
原文鏈接:https://www.trendmicro.com/en_us/research/20/l/pawn-storm-lack-of-sophistication-as-a-strategy.html

前言

遠程訪問木馬(RAT)的防禦者不會立即辨別這是來自APT黑客的惡意軟件。同樣,網絡服務(例如電子郵件、Microsoft Autodiscover、SMB、LDAP和SQL)的惡意攻擊也是如此。在2020年,APT黑客組織Pawn Storm使用非複雜的攻擊方法。

2020年,Pawn Storm黑客組織傳播了Google雲端硬盤和IMAP遠程訪問木馬(RAT)進行網絡攻擊,目標羣體包括外交部、大使館、國防工業和軍事部門以及世界各地的各行業。該組織還通過網絡攻擊竊取公司電子郵件帳戶的憑據,還利用IMAP RAT惡意軟件對軍方和政府相關的電子郵件地址進行了硬編碼,與計算機進行通信。最近,挪威當局宣佈Pawn Storm黑客組織通過網絡攻擊入侵了挪威議會

惡意軟件的後續版本揭露了黑客的發展趨勢。僅使用樣本很難將這些惡意軟件歸因於Pawn Storm。但基於對Pawn Storm活動的長期監控,我們對這些樣本進行了歸屬分類。

Pawn Storm活動回顧:

損害中東用戶的帳戶

我們一直密切監控Pawn Storm的活動,在2020年3月發佈了最新研究上,我們分享了被Pawn Storm嚴重攻擊的帳戶(主要在中東)。中東的攻擊活動在2020年仍在繼續。在2020年12月上旬,該組織使用VPN服務連接到受感染的雲服務器,使用雲服務器連接到商業電子郵件服務提供商,登錄到阿曼一家養雞場的受感染電子郵件帳戶,向全球目標發送了網絡釣魚垃圾郵件。這表明Pawn Storm黑客在多個級別上模糊了其攻擊軌跡。

中東各種受感染電子郵件帳戶的濫用始於2019年5月,並一直持續到今天。自2020年8月以來,他們不再發送網絡釣魚電子郵件,而是利用IMAP RAT中受損系統進行通信。

暴力網絡攻擊

我們認爲Pawn Storm通過對網絡服務(例如電子郵件、LDAP、Microsoft Autodiscover、SMB和SQL)的攻擊來破壞電子郵件帳戶。例如,在2020年5月,Pawn Storm在TCP端口445和1433上掃描了包括來自歐洲國防工業IP地址,這可能是爲了尋找易受攻擊的SMB和SQL服務器的憑證。2020年8月,Pawn Storm還從專用IP地址向全球LDAP服務器發送了UDP探測。

在2020年,Pawn Storm試圖通過在Tor和VPN服務器上攻擊流量以掩藏蹤跡。然而,這並不足以隱藏這些活動。在Microsoft一篇有關通過Tor強行使用Office365憑據的文章中,Microsoft將活動歸因於Strontium,這是Pawn Storm的另一個名稱。我們在2020年初撰寫了有關攻擊的文章。這些攻擊始於2019年,我們可以將全球Microsoft Autodiscover服務器的廣泛探測與高可信度指標進行關聯,將其歸咎於Pawn Storm黑客組織。

爲說明Pawn Storm黑客組織的網絡釣魚攻擊中惡意軟件的簡單性,我們通過以下示例進行描述:

Google Drive RAT的技術分析 :

圖1.來自Pawn Storm的魚叉式網絡釣魚電子郵件–於2020年8月收集。

圖1.來自Pawn Storm的網絡釣魚電子郵件–於2020年8月收集

從2020年8月開始,Pawn Storm發送了幾封帶有惡意RAR附件的網絡釣魚電子郵件。在我們收到的最早的樣本中,有兩個幾乎相同的RAR文件,其中包含一個名爲info.exe的文件。這兩個版本的info.exe文件都是自解壓存檔(SFX),它們提取並執行兩個文件:decrypt.exe和gdrive.exe。

c4a61b581890f575ba0586cf6d7d7d3e0c7603ca40915833d6746326685282b7installing

  • crypto.exe – 661d4a0d877bac9b813769a85c01bce274a77b29ccbd4b71e5b92df3c425b93b
  • gdrive.exe – cbd9cb7b69f864ce8bae983ececb7cf8627f9c17fdaba74bd39baa5cdf605f79

3fd45b9b33ff5b6363ba0013178572723b0a912deb8235a951aa3f0aa3142509installing

  • crypto.exe – 661d4a0d877bac9b813769a85c01bce274a77b29ccbd4b71e5b92df3c425b93b
  • gdrive.exe – 2060f1e108f5feb5790320c38931e3dc6c7224edf925bf6f1840351578bbf9cc

誘餌文件

我們注意到文件crypto.exe是一個誘餌文件,執行info.exe後,它將運行。該應用程序僅顯示一個消息框,用戶可以在其中鍵入用於解密的密碼。檢查此文件的反彙編可以發現,只有在主應用程序上輸入密碼後,它纔會顯示另一個消息框。

圖2-典當風暴

圖2-3。 crypto.exe顯示的消息框

圖2-3.crypto.exe顯示的消息框

關閉此應用程序後,SFX歸檔文件將執行文件gdrive.exe。gdrive.exe的不同版本幾乎相同,只是在受害者的ID上對base64編碼的文件2060f1e108f5feb5790320c38931e3dc6c7224edf925bf6f1840351578bbf9cc進行了少量添加。

圖4.顯示comp_id的Drive.exe代碼片段

圖4.顯示comp_id的Drive.exe代碼片段

圖5.顯示comp_id和base64編碼的Drive.exe代碼片段

初始運行

該惡意軟件要做的第一件事是將其複製到啓動目錄中以保持持久性,使用以下命令通過cmd.exe完成此操作:

move /Y "{malware_location}" "C:\Users{username}\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\gdrive.exe"

每次惡意軟件使用cmd.exe運行命令時,執行命令的標準輸出(STDOUT)都會通過管道傳輸並以以下文件名格式寫入Google雲端硬盤帳戶:

  • {utcnow} report {受害者的身份證}

圖6.代碼片段顯示了命令的執行

圖6.代碼片段顯示了命令的執行

用於讀寫攻擊者的Google雲端硬盤帳戶的客戶端密鑰和令牌已硬編碼在惡意軟件本身上。

圖7-典當風暴不復雜

圖7-8。 顯示客戶端密鑰和令牌的代碼片段

圖7-8.顯示客戶端密鑰和令牌的代碼片段

通過Google雲端硬盤發送回信息,黑客可以檢查執行該惡意軟件的計算機是否是爲目標受害者。

接收命令和數據泄露

該漫遊器每20分鐘檢查一次Google雲端硬盤中的文件。如果存在具有相應文件名格式的文件(cmd_ {受害者的ID}),它將下載該文件並將其內容作爲批處理文件運行。

圖9.代碼片段顯示等待命令

圖9.代碼片段顯示等待命令

同樣,命令的STDOUT將被寫回到Google雲端硬盤。以Google雲端硬盤作爲命令與控制(C&C)服務器,這可以作爲攻擊者的反向外殼。從Google雲端硬盤收到的命令文件一旦下載,也會被刪除。

圖10.顯示readFile的代碼片段

圖10.顯示readFile的代碼片段

使用上面提到的“反向外殼”方法,黑客可以使用以下命令來竊取數據/文檔:

powershell -command "[Convert]::ToBase64String([IO.File]::ReadAllBytes('{filename}')

圖11.代碼片段顯示了數據的滲漏

圖11.代碼片段顯示了數據的滲漏

具有文件名Google Drivemonitor.exe(0b94e123f6586967819fa247cdd58779b1120ef93fa1ea1de70dffc898054a09)的輔助負載是鍵盤記錄程序,收集的擊鍵存儲在與執行惡意軟件相同的目錄中。

圖12.顯示關鍵日誌的代碼片段

圖12.顯示關鍵日誌的代碼片段

此輔助有效負載不具有將收集的擊鍵上傳回攻擊者的任何功能。但由於主要的惡意軟件充當“反向外殼”,因此黑客可以在後期取回收集的擊鍵。最終,黑客對惡意軟件進行了改進加密。

IOCs

IP地址

IP地址 描述 有效日期
34.243.239.199(ZoomEye搜索結果) 連接到受感染帳戶的電子郵件服務器。IP地址可能已被Pawn Storm破壞。 2020年10月29日– 2020年12月8日
74.208.228.186(ZoomEye搜索結果) 連接到受感染帳戶的電子郵件服務器。IP地址可能已被Pawn Storm破壞。 2020年10月15日– 2020年12月14日
193.56.28.25(ZoomEye搜索結果) 掃描TCP端口445和1433 2020年5月21日至5月26日
195.191.235.155(ZoomEye搜索結果) 掃描UDP端口389 2020年8月22日
SHA256 Filename Description Trend Micro Pattern Detection Trend Micro Machine Learning Detection
c4a61b581890f575ba0586cf6d7d7d3e0c7603ca40915833d6746326685282b7 info.exe Google Drive RAT Trojan.MSIL.DRIVEOCEAN.A Troj.Win32.TRX.XXPE50FSX005
3fd45b9b33ff5b6363ba0013178572723b0a912deb8235a951aa3f0aa3142509 info.exe Google Drive RAT Trojan.MSIL.DRIVEOCEAN.A Troj.Win32.TRX.XXPE50FSX005
cbd9cb7b69f864ce8bae983ececb7cf8627f9c17fdaba74bd39baa5cdf605f79 gdrive.exe Google Drive RAT Trojan.MSIL.DRIVEOCEAN.A Troj.Win32.TRX.XXPE50FFF039
2060f1e108f5feb5790320c38931e3dc6c7224edf925bf6f1840351578bbf9cc gdrive.exe Google Drive RAT Trojan.MSIL.DRIVEOCEAN.A Troj.Win32.TRX.XXPE50FFF039
f364729450cb91b2a4c4e378c08e555137028c63480a221bb70e7e179a03f5cc gdrive.exe Google Drive RAT Trojan.MSIL.DRIVEOCEAN.A N/A
e3894693eff6a2ae4fa8a8134b846c2acaf5649cd61e71b1139088d97e54236d info.exe IMAP RAT Trojan.MSIL.OCEANMAP.A Troj.Win32.TRX.XXPE50FSX005
83fbd76d298253932aa3e3a9bc48c201fe0b7089f0a7803e68f41792c05c5279 decrypt_v2.4.exe IMAP RAT Trojan.MSIL.OCEANMAP.A Troj.Win32.TRX.XXPE50FSX005
fe00bd6fba209a347acf296887b10d2574c426fa962b6d4d94c34b384d15f0f1 email.exe IMAP RAT Trojan.MSIL.OCEANMAP.A Troj.Win32.TRX.XXPE50FFF039
b61e0f68772f3557024325f3a05e4edb940dbbe380af00f3bdaaaeabda308e72 igmtSX.exe IMAP RAT Trojan.MSIL.OCEANMAP.A Troj.Win32.TRX.XXPE50FFF039
c8b6291fc7b6339d545cbfa99256e26de26fff5f928fef5157999d121fe46135 igmtSX.exe IMAP RAT Trojan.MSIL.OCEANMAP.A Troj.Win32.TRX.XXPE50FFF039
50b000a7d61885591ba4ec9df1a0a223dbceb1ac2facafcef3d65c8cbbd64d46 email.exe IMAP RAT Trojan.MSIL.OCEANMAP.A Troj.Win32.TRX.XXPE50FFF039
3384a9ef3438bf5ec89f268000cc7c83f15e3cdf746d6a93945add300423f756 email.exe IMAP RAT Trojan.MSIL.OCEANMAP.A Troj.Win32.TRX.XXPE50FFF039
abf0c2538b2f9d38c98b422ea149983ca95819aa6ebdac97eae777ea8ba4ca8c email.exe IMAP RAT Trojan.MSIL.OCEANMAP.A Troj.Win32.TRX.XXPE50FFF039
faf8db358e5d3dbe2eb9968d8b19f595f45991d938427124161f5ed45ac958d5 email.exe IMAP RAT Trojan.MSIL.OCEANMAP.A Troj.Win32.TRX.XXPE50FFF039
4c1b8d070885e92d61b72dc9424d9b260046f83daf00d93d3121df9ed669a5f9 email.exe IMAP RAT Trojan.MSIL.OCEANMAP.A Troj.Win32.TRX.XXPE50FFF039
770206424b8def9f6817991e9a5e88dc5bee0adb54fc7ec470b53c847154c22b email.exe IMAP RAT Trojan.MSIL.OCEANMAP.A Troj.Win32.TRX.XXPE50FFF039
6fb2facdb906fc647ab96135ce2ca7434476fb4f87c097b83fd1dd4e045d4e47 email.exe IMAP RAT Trojan.MSIL.OCEANMAP.A Troj.Win32.TRX.XXPE50FFF039
31577308ac62fd29d3159118d1f552b28a56a9c039fef1d3337c9700a3773cbf photos.exe IMAP RAT Trojan.MSIL.OCEANMAP.A N/A
661d4a0d877bac9b813769a85c01bce274a77b29ccbd4b71e5b92df3c425b93b decrypt.exe decoy file N/A N/A
0b94e123f6586967819fa247cdd58779b1120ef93fa1ea1de70dffc898054a09 Google Drivemonitor.exe keylogger TrojanSpy.MSIL.KEYLOGGR.WLDG N/A

Paper 本文由 Seebug Paper 發佈,如需轉載請註明來源。本文地址:https://paper.seebug.org/1434/

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

威脅性惡意軟件,基於LINUX多雲環境中的威脅

惡意軟件遷移到基於 Linux 的雲系統    SC Media 基於 Linux 的威脅經常被忽視。這是一個問題,因爲大多數多雲環境都是基於 Linux 的。VMware 最近在一份報告和 SC Media 網絡廣播中

原創 2023-08-10 22:38:09

Android模擬器惡意軟件瞄準了近100萬用戶

網絡安全研究人員今天披露了一種新的針對在線遊戲玩家的供應鏈攻擊,這種攻擊是通過破壞NoxPlayer的更新機制而實現的,NoxPlayer是適用於PC和Mac的免費Android模擬器。 由香港BigNox開發的NoxPlayer是一款An

osc_iimi5gai 2021-02-03 09:29:17

multiprocessing.Pool: What's the difference between map_async and imap?

問題: I'm trying to learn how to use Python's multiprocessing package, but I don't understand the difference between map_

技術盛宴 2021-10-14 09:24:54

【PHP】Nginx+Php服務器環境部署

Nginx+Php服務器環境部署 1、安裝環境及軟件版本      1.1 windows版本 10      1.2 php服務版本:php-5.2.17-nts-Win32-VC6-x86      1.3 nginx版本:nginx-

原創 2021-08-29 21:33:36

阿里雲企業郵箱設置三方平臺管理

POP3協議設置: 接收郵件服務器:pop3.mxhichina.com 或 pop3.您的域名,端口:110 發送郵件服務器:smtp.mxhichina.com或smtp.您的域名,端口:25 IMAP協議設置: 接收郵件服務器:ima

原創 2021-07-26 21:17:21

Nginx 極簡掃盲入門

Nginx 是一個高性能的 HTTP 和反向代理 web 服務器,同時也提供了 IMAP/POP3/SMTP 服務。 基本介紹 Nginx 是由伊戈爾·賽索耶夫爲俄羅斯訪問量第二的 Rambler.ru 站點開發的,第一個公

Linux就該這麼學 2021-05-21 21:23:52

iptables-F 後 SSH 連接斷開

最近回收利用一臺被徵用做郵件服務的服務器,重新部署新的業務。 清理了所有的安裝軟件和目錄文件後,調整了網絡安全組規則,僅開放所需端口。 看了下防火牆的配置: # iptables -L Chain INPUT (policy DROP)

原創 2021-05-20 21:20:35

Nginx 常用配置清單

Nginx 是一個高性能的 HTTP 和反向代理 web 服務器,同時也提供了 IMAP/POP3/SMTP 服務,其因豐富的功能集、穩定性、示例配置文件和低系統資源的消耗受到了開發者的歡迎。 本文,我們總結了一些常用的 Nginx 配置

php開源社區 2021-05-05 21:27:47

Nginx 彙總

Nginx是一款輕量級的Web 服務器/反向代理服務器及電子郵件(IMAP/POP3)代理服務器,在BSD-like 協議下發行。其特點是佔有內存少,併發能力強,事實上nginx的併發能力在同類型的網頁服務器中表現較好,中國大陸使用ngin

原創 2021-03-26 09:22:51

Redmine-4.1.1 RestAPI: REST web service/JSONP使用cURL測試:2種認證方式的4種操作方法

前言 本文可視爲 Redmine之RestApi集成方式  淼叔 2017-12-05 21:47:00 的擴展或補充說明,主要測試兩種認證方式的4種操作方法。 環境 服務器 Ubuntu 20.04.2LTS Redmine-4.

原創 2021-03-22 21:39:05

Nginx架構及基本數據結構分析

點擊上方 IT牧場 ,選擇 置頂或者星標技術乾貨每日送達!  Nginx全程是什麼?Nginx ("engine x") 是一個高性能的 HTTP 和 反向代理 服務器,也是一個 IMAP/POP3/SMTP 代理服務器。 da

大目 2021-02-22 21:11:32

Linux網絡路由簡介-查看網絡路由

本文對用於理解簡單環境的Linux計算機的路由進行了非常簡短的介紹。 linux 查看網絡路由 連接到網絡的每臺計算機在離開本地主機時都需要針對網絡TCP / IP數據包的某種路由說明。 這通常非常簡單,因爲大多數網絡環境

Linux就該這麼學 2021-02-20 09:19:45

學習LINUX的第16天

一、分離解析技術           就是現在常說的內容分發服務(Content Distribution Service)。           1.修改bind服務程序的主配置文件,把監聽端口和允許查詢主機都修改爲any,把根域信息刪

osc_gk4myeyk 2021-02-08 21:12:59

nginx+keepalived構建負載均衡代理服務器

一、拓撲圖         Nginx有很強代理功能,但是一臺nginx就形成了單點,現在使用keepalived來解決這個問題,keepalived的故障轉移時間很短.     Nginx+keepalived雙機實現nginx反向代

osc_4jtvlmy3 2021-01-30 11:12:39

postfix , dovecot 配置

(一)postfix  配置     一 配置dns   1 yum install bind -y 2 systemctl start named 3 vim /etc/named.conf   內容: options { //    

osc_mzickfah 2021-01-30 11:09:39