关键词
加密货币
最新的BlueNoroff感染载体
如果说BlueNoroff有什么独特之处,那就是滥用信任。无论是与 SWIFT 基础设施通信以发出欺诈性交易的内部银行服务器,还是安装带有后门的更新以危害其自身用户的加密货币交换软件,或其他方式。在其 SnatchCrypto 活动中,BlueNoroff 滥用了对商业通信的信任,其中包括同事之间的内部聊天,以及与外部对象的联系。
新年伊始,研究人员就看到 BlueNoroff 运营商跟踪和研究成功的加密货币初创公司。渗透团队的目标是建立个人之间的互动地图并了解可能感兴趣的主题。这让他们可以发起高质量的社会工程攻击。
在一个简单的场景中,它可以为准一个共享文档的通知,显示一位同事/朋友通过 Google Drive 给你发来一个文件:
请注意“X”小图标,它是一个无法加载的图像的图标。我们在离线系统上打开了电子邮件;如果系统已连接到互联网,则会有一个从第三方跟踪服务器加载的 Google 文档的真实图标,该图标会立即通知攻击者目标打开了电子邮件。
但我们也发现了一种更复杂的方式,即同事之间互相转发电子邮件。这对攻击者来说效果更好,因为原始电子邮件和附件似乎已经被转发方检查过了。最终,它将信任级别提升到足以打开文档的程度。
我们没有显示转发器地址,因为它属于受攻击的用户,但请注意有一段文字显示为“via sendgrid.net”。sendgrid.net 上没有相关网站,但它可以是一家名为 Sendgrid 的美国公司拥有的域,该公司专门从事电子邮件传播和电子邮件营销活动。据其网站称,它提供了丰富的用户跟踪功能,并声称每月发送900亿封电子邮件。这似乎是一个合法且信誉良好的业务,这可能就是为什么Gmail只接受简短的“via sendgrid.net”的MIME标头自定义或攻击时的发送者地址伪造。我们将此活动通知了 Sendgrid。当然,许多用户很容易忽略这句话,或者根本不知道它的含义。根据公开信息,这个名字在这里被滥用的人似乎是数字货币组织(dcg.co)的高层管理人员。明确地说,我们认为公司的员工或公司本身与这次攻击或电子邮件无关。
他们还滥用了其他哪些公司的名字?我们整理了一份名单,如下所示:
BlueNoroff挑选这些公司来进行社会工程
如果你邮件中发现它们,可以在沙盒或虚拟离线环境中打开文档,将文档转换为不同的格式或使用非标准查看器(即服务器端文档查看器,即服务器端文档查看器,如GoogleDocs、Collabora Online、ONLYOFFICE、Microsoft Office Online等。
在某些情况下,攻击者似乎对初创攻击非常感兴趣,在钓鱼邮件打开后使用其资源(例如社交媒体帐户、信使和电子邮件)来启动与目标的业务交互。如果风险投资公司给一家初创公司并发送看起来像投资合同或其他一些有重要信息的文件,即使其中包含一些风险,而且微软Office还添加了警告信息,这家初创公司还是会毫不犹豫地打开它们。
比如,攻击者用 LinkedIn 帐户来接近目标并与他们互动。真实公司的网站与对话中提到的网站不同。通过以这种方式操纵信任,BlueNoroff 甚至可以立即发起攻击。相反,他们可以依赖常规的启用宏的文档或旧的漏洞利用。
我们发现,他们通常坚持使用 CVE-2017-0199,在尝试其他方法之前反复使用它。该漏洞最初允许自动执行链接到武器化文档的远程脚本。该漏洞利用依赖于通过其中一个文档元文件中的嵌入式 URL 获取远程内容。当MS Word显示一个标准的加载弹出窗口时,细心的用户甚至可能会发现一些可疑的事情。
如果文档是离线打开的或远程内容被阻止,则它会显示一些合法内容,这些内容很可能是从另一方抓取或窃取的。
如果文档没有被阻止连接到网络,它会获取一个远程模板,该模板是另一个启用宏的文档。
这两份文件就像炸药的两种成分,混合在一起会产生爆炸。第一个包含两个base64编码的二进制对象(一个用于32位和64位Windows),声明为图像数据。第二个文档(远程模板)包含一个 VBA 宏,它提取其中一个对象,生成一个新进程 (notepad.exe) 来注入和执行二进制代码。尽管二进制对象具有 JPEG 标头,但它们实际上只是带有修改标头的 PE 文件。
有趣的是,BlueNoroff 在这个阶段显示出改进的 opsec。VBA 宏通过从原始文档中删除二进制对象和对远程模板的引用并将其保存到同一文件中来进行清理。这从本质上消除了文件的武器化,让调查人员在分析进程中摸不着头脑。
此外,我们已经看到该攻击者在初始感染阶段使用了特权提升 (EoP) 技术。根据我们的遥测,通过打开恶意文档创建的 word.exe 进程产生了合法进程 dccw.exe。dccw.exe 进程是具有自动提升权限的 Windows 系统文件。
滥用 dccw.exe 文件是一种已知技术,我们怀疑恶意软件作者使用它来运行具有高权限的下一阶段恶意软件。在另一种情况下,我们观察到 word.exe 生成了一个 notepad.exe,它接收了恶意软件注入,然后又生成了 mmc.exe。不幸的是,由于缺少某些部分,无法获得该技术的全部细节。
恶意软件感染
我们评估 BlueNoroff 组织对加密货币盗窃的兴趣始于至少自 2017 年以来一直在运行的 SnatchCrypto 活动。在跟踪该活动时,我们看到了几个完整的感染链传播恶意软件。对于最初的感染媒介,他们通常使用压缩的 Windows 快捷方式文件或武器化的 Word 文档。请注意,该组在其感染库中有多种方法,并根据情况组合感染链。
第一种感染链:Windows 快捷方式
该组织长期以来一直在利用这种感染载体。攻击者向受害者发送了一个包含快捷方式文件和文档的压缩类型文件。用于初始感染载体的所有压缩文件都具有相似的结构。该压缩文件包含一个文档文件,例如 Word、Excel 或 PDF 文件,该文件受密码保护,以及另一个伪装成包含文档密码的文本文件的文件。该文件实际上是用于获取下一阶段有效负载的 Windows 快捷方式文件。
在植入Windows可执行类型后门之前,该恶意软件通过多个阶段传递了 Visual Basic Script 和 Powershell Script。
获取的 VBS 文件负责通过发送基本系统信息、网络适配器信息和进程列表来对受害者进行指纹识别。接下来,Powershell 代理以编码格式传播。它还将受害者的一般信息发送到 C2 服务器和下一个 Powershell 代理,该代理能够执行来自恶意软件操作员的命令。
使用这个 Powershell 代理创建一个功能齐全的后门,使用命令行参数执行:
rundll32.exe %Public%wmc.dll,#1 4ZK0gYlgqN6ZbKd/NNBWTJOINDc+jJHOFH/9poQ+or9l
该恶意软件检查命令行参数,使用 base64 对其进行解码并使用嵌入式密钥对其进行解密。解密的数据包含:
63429981 63407466 45.238.25[.]2 443
为了验证参数的合法性,恶意软件用0x5837十六进制值异或第二个参数,并将其与第一个参数进行比较。如果两个值匹配,恶意软件会返回解密后的 C2 地址和端口。该恶意软件还加载了一个配置文件(在本例中为 %Public%VideosOfficeIntegrator.dat),并使用 RC4 对其进行解密。此配置文件包含 C2 地址,并且将加载下一阶段的有效负载路径。该恶意软件丰富了可以控制受感染设备的后门功能:
目录/文件操作;
进程操作;
注册表操作;
执行命令;
更新配置;
从Chrome、Putty 和 WinSCP 窃取存储的数据;
这些用于部署其他恶意软件工具来监控受害者:键盘记录器和屏幕截图获取器。
第二种感染链:武器化的 Word 文档
我们看到的另一个感染链是从一个恶意的Word文档开始的,这就是攻击者利用远程模板注入 (CVE-2017-0199) 和嵌入式恶意 Visual Basic 脚本的地方。在一个文件(MD5:e26725f34ebcc7fa9976dd07bfbbfba3)中,远程获取的模板引用第一阶段文档并从中读取编码的有效负载,将其注入合法进程。
另一个案例嵌入了一个恶意的 Visual Basic 脚本,并在受害者的系统上提取了一个 Powershell 代理。执行此初始感染进程会导致安装 Windows 可执行负载。
第一个持久性后门是在持久性机制的开始菜单路径中创建的,它生成了第一个带有C2地址的导出函数。
执行后,恶意软件会根据主机名、用户名和当前时间戳的组合生成唯一的安装 ID,这些 ID 使用简单的字符串哈希算法进行连接和哈希。在向 C2 服务器发送信标后,恶意软件会收集一般系统信息,并在 AES 加密后发送。从服务器接收到的数据预计具有以下结构:
PROCESS_ID 指示恶意软件将注入新 DLL 的目标进程。DLL_FILE_SIZE 是要注入的 DLL 文件的大小。最后,DLL_FILE_DATA 包含要注入的实际二进制可执行文件。
根据我们的分析,攻击者使用了另一种类型的后门。第2个持久性后门用于静默运行通过加密通道从远程服务器接收的附加可执行负载。
服务器地址不是硬编码的,而是存储在磁盘上的加密文件 (%WINDIR%AppPatchPublisherPolicy.tms) 中,其路径在后门中硬编码。解密后的配置文件与第一种感染链中使用的配置文件具有相同的结构。
从上面的案例中我们可以看出,该活动背后的攻击者通过多阶段感染传递了最终的有效载荷,并在检查了受害者的指纹后小心地传递了下一个有效载荷。这使得收集指标来应对攻击变得更加困难。通过严格的感染链,安装了功能齐全的 Windows 可执行类型后门。这个自定义后门长期以来一直被归咎于 BlueNoroff 组织,因此我们坚信 BlueNoroff 组织是这次活动的幕后黑手。
资产盗窃
收集凭据
该威胁行为者在植入全功能后门后通常使用的策略之一是 APT 威胁行为者使用的常见发现和收集策略。我们设法确定了 BlueNoroff 对一名受害者的动手活动,并观察到该组织非常有选择地传播了最终的有效载荷。恶意软件操作员在执行初始分析时主要依赖 Windows 命令。他们收集了用户帐户、IP 地址和会话信息。
窃取加密货币
在某些情况下,当攻击者认为他们找到了一个有价值的目标时,他们会仔细监控用户数周或数月。他们收集用户的按键信息,监控用户的日常操作,同时制定盗窃策略。
如果攻击者意识到目标使用流行的浏览器扩展来管理加密钱包(例如 Metamask 扩展),他们会将扩展源从 Web Store 更改为本地存储,并将核心扩展组件(backgorund.js)替换为篡改版本。起初,他们对监控交易非常感兴趣。下面的截图显示了两个文件的区别:一个合法的 Metamask background.js 文件及其受感染的变体,其中注入的代码行以黄色突出显示。可以看到,在这种情况下,他们设置了对特定发件人和收件人地址之间交易的监控。我们相信他们拥有庞大的监控基础设施,可以在发现大额转账时触发通知。
END
阅读推荐
好看你就分享 有用就点个赞
支持「安全圈」就点个三连吧!