点击蓝字关注我们
警惕!黑帽SEO投毒,搜索引擎成为帮凶
- by 猎影实验室-
摘要
安恒信息中央研究院猎影实验室在日常跟进黑产团伙过程中,发现前不久披露的GRP-LY-1001团伙除了针对四方支付以外,也会针对Telegram用户发起钓鱼攻击,经过溯源分析还原了该团伙针对Telegram用户的投递方式。
该团伙通过购买谷歌广告服务,当搜索关键词时可以向用户优先推送广告内容。当用户在goolge搜索“Telegram”时,就可以看到Telegram相关的YouTube的广告页面,该YouTube页面为团伙注册的伪装为Telegram的账户主页,这个主页内容上定向指向了伪装的Telegram钓鱼站点。当受害者运行从钓鱼网站中下载的Telegram安装包时,安装包除了安装正常的Telegram客户端外,还会加载执行捆绑的Gh0st远控木马。
经分析推测该团伙本次攻击流程如下:
攻击手法分析
该团伙通过购买谷歌搜索引擎的广告服务使其搜索排名靠前,当用户搜索关键词“telegram”时,会置顶显示该团伙投放的广告。
点击后进入该团伙注册的youtube账号主页。
主页中发布的链接为投递恶意软件的钓鱼网站。
本次共发现3个与该团伙相关的YouTube账号,账号的注册时间从2021年12月份至2022年6月份不等,说明该团伙的攻击已经持续了一段时间。每个账号投递的恶意软件有着不同的加载最终载荷方式,其中一种与该团伙之前通过支付平台投递样本的手法存在重叠,YouTube账号主页与钓鱼网站如下:
|
YouTube主页地址 |
注册时间 |
钓鱼网站 |
攻击手法 |
|
https://www.youtube[.]com/channel/UCfjRdfRC2Ry-npQtx9QYngA/about |
2021-12-21 |
https://telegramarg[.]org |
手法一 |
|
https://www.youtube[.]com/channel/UC99r60zcP3LZ9ttVat7edyg/about |
2022-06-03 |
https://teiigram[.]com |
手法二 |
|
https://www.youtube[.]com/channel/UC52qMi51rw8f0rT82l7XTwQ/about |
2022-05-11 |
http://telemateconnector[.]com |
手法三 |
01
攻击手法一
受害者运行该类型安装包后会在目录下生成“Telegram中文版”文件夹,文件中包含真正的Telegram安装包和“tdata”文件夹,“tdata”文件夹中包含“Lenovo.exe”、“dgbase.dll”和“Server.log”三个文件。“Lenovo.exe”在用户运行安装包的同时开始运行,运行时加载“dgbase.dll”,而“dgbase.dll”将会加载最终载荷“Server.log”。
02
攻击手法二
受害者运行该类型安装包后,将弹出正常Telegram安装程序,同时后台启动“xxx.exe”进程,“xxx.exe”执行后通过回连C2服务器下载一个压缩包*.zip(*表示任意字母或数字)和一个解压软件8z.exe,通过创建的lnk文件运行8z.exe解压*.zip,压缩包中共包含4个文件,最终会将svchost.txt中包含的最终载荷加载至内存并执行。攻击手法与《警惕!针对聚合支付商户的定向网络盗刷》提到的方式基本一致。
03
攻击手法三
受害者运行该类型安装包后,将弹出正常Telegram安装程序,同时向目录“C:Program Files (x86)Common FilesMicrosre”文件夹释放“dr.dll”、“helper.exe”、“Micr.flv”、“Micr2.flv”和“Micr3.flv”五个文件。“helper.exe”通过LoadLibrary函数加载“dr.dll”,“dr.dll”将“Micr.flv”、“Micr2.flv”和“Micr3.flv”三个文件数据解密和拼接,并将数据以shellcode形式注入内存,shellcode运行后创建cmd.exe进程并将内存中一个dll文件(最终载荷)注入到cmd.exe进程中。经分析最终载荷为魔改后的Gh0st远控木马。
最终载荷功能分析
01
攻击手法一
最终载荷的主功能模块如下图所示:
功能总结如下:
|
命令号 |
实现功能 |
|
0 |
某一标志位设为1 |
|
0xB |
检索指定进程是否运行 |
|
0xC |
枚举窗口标题 |
|
0x1C |
重启进程 |
|
0x1D |
结束explorer.exe进程 |
|
0x1E |
清理浏览器痕迹 |
|
0x23 |
结束Internet Explorer.exe进程并清理浏览器记录 |
|
0x24 |
获取Skype.exe聊天及登录信息 |
|
0x25 |
结束Telegram.exe,并删除用户数据文件 |
|
0x26 |
关闭qq浏览器并获取qq浏览器用户配置信息 |
|
0x27 |
关闭火狐浏览器并删除火狐浏览器用户配置信息 |
|
0x28 |
关闭谷歌浏览器并获取谷歌浏览器用户配置信息 |
|
0x29 |
关闭搜狗浏览器并获取搜狗浏览器用户配置信息 |
|
0x2A |
关闭360极速浏览器并删除360极速浏览器用户配置信息 |
|
0x2B |
关闭360浏览器并获取360浏览器用户配置信息 |
|
0x31 |
开启击键记录,并上传击键记录文件 |
|
0x4E |
弹出消息框 |
|
0x4F |
创建HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesBITS注册表项 |
|
0x51 |
关闭指定进程 |
|
0x52 |
创建自启动 |
|
0x53 |
卸载自身 |
|
0x54 |
清空事件日志 |
|
0x58 |
其他杂项命令 |
|
0x66 |
从指定链接下载并运行文件 |
|
0x68 |
获取指定文件属性 |
|
0x69 |
修改显示设置 |
|
0x6A或0x6D |
创建Ru开头的文件 |
|
0x6C |
创建Plugin32.dll文件 |
|
0x6D |
通过ie浏览器后台打开网站 |
|
0x6E |
指定浏览器后台打开网站 |
|
0x6F |
创建注册表项HKEY_LOCAL_MACHINESYSTEMSetup,键名为Host |
|
0X70 |
某位自加1 |
02
攻击手法二
攻击手法与《警惕!针对聚合支付商户的定向网络盗刷》提到的方式基本一致。最终载荷的主功能模块如下图所示:
功能总结如下:
|
命令号 |
实现功能 |
|
0 |
将某一标志位置为1 |
|
1 |
尚不明确 |
|
2或3 |
加载插件 |
|
4 |
卸载插件 |
|
6 |
枚举运行的进程的窗口标题 |
|
7 |
写入指定内容到文件并执行该文件 |
|
8 |
从指定域名下载、保存并执行文件 |
|
9 |
写入自启动 |
|
0xA |
修改指定注册表键值 |
|
0x64 |
开启连接 |
|
0x65 |
关闭连接 |
03
攻击手法三
最终载荷的主功能模块如下图所示:
功能总结如下:
|
命令号 |
实现功能 |
|
0 |
调整权限并关闭指定进程 |
|
1 |
卸载自身 |
|
2 |
向HKEY_LOCAL_MACHINESystemCurrentControlSetservicesRspylz dtjgagooHost注册表写入指定值 |
|
3 |
向HKEY_LOCAL_MACHINESystemCurrentControlSetservicesRspylz dtjgagooConnectGroup注册表写入指定值 |
|
4 |
清除事件日志 |
|
5 |
从指定链接下载并执行文件 |
|
6 |
从指定链接下载并执行文件,随后卸载自身 |
|
7或8 |
使用ie浏览器后台打开网站 |
|
9 |
使用指定浏览器后台打开网站 |
|
0xA |
弹出消息框 |
|
0xB |
检索指定进程是否运行 |
|
0xC |
获取每个窗口名 |
|
0xD |
打开代理 |
|
0xE |
关闭代理 |
|
0xF、0x65~0x6F或0x8D |
加载插件 |
|
0x6B |
开启击键记录并上传击键记录文件 |
|
0x70 |
上传击键记录文件 |
|
0x75 |
向HKEY_LOCAL_MACHINESYSTEMClore的Clore键写入指定值 |
|
0x76 |
注册自启动 |
关联分析
除了上文提到的攻击方式存在重叠外,在本次攻击的样本中,其中使用第三种攻击方式的样本的回连IP“103.145.86[.]194”与之前该团伙盗刷活动中版本二的最终载荷(详情参考《警惕!针对聚合支付商户的定向网络盗刷》)回连IP存在重叠:
因此猎影实验室以高置信度将本次攻击归因于GRP-LY-1001团伙。
拓展
通过关联分析我们发现该团伙的IP:154.23.184[.]26还关联其他Telegram钓鱼网站域名:
从钓鱼网站中下载的安装包使用的攻击手法与上文攻击手法一相同,并且回连C2也相同,钓鱼网站详细信息如下:
|
钓鱼网站域名 |
攻击方式 |
是否包含客户端 |
回连ip |
|
Telegramong[.]com |
手法一 |
否 |
154.23.176[.]92:4545 |
|
Telegramop[.]com |
手法一 |
否 |
154.23.176[.]92:8080 |
|
Telegramog[.]com |
手法一 |
是 |
154.23.176[.]92:8080 |
|
x-tg[.]xyz |
手法一 |
是 |
154.23.176[.]92:4545 |
目前没有关联到引用这些钓鱼网站的YouTube主页,但是这些钓鱼网站仍在活跃,并且下载的恶意软件的C2仍可回连,这说明该团伙可能还通过其他方式宣传伪造的Telegram钓鱼网站。
思考总结
从几天前我们曾披露该团伙时关联到的大量的IP,再到本次通过购买谷歌广告服务投递捆绑远控木马的Telegram安装包,再一次印证了该团伙拥有着深厚的经济实力,并且团伙的业务范围可能更为广泛。此外,我们还关联出一些没有通过YouTube主页中进入的钓鱼网站,该团伙可能还存在其他方式宣传这些网站。
个人应提高安全意识,在安装软件时应尽量从官方渠道下载安装包,在使用搜索引擎时应擦亮双眼,明确哪些是广告,哪些是真正的官方网站。
防范建议
目前安全数据部已具备相关威胁检测能力,对应产品已完成IoC情报的集成:
●安恒产品已集成能力:
针对该事件中的最新IoC情报,以下产品的版本可自动完成更新,若无法自动更新则请联系技术人员手动更新:
(1)AiLPHA分析平台V5.0.0及以上版本
(2)AiNTA设备V1.2.2及以上版本
(3)AXDR平台V2.0.3及以上版本
(4)APT设备V2.0.67及以上版本
(5)EDR产品V2.0.17及以上版本
● 安恒云沙盒已集成了该事件中的样本特征:
用户可通过云沙盒:
https://ti.dbappsecurity.com.cn/sandbox,对可疑文件进行免费分析,并下载分析报告。
● IOC:
关注公众号留言“ 20220627 ”,即可获取。
安恒安全数据部, 下设猎影实验室、零壹实验室、析安实验室和回声实验室,团队以数据分析与技术研究为核心,致力于数据驱动安全创造用户价值。
猎影实验室, 是一支关注APT攻防的团队,主要的研究方向包括:收集APT攻击组织&情报、APT攻击检测、APT攻击分析、APT攻击防御、APT攻击溯源以及最新APT攻击手段的研究。
网络安全研究宅基地
扫码关注我们
一群技术宅
原文始发于微信公众号(网络安全研究宅基地):警惕!黑帽SEO投毒,搜索引擎成为帮凶
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论