2020年3月下旬,Proofpoint的研究人员发现了一个新的网络威胁主题并对其进行了追踪,该威胁主体习惯先使用NanoCore,再使用AsyncRAT,这两个工具是较为流行的远程访问木马(RAT)。该活动者被Proofpoint称为TA2719,其使用彩色图片作为诱饵来伪装当地银行、执法部门和航运公司。迄今为止,Proofpoint观察到该攻击者已经向奥地利,智利,希腊,匈牙利,意大利,北马其顿,荷兰,西班牙,瑞典,台湾,美国和乌拉圭的受害者发起了攻击活动。
下面是近期的诱饵样本、邮件数量、位置以及有效负载的详细信息。虽然他们针对不同地理位置的受害者定制了个性化诱饵,并冒充与受害者相关的机构,但并没有发现他们有确定的直接目标。虽然在早期的活动中,经常会使用URL作为媒介链接到恶意文件,但该攻击者常常是通过附件来传递恶意软件。TA2719通常是依靠广泛的可用资源来进行活动,例如商业的恶意软件和免费的主机提供商。
本文由“壹伴编辑器”提供技术支持
1
诱饵
观察到的大多数诱饵似乎都是来自一个真实的与欺骗组织有联系的人。甚至连寄件人的街道地址等细节都是准确的。他们通过将这些细节与官方名义结合试图提高消息的合法性。收件人可能在打开附件或点击邮件中的链接之前查找发件人的姓名或地址进行检查,会发现到这些邮件仍是合法的。
2020年3月至5月期间的活动主要以执法为主题。他们使用当地的语言和当地执法机构的标志,标题往往会声称“ข้อความด่วนจากสำนักงานตำรวจแห่งชาติ(泰国皇家警察的紧急信息)”,或“Последнатаполицискапоканапредапсењето (逮捕前最后一次警方邀请)”(如图1、2)来试图创造紧迫感。
图1:模拟泰国皇家警察的电子邮件
图2:冒充北马其顿警察的电子邮件诱饵(似乎来自北马其顿内政部国务秘书)
除了以执法为主题的诱饵外,这段时间内发送的某些消息还模拟了运输公司发送通知。一次早期的活动还利用了人们对COVID-19的担忧,冒充了台湾疾病控制中心(图3)。该活动之所以引人注目,不仅是因为主题,还因为它利用了URL和附件来发送有效负载。通常TA2719使用附件或URL,但很少在单个活动中同时使用这两者。
图3:假冒台湾疾病控制中心的电子邮件诱饵(似乎来自其主任周智豪)
在2020年6月初,Proofpoint观察到TA2719不再利用执法类的诱饵,而开始使用更常见的像银行、运输和采购订单诱饵(图4、5)。
图4:假冒SEB的瑞典电子邮件诱饵(主题为“来自第三方银行的付款通知“)
图5:冒充Orascom Trading的购买订单诱饵
6月下旬,诱饵继续以银行为主题,内容为“Εισερχόμενη επιταγή πληρωμής(收款通知)”(图6)。
图6:冒充希腊银行的电子邮件诱饵
7月中旬,TA2719转向专门使用快递邮件诱饵,假冒航运公司并使用以下消息:“Your parcel from Mrs. Garn has arrived at our office,”或“您从中国寄来的包裹已经到了我们公司”(陈先生的包裹)”(图7)。
图7:假冒快递通知的电子邮件诱饵
本文由“壹伴编辑器”提供技术支持
2
攻击量
该活动的邮件数量相对较低,每次活动只有几十或几百条假冒消息。每月的总邮件数在5月达到峰值,但此后又回到了3月和4月的水平。自3月下旬以来,Proofpoint发现TA2719每月都会有多次较小的活动。
3
目标
虽然这些活动似乎没有任何的直接目标,但它们对特定地区进行了精心设计。发现其使用各种语言以及合法的地方实体,例如银行或执法部门:
|
Country |
Language |
Lure Themes Observed |
|
Austria |
German |
Police |
|
Chile |
Spanish |
Shipping |
|
Greece |
Greek |
Police, banking |
|
Hungary |
Hungarian |
Police, banking |
|
Italy |
Italian |
Police |
|
Netherlands |
Dutch |
Police |
|
North Macedonia |
Macedonian |
Police, shipping |
|
Singapore |
English |
Police |
|
Spain |
Spanish |
Police, shipping |
|
Sweden |
Swedish |
Police, banking |
|
Taiwan |
Chinese |
CDC, shipping |
|
Thailand |
Thai |
Police |
|
Uruguay |
Spanish |
Police |
|
United States |
English |
Shipping |
目标收件人通常可以很容易地在线搜索个人资料,TA2719还会发送基于角色的电子邮件地址。这表明针对单个收件人的很少,而特定的收件人列表更有可能,而且会使用基本的OSINT技术进行编译。
4
传输和有效载荷
从3月到7月初,NanoCore主要通过电子邮件发送ISO附件,只有几次活动使用了链接到恶意ISO文件的URL,还有几次试图在同一封电子邮件中同时发送附件和URL。当使用URL时,ISO文件被存放在受感染的站点或文件存储服务上。
在7月中旬,该攻击者将NanoCore转向了AsyncRAT。RAT AsyncRAT像NanoCore一样也在论坛上做广告,截至2020年5月似乎仍在不断开发中,并于2020年5月10日发布了一些新功能。
在Proofpoint发现到的所有活动中,ISO文件都有一个通用名称,比如 “Document.iso”或“pdf.iso”。用户打开ISO就像打开电脑上其他文件夹一样,必须双击里面的恶意可执行文件来运行它。
TA2719使用的C&C主机名和IP似乎相对稳定,大约每月更改一次。该攻击者有时会给其C&C使用免费的动态DNS(DDNS)提供程序。
5
结论
proofpoint的分析人员表示,这并不是其见过的最高级的诱饵,但从与被攻击目标相关的位置、街道、名称等细节信息上看,表明了威胁主体对细节的高度关注。虽然TA2719似乎没有针对任何的特定行业,但他们针对不同地区定制了不同的消息,每个月会进行几次中等规模的活动。他们会使用免费的DDNS提供商,重用基础设施以及依赖于商业恶意软件,这些都证明了威胁活动者可以很容易地开始并维护一个行动的执行。
本文由“壹伴编辑器”提供技术支持
6
IOCs
NanoCore
附件 SHA256:
6489bbcdd9e0588d6e4ee63e5f66346e7d690ac3b7ee5249436fb1db8abc6453
恶意软件 SHA256:
1b93790c002d5216822277c6b8abb36dfd5daf9ebc14553135c992f64f8d949e
C&Cs: 172.111.188[.]199, megaida123.ddns.net
AsyncRAT
附件 SHA256:
161eaa18e31aec64433158da81eea99e518659e06ed36e2052508a7cbeb688c6
恶意软件 SHA256:
bcc0be90110b3b960230a366f1be67904704f87645ff5fde69536432d73feace
C&C: 194.5.98[.]8
本文由“壹伴编辑器”提供技术支持
7
ET + ETPRO签名
NanoCore:
ETPRO MALWARE NanoCore RAT Keep-Alive Beacon - 2816718
AsyncRAT:
ETPRO MALWARE Observed Malicious SSL Cert (AsyncRAT Server) - 2836595
本文“壹伴编辑器”提供技术支持
8
其他参考
Vendetta-new threat actor from Europe
Fake emails in the name of the Spanish national police
本文由“壹伴编辑器”提供技术支持
本文为CNTIC编译,不代表本公众号观点,转载请保留出处与链接。
联系信息进入公众号后点击“论坛信息”可见。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论