攻击花样层出不穷,生成式 AI 也被利用

admin 2023年5月29日11:17:38评论39 views字数 3786阅读12分37秒阅读模式

攻击花样层出不穷,生成式 AI 也被利用


社会工程学策略始终都是攻击者青睐的手段,趋势科技的研究人员最新发现了两类新兴恶意软件,都在一定程度上使用了社会工程学策略来引诱受害者。Redline Stealer 利用近期大火的生成式人工智能投放恶意广告进行传播,而 CopperStealth 和 CopperPhish 则是通过软件下载站与钓鱼网页进行传播。

以生成式AI为诱饵广告


攻击者在 Google 等搜索引擎中投放了恶意广告,例如在搜索 midjourney 时:

攻击花样层出不穷,生成式 AI 也被利用恶意广告


技术分析


用户点击这些广告时,用户的 IP 地址会发送到后端服务器并且提供恶意网页:

攻击花样层出不穷,生成式 AI 也被利用跳转恶意网站

部分恶意广告还能过滤机器人的访问,最大限度避免暴露。当发现是机器人或者手动输入 URL 访问的情况,服务器将返回一个非恶意的版本。

攻击花样层出不穷,生成式 AI 也被利用非恶意网站

通过 Telegram 与 C&C 服务器进行通信,以避免网络检测。

攻击花样层出不穷,生成式 AI 也被利用C&C 通信

执行安装程序(Midjourney-x64.msix)后,将显示一个虚假的安装窗口,后台执行恶意 PowerShell 代码。

攻击花样层出不穷,生成式 AI 也被利用虚假窗口

最终会给失陷主机安装 Redline 窃密软件,MSIX 文件会执行名为 frank_obfus.ps1 的混淆 PowerShell 脚本。该脚本会从 openaijobs[.]ru 下载并执行 Redline 窃密软件。

攻击花样层出不穷,生成式 AI 也被利用去混淆代码

Redline 将会窃取敏感信息,例如浏览器 Cookie、密码、加密货币钱包与文件信息等。

攻击花样层出不穷,生成式 AI 也被利用敏感信息窃取

攻击花样层出不穷,生成式 AI 也被利用恶意广告

攻击花样层出不穷,生成式 AI 也被利用恶意广告


Water Orthrus 使用新攻击武器


自从 2021 年开始,趋势科技的研究人员一直在跟踪 Water Orthrus 的攻击行动,该攻击者总是通过 PPI(按安装付费)网络来分发 CopperStealer 窃密木马。研究人员认为,Water Orthrus 与 2019 年被披露的 Scranos 有关。

攻击花样层出不穷,生成式 AI 也被利用CopperStealth 感染链

2023 年 3 月,研究人员发现两个传播新型恶意软件(CopperStealth 和 CopperPhish)的攻击行动。这两个恶意软件都与 CopperStealer 高度相似,很可能是由同一开发者开发的,研究人员认为这些攻击都是 Water Orthrus 的攻击行动。

攻击花样层出不穷,生成式 AI 也被利用CopperPhish 感染链


CopperStealth


最早在 2023 年 3 月 8 日就发现 CopperStealth 通过中国常见的软件共享网站进行传播,恶意软件伪装成免费软件针对中国用户进行攻击。CopperStealth 执行后还会释放并加载 Rootkit,Rootkit 会阻止列入黑名单的注册表项,阻止某些可执行文件和驱动程序的执行。

恶意软件通过流行的中文软件下载网站分发,此前有研究称其提供恶意安装程序感染恶意软件。安装程序中包含多个编码的 URL,程序运行后解码 URL 并下载执行,其中就包括 CopperStealth。

攻击花样层出不穷,生成式 AI 也被利用
选择驱动代码

CopperStealth 包含一个名为 HelloWorld 的导出函数,该函数在早期版本的 CopperStealer 中就已经存在。Dropper 检查系统架构是 32 位或者 64 位,并对应从资源中读取相应的驱动程序。

攻击花样层出不穷,生成式 AI 也被利用
资源中的两个驱动程序

创建并启动一个新的驱动程序服务,该服务在系统启动时启动:
攻击花样层出不穷,生成式 AI 也被利用
创建新驱动服务

Rootkit 被注册为文件系统过滤驱动程序。在 DriverEntry 函数中,驱动程序具有 IRP_MJ_CREATE、IRP_MJ_READ 与 IRP_MJ_SHUTDOWN 的特定处理程序。Rootkit 会更改 HKLMSYSTEMCurrentControlSetServices 注册表中的驱动程序名称并在 HKLMSYSTEMCurrentControlSetControlSessionManager 中插入 PendingFileRenameOperations 注册表值以在重新启动时自动移动文件。

IRP_MJ_READ 会监控文件系统上任何读取文件的尝试,如果检测到列入黑名单的进程(360saf、kingsoft antivirus、360SD、Windows Defender)试图读取 windowstemp 文件夹中的 Rootkit 文件,驱动程序会产生 STATUS_ACCESS_DENIED 消息来阻止访问文件。然后,Rookit 会注册一个注册表回调程序,每次线程在注册表中执行操作时都会调用该程序。程序监控访问 HKLMSYSTEMCurrentControlSetServices 中 Rootkit 注册表路径的尝试,同样会阻止对文件的访问。

列入黑名单的进程(360safe.exe、360sd.exe、QQPCTray.exe 与 kxetray.exe)查询注册表,也会产生 STATUS_ACCESS_DENIED 消息。

攻击花样层出不穷,生成式 AI 也被利用阻止注册表访问代码

Rootkit 还设置了镜像加载通知程序,每当新镜像加载到内存中时就会调用该程序。如果镜像名称与硬编码文件名相对应,就会映射一个 DLL 文件并在新创建的进程中运行。64 位版本的 Rootkit 中包含 32 位与 64 位版本的 DLL 文件。

攻击花样层出不穷,生成式 AI 也被利用通过注入的 DLL 文件终止进程

注入的 DLL 文件在附加到新创建的进程后,就会调用 ExitProcess 来终止该进程。

攻击花样层出不穷,生成式 AI 也被利用DLL 终止进程

如果新加载的进程是驱动程序,Rootkit 会检索黑名单中的字节序列。如果找到,驱动程序的入口点将被篡改以返回 STATUS_ACCESS_DENIED 消息。驱动程序黑名单针对火绒、金山、360 等安全软件。

攻击花样层出不穷,生成式 AI 也被利用Rootkit 篡改驱动程序入口点

最后,Rootkit 会将 Payload 注入其他线程。线程枚举所有正在运行的进程并查找 explorer.exe 与另一个具有分配令牌权限、增加配额权限的西城进程。此外还会增加 HKLMSOFTWAREMicrosoftrecount 注册表值,其中包含自失陷后机器重启的次数。如果重启次数大于三,Rookit 解密并解压 DLL 模块中的统计信息。在二进制文件中修复统计信息 URL 地址(以 cnzz_url 为占位符),最后将模块注入 explorer.exe。

攻击花样层出不穷,生成式 AI 也被利用统计模块的占位符

成功注入 explorer.exe 后,就会请求任务。一旦驱动程序获取了任务,就会将响应(以 searching_magic_url 为占位符)插入任务模块中。与统计模块类似,任务模块也嵌入在 Rootkit 中。

攻击花样层出不穷,生成式 AI 也被利用任务模块的占位符

样本通过访问 hxxp://www.msftconnecttest.com/connecttest.txt 测试网络连接,成功连接后将失陷主机的机器 ID 回传 hxxp://cnzz_url&m=。解密后的任务为 JSON 格式,如下所示:

  • name:TEMP 目录中创建的文件名
  • onlyone:只运行一次
  • exclude360:排除运行 360 的机器
  • reboot_count:在第 N 次重启时启动
  • url:下载并执行的 URL


CopperPhish


2023 年 4 月,研究人员发现了另一个传播 CopperPhish 的攻击活动。该攻击并没有地理围栏,而是通过免费匿名文件共享网站背后的 PPI 网络进行传播。受害者在点击伪装成下载链接的广告后,就会被重定向到 PPI 网络下载页面。下载的文件是 PrivateLoader,后续会下载许多不同的恶意软件。

攻击花样层出不穷,生成式 AI 也被利用重定向的下载页面

CopperPhish 也使用与 CopperStealer 相同的加密方式进行混淆,随后将一些文件(图标 PNG 文件、二维码 PNG 文件与钓鱼 HTML 文件)放入 %APPDATA%RoamingMicrosoft 文件夹下。

攻击花样层出不穷,生成式 AI 也被利用释放的文件

这些文件存储在文件的资源中,HTML 页面已经翻译成了五十种语言。每种语言都有对应的 HTML 文件,但 PNG 图片是共用的。

攻击花样层出不穷,生成式 AI 也被利用
钓鱼页面

恶意软件启动两个线程,一个线程启动 rundll32 进程并注入带有浏览器窗口的程序。

攻击花样层出不穷,生成式 AI 也被利用启动进程的线程

另一个线程连接到命名管道并等待接收消息。如果收到消息,则主程序会自行卸载并退出。这表明受害者输入的确认码是正确的,钓鱼成功即可自行卸载。

攻击花样层出不穷,生成式 AI 也被利用
打开管道等待消息

攻击花样层出不穷,生成式 AI 也被利用
卸载代码

通过 Web 浏览器控件类(SHDocVwCtl)来控制 Web 浏览器对象的行为,读取受害者在 checkcode 字段输入的值。

攻击花样层出不穷,生成式 AI 也被利用
通过管道发送消息

窗口不提供最小化或者关闭的按钮,受害者如果通过任务管理器关闭,另一个线程也会再将其拉起来。受害者也只能继续,在确认代码后才能消除窗口。

攻击花样层出不穷,生成式 AI 也被利用钓鱼网页

扫描并打开钓鱼 URL 后,受害者可以看到一个要求确认身份的网页:

攻击花样层出不穷,生成式 AI 也被利用钓鱼网页

后续的页面要求受害者提供各种敏感信息,例如信用卡号等:

攻击花样层出不穷,生成式 AI 也被利用他敏感信息

输入敏感信息并通过检查后,钓鱼工具包关闭浏览器并且自动卸载钓鱼工具包。

攻击花样层出不穷,生成式 AI 也被利用成功后页面

攻击花样层出不穷,生成式 AI 也被利用校验代码


归 因


这两个攻击活动都与之前提到的攻击活动有关,具体来说:

  • Dropper 使用相同的加密方式
  • DES 加密的密钥与初始化向量相同
  • DLL 文件的导出函数相同
  • 互斥量命名相似


攻击花样层出不穷,生成式 AI 也被利用


攻击花样层出不穷,生成式 AI 也被利用

https://www.trendmicro.com/en_us/research/23/e/malicious-ai-tool-ads-used-to-deliver-redline-stealer.html

https://www.trendmicro.com/en_us/research/23/e/water-orthrus-new-campaigns-deliver-rootkit-and-phishing-modules.html



攻击花样层出不穷,生成式 AI 也被利用

攻击花样层出不穷,生成式 AI 也被利用

攻击花样层出不穷,生成式 AI 也被利用

攻击花样层出不穷,生成式 AI 也被利用

攻击花样层出不穷,生成式 AI 也被利用

原文始发于微信公众号(FreeBuf):攻击花样层出不穷,生成式 AI 也被利用

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年5月29日11:17:38
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   攻击花样层出不穷,生成式 AI 也被利用http://cn-sec.com/archives/1765633.html

发表评论

匿名网友 填写信息