UTG-Q-007：越南语木马ROTbot正在瞄准亚洲地区

经过一段时间调查，奇安信威胁情报中心将该犯罪团伙归为未知威胁组织类别，赋予其跟踪编号UTG-Q-007。该团伙攻击目标有中国、韩国、越南、印度等亚洲国家，行业涉及建筑、房产营销、互联网，并使用特有的ROTbot木马窃取加密货币、知识产权、社交账号等敏感数据，与faceduck Group(ducktail)盈利模式类似存在劫持facebook商业账号ads的行为，我们将相关细节披露给开源社区，供友商进行分析排查。

投递的LNK元数据如下：

调用forfiles.exe并执行powershell脚本，最终启动mshta加载远程hta脚本文件，C2服务器opendir内容如下：

139.99.23.XX-Tru.hta主要为混淆的VBScript文件，主要功能为启动powershell脚本：

经过AES解密后再经Gzip解压后执行内容，如下：

攻击者使用了一种改进型的UAC绕过技术，为了规避杀软的拦截，攻击者创建了一个名为.omg的progID，并将ms-settings progID 中的 CurVer 条目指向.omg,当启动系统文件fodhelper.exe时会先使用ms-settings progID打开文件，并读取CurVer的内容，CurVer已经被指向到攻击者创建的.omg的ProgID中，最终执行$OMG变量中的ps脚本，$code内容如下：

检测完成后，会通过GET请求来获取第一阶段载荷,URL为google云文档

返回一个ChildBot.txt文件，里面的内容是经过两次Base64加密后的信息，解密后如下

其中第一段部分为下一阶段载荷获取的链接(google云文档)，第二部分和第三部分用于拼接通知设备上线的URL(telegram bot) ,之后会从资源中释放一个DLL文件：SQLite.Interop.dl，到当前目录下。

将收集到的信息组成上线包，格式如下：

通过Telegram API上传给Telegram bot。

上线成功后会调用API函数getUpdates检测上线包是否发送成功,接着将获取的配置信息写入Setting.xml文件中。

最后在内存中加载自身资源文件AI.dll，并运行其 Plugin.Run方法，通过URLArgsMainBot 字段(第二个google文档链接)获取下一阶段配置文件

配置解密后分为两个部分，第一部分是C2，第二部分是互斥体名称

对当前屏幕进行截图并保存到temp文件夹下，图片文件名由16个随机字符组成，然后把屏幕截图通过API上传到telegram bot，以后每次向电报机器人发送消息时都会发送一张截图，并将消息附加在截图后

根据AVDetect字段选择性的进行持久化操作

如果存在kaspersky则不进行持久化,如果存在avg 和avast时则向tg bot发送如下消息:

窃取浏览器数据包含facebook、instagram、youtube、商业版tiktok等

攻击者想要劫持一些社交网账号的ads以谋取经济利益。攻击意图与faceduck Group(ducktail)团伙相似,我们在2023年终报告中详细描述了faceduck Group在国内的攻击活动^[1],但是我们并没有发现UTG-Q-007与faceduck Group存在重叠的证据。

ROTbot最后会进入远控逻辑,回连第二阶段配置文件中的C2,经过分析发现控制代码源自于开源项目Quasar。

除了跳板网站外,UTG-Q-007团伙注册的域名也呈现出一定的规律性。

受害者上传的屏幕截图如下:

受害者被窃取数据时正在使用sketchup建筑软件进行建模,下方任务栏中装有CF穿越火线(由Tencent公司运营的FPS游戏),符合受害者所在地区的游戏生态,从version版本来看攻击者似乎已经迭代数个版本,ROTbot的活跃时间可能更早 ,虽然其仍处于debug阶段, 但在2024年初就表现出不俗的能力,奇安信威胁情报中心会持续对其进行监控。

120c6d7e78fb92b2feada47c9d8bbab0

b86ba0844db442df61a5889b004e615b

30705266725f9bad60ea12821acf740a

8bd7eece235cee14ab700f23b7ac29db

51bad062733f1babc99254ca06db0e46

90a4af96abea4d8179c789fa3c72ddcf

82456d523f39ecb87324542c918e7dd6

6dd355c754cc7d3bcdeeeef32fdc16c9

C2:

14.225.210.97:12024

14.225.210.98:12024

Hta载荷:

hxxp://149.248.79.118/149248XX/149248XX.hta

hxxp://154.56.56.41/nilxvnq.hta

hxxp://199.34.27.196/139.99.23.XX/139.99.23.XX-Tru.hta

hxxp://199.34.27.196/139.99.23.XX/139.99.23.XX.hta

hxxp://199.34.27.196/14.225.210.98/14.225.210.XX-Khue.hta

hxxp://199.34.27.196/14.225.210.XX/14.225.210.XX-Chien.hta

hxxp://45.9.190.201/dt-excv.hta

hxxp://51.79.208.192/T/T.hta

hxxp://80.76.51.250/Downloads/start-of-proccess.lnk

hxxp://81.19.140.150/crypto.hta

hxxp://82.115.223.34/pdf/final.hta

hxxp://83.217.9.36/manual.hta

hxxp://94.156.253.211/Downloads/run-dwnl-restart.lnk

hxxp://mw-solaris.com/solaris.hta

hxxps://alexiakombou.com/wp-content/uploads/2021/12/EN-localer.hta

hxxps://all-access-media.com/media/templates/site/localer-en.hta

hxxps://coingecko.bond/lass.hta

hxxps://coingecko.bond/PuttyUac.hta

hxxps://distribution.adrdownload.software:40430/e4f0340b1/Scan004_40599.hta

hxxps://elmejorlocal.com.co/wp-content/uploads/2018/05/cachexxx.hta

hxxps://embutidoskami.sdb.bo/wp-content/uploads/2015/06/HDDREQ.hta

hxxps://one-stopspa.com/wp-content/uploads/2019/11/lolcaljefosijfoesnofiegoiesgnos.hta

hxxps://solutionsinengineering.com/Source.hta

hxxps://thecreativelion.com/wp-content/uploads/2021/11/xczxcxzcxzcxzcxzc23.hta

hxxps://topmark-tuitioncentre.co.uk/wp-content/uploads/useanyfont/wp-contentplugins.hta

域名:

adobe.bar

adobe.charity

coingecko.bet

coingecko.bio

coingecko.bond

coingecko.center

coingecko.cfd

coingecko.codes

coingecko.space

dwnld.fun

dwnld.online

libreoffice.best

libreoffice.bet

libreoffice.bond

libreoffice.wiki

losbandygs.org.es

mlr.lat

op-09816me.lat

plomtenburg.com

post-b09276.info

tetromask.online

tetromask.site

update.bar

updts.space

www.losbandygs.org.es

www.plomtenburg.com

www.post-b09276.info