Neurevt 木马与窃密程序相结合，针对墨西哥企业

近日，思科发现攻击者正在将 Neurevt 木马和窃密程序相结合，针对墨西哥的公司发起攻击。

入侵

恶意行为从混淆的恶意 PowerShell 命令开始，该命令会下载一个 Neurevt 家族的恶意文件。

攻击者绕过端点的 PowerShell 执行策略，下载新的可执行文件。该域名于 2021 年 6 月 21 日在 NameCheap 注册，saltoune.xyz 解析的 IP 地址为 162.213.251.176。该域名的全球遥测数据如下所示：

执行会创建很多文件：

恶意软件创建一个线程设置注册表并执行 VBS 文件：

WScript.exe 进程读取文件 C:LMPupdateset435246.vbs并启动 Windows Shell 运行批处理文件 C:LMPupdateset183.bat。

bat 脚本文件将 C:LMPupdatesetx0329847998重命名为加密的 RAR 文件 43939237cx.rar。运行 unpakedree.exe 使用 67dah9fasdd8kja8ds9h9sad密码提取 RAR 文件的内容。

启动另一个脚本 48551.bat：

通过进程注入，进一步拉取可执行文件。

http://morningstarlincoln.co.uk/的 IP 地址为 79.170.44.146。下载文件 SHA256 为 35617cfc3e8cf02b91d59209fc1cd07c9c1bc4d639309d9ab0198cd60af05d29

http://russk17.icu的 IP 地址为 23.95.225.105。下载文件 SHA256 为 4d3ee3c1f78754eb21b3b561873fab320b89df650bbb6a69e288175ec286a68f

在前者的文件中，存在许多属于墨西哥主要金融机构的字符串。

恶意软件窃取凭据和双因子 Token，定义的函数调用如下所示：

持久化

恶意软件修改了多个注册表项：HKLMSoftwareMicrosoftWindows NTCurrentVersionImage File Execution OptionsRSTRUI.exe、HKLM SoftwareMicrosoftWindows NTCurrentVersionImage File Execution Options3K77573KMES7W.exe、HKCUSoftwareMicroscoftWindowsCurrentVersionRunonce、HKCUSoftwareMicroscoftWindowsCurrentVersionRun、HKLMSoftwareMicroscoftWindowsCurrentVersionRunonce。

恶意软件通过调用 GetTokenInformation 和 AdjustTokenPrivileges 来提权。

检测逃避

Explorer.exe 进程禁用 Windows 防火墙，还修改Internet Explorer 安全域配置。攻击者通过允许未签名的 ActiveX 控件、关闭阻止弹出窗口和更改 Java 权限等选项来削弱 Internet Explorer 的安全性。

一个注册表中存放了大量数据（HKEY_CURRENT_USERSoftwareAppDataLowSoftware{B56DA420-0B5E-0394-E271-7DACAF8D4BB5}14FD1F9A46a66dd53b3040）旨在隐藏攻击者。

Explorer.exe 进程尝试连接 VirtualBox 驱动程序、 VirtualBox DLL 和 VMware DLL。此外还会使用 GetTickCount 和 IsDebuggerPresent 进行反分析。

发现

恶意软件会检查操作系统、枚举系统驱动、可用硬盘和目录信息、Java 运行时环境、键盘布局列表等信息。

攻击者还可以截取失陷主机的屏幕截图。

复制剪切板的数据：

将屏幕缓冲区的数据写入文件：

通过调用 GetKeyboardLayout、ActivateKeyboardLayout 设置键盘布局并调用 GetKeyboardState 将 256 个虚拟键的状态复制到缓冲区并调用 GetKeyState 来检索键盘控制字符状态。Neurevt 会监视来自对话框、消息框、菜单或滚动条中的按键和鼠标活动的输入事件而生成的消息。

Neurevt 还会等待来自多个对象的消息、查看消息、检查是否是 Unicode 窗口、获取消息、将虚拟键的扫描码转换为字符然后发送。

数据渗漏

失陷主机使用 HTTP POST 将数据发送到 C&C 服务器。

结论

这个版本的 Neurevt 恶意软件具备多种功能，一旦被感染，攻击者就可以控制失陷主机并修改系统设置进行持久化驻留。该木马可以访问操作系统、用户帐户信息、银行网站凭据、截取屏幕截图并连接到 C&C 服务器以窃取知识产权和个人信息等。该木马可能会影响个人用户和组织导致数据泄露或声誉受损，最终导致重大损失。

IOC

russk18.icu
russk19.icu
russk20.icu
russk21.icu
russk22.icu
moscow13.at
moscow11.at
86aab09b278fe8e538d8cecd28f2d7a32fe413724d5ee52e2815a3267a988595
b5624eea08b241314b8bd13ee9429449c53085a6bb2bcc481655f1f28b4314122
4d3ee3c1f78754eb21b3b561873fab320b89df650bbb6a69e288175ec286a68f
35617cfc3e8cf02b91d59209fc1cd07c9c1bc4d639309d9ab0198cd60af05d29
http://saltoune.xyz/pb/aa.exe
https://saltoune.xyz/pb/aa.exe
http://morningstarlincoln.co.uk/site/bmw/studi.exe
http://russk17.icu/mailo/seer.exe

参考来源

TalosIntelligence

精彩推荐

本文始发于微信公众号（FreeBuf）：Neurevt 木马与窃密程序相结合，针对墨西哥企业