“海黄蜂”：针对我国新兴科技企业的窃密活动深度分析

更多安全资讯和分析文章请关注启明星辰ADLab微信公众号及官方网站（adlab.venustech.com.cn）

一、概述

启明星辰ADLab在近几个月内，注意到多起将发件人伪装为物流货运公司的定向邮件钓鱼活动，伪装的对象包含“深圳市运**际物流有限公司”、“上海印**际货运代理有限公司深圳分公司”和“中**运散货运输有限公司”。目前我们监测到的受攻击目标有”徐州**光电科技有限公司”（主要从事光电器件研发）和“华**通股份有限公司”（主要从事智能汽车制造），可能还有更多的潜在攻击目标未被发现，攻击者似乎倾向于对一些新兴科技行业发起攻击，值得相关企业提高警惕，加强防范措施。通过溯源我们并没有发现任何与本次攻击相关的现有攻击组织，该组织在窃密木马中内嵌的用于窃密信息回传的发送者邮箱和接收者邮箱均来自伊朗，这在一定程度让我们误以为攻击者来自伊朗，但是通过更进一步分析发现，这些邮箱均是黑客组织窃取的邮箱，其中还包含大量的凭证。

由于该组织特别擅长伪装，尤其喜欢使用已窃取的邮件凭证来攻击目标，无论是恶意邮件攻击，还是用于回传数据的SMTP信道，都极难溯源和追踪黑客，因此我们将该组织命名为“海黄蜂”，该组织就像“海黄蜂”一样隐秘而不易被发现却能给人致命一击。“海黄蜂”组织比较倾向于先攻下一些海运类公司并窃取这些公司邮箱凭证，然后以这些公司的名义对其真实的目标发起攻击，攻击的对象以新兴的科技企业为主，当前可以确定的受害国家有中国、伊朗、韩国和阿联酋。

目前所发现的攻击活动主要以携带有窃密木马的钓鱼邮件为主，窃密使用了“Agent Tesla”，木马采用C#编写并经过层层加密保护，为了不留痕迹采用了不落地执行，窃密数据包含目标设备上的“FTP账户凭证”、“邮箱账户凭证”、“VPN账户凭证”、“远程管理软件凭证”以及“浏览器中存储的账户凭证”等各种账户凭证信息。需要警惕的是，以往供应链攻击事件中大部分都和重要账户的登录凭证失窃有关。“Agent Tesla”是一款知名的商业化窃密木马，该木马最早可以追溯到2014年，其最先出现在一个土耳其语的网站上售卖，价格根据选择的功能在几美元到几十美元之间不等，现已出现在“海毒蛇”、“Gorgon”、“SWEED”等各个黑客组织的武器库中。

虽然目前所发现的攻击并不频繁，但是从“海黄蜂”的攻击目的来看，除了我们所发现邮件攻击外，还可能暗含有更多直接攻击比如通过VPN凭证、远程管理软件凭证进入企业内部所产生的未知潜在的攻击威胁，这些凭证最危险的地方在于黑客能够轻易地实施供应链攻击，正如2020年发生的“太阳风供应链攻击事件”那样，黑客通过凭证进入了太阳风公司内部篡改远程管理软件的源代码，从而导致下游使用该软件的大量企业受害。

此外，通过对内嵌的攻击邮箱进行关联分析发现，该组织最早攻击可以追溯到2020年年初，该组织成功入侵了伊朗的“Jindal Packaging”、“Voice of Port's Mariner Shipping Agency”等一些海运公司，并且窃取了该公司邮件凭证并以此来攻击韩国的互联网公司“NAVER”，攻击“NAVER”的时间发生在2020年7月。

二、攻击的目标企业

本次发现的“海黄蜂”攻击中，攻击者伪装成 “深圳市运**际物流有限公司”某员工的邮箱“f***@wi***logistics.com”向“徐州**光电科技有限公司”的4名员工发送了内容一样的钓鱼邮件（图1仅列出收件人为“ja***@l**t.com”的钓鱼邮件）。钓鱼邮件如图1所示，邮件主题为“(SOA) OVERDUE FOR DEC. 2021”（SOA于2021年12月到期），邮件正文为“Please check theattached statement for DEC. 2021”（请查看2021年12月的附件）。附件是名称为“updatedsoa.rar”的压缩文件，其解压后是名称为“updated soa.exe”的恶意可执行程序。

图1 钓鱼邮件

仅一周后，该攻击者又伪装成“上海印**际货运代理有限公司深圳分公司”某员工的邮箱“***.wu@j***peed.com”向该公司的同样4名员工发送了另一封内容一样的钓鱼邮件（图2仅列出收件人为“ja***@l**t.com”的钓鱼邮件）。钓鱼邮件如图2所示，邮件主题为“URGENT REQUEST”（紧急请求），邮件正文大意为“请根据邮件附件更新，剩下的文档我会尽快发送”，附件是名称为“Invoice.exe.xz”的压缩文件，其解压后是名称为“Invoice.exe”、图标伪装成XML文档的恶意可执行程序。

图2 钓鱼邮件

我们捕获到的另外一次攻击中，攻击者伪装成“中**运散货运输有限公司”某员工的邮箱“yuan-***@chi***ulker.com”向“华**通”公司的员工“***_gao@hum****orizons.com”发送钓鱼邮件，见图3。邮件主题为“TT Transmitted Copy”，邮件正文大意为“请查看附件中120,000.00美元的付款凭证并确认无误”。附件是名称为“SWIFT COPY.rar”的压缩文件，其解压后是名称为“SWIFT COPY.exe”、图标伪装成Word文档的恶意可执行程序，攻击者企图伪装成“SWIFT”（环球银行金融电信协会）的付款凭据诱使受害者点击。

图3 钓鱼邮件

以上攻击中，攻击者投递的恶意可执行程序执行后均会向感染设备释放“Agent Tesla”木马，以窃取攻击目标主机的“FTP账户凭证”、“邮箱账户凭证”、VPN账户凭证”、“远程管理软件凭证”以及“浏览器中存储的账户凭证”等各种账户凭证信息。

三、溯源与关联分析

我们监测到的以攻击“徐州**光电科技有限公司”为目标的攻击邮件有8封（见表1）。黑客前后对该公司发起了两轮攻击，而且这两轮攻击所选定的目标和使用的窃密木马都是相同的。第一轮攻击发生于1月6日，攻击者伪装成“深圳市运**际物流有限公司”的员工向目标发送钓鱼邮件；第二轮攻击发生于1月13日，攻击者这次伪装成“上海印**际货运代理有限公司深圳分公司”员工再次向目标投递钓鱼邮件。两次攻击活动的TTPs高度相似，攻击目标均为该公司的4名内部人员，并使用了同样的窃密木马Agent Tesla以及同样回传邮箱“[email protected]”。

收件邮箱	发件邮箱	邮件主题	发送时间	回传窃密数据的发送者邮箱	接收窃密数据的接收者邮箱
ja***@l**t.com	f***@ wi***logistics.com	(SOA) OVERDUE FOR DEC. 2021	2022/1/6 11:49	info @jindalpackaging.in	donya @fortunaship.com
c**@l**t.com
g**@l**t.com
w**@l**t.com
ja***@l**t.com	***.wu @j***peed.com	URGENT  REQUEST	2022/1/13  8:50	nowzathali @ratllc.ae	donya @fortunaship.com
c**@l**t.com
g**@l**t.com
w**@l**t.com

表1 关联的钓鱼邮件信息

通过对邮件携带的恶意载荷“Agent Tesla”木马的分析发现，黑客通过木马会将窃取到的凭证信息回传给黑客控制的邮箱。黑客在木马中内置了用于回传窃密数据的发送者邮箱“[email protected]”、“[email protected]”和接收窃密数据的接收者邮箱“[email protected]”。我们通过用于回传窃密数据的发送者邮箱“[email protected]”关联出另一个属于该组织的Tesla木马，并进一步对该木马进行回溯分析，关联出另外一封针对我国智能汽车制造相关公司“华**通”内部人员的钓鱼邮件（见表2）。

收件邮箱	发件邮箱	邮件主题	发送时间	回传窃密数据的发送者邮箱	接收窃密数据的接收者邮箱
***_gao@hum****orizons.com	yuan-*** @chi***ulker.com	TT Transmitted Copy	2022/2/2 14:17	info @jindalpackaging.in	donya @fortunaship.com

表2 关联的钓鱼邮件信息

“[email protected]”同样关联到了2020年7月攻击目标为韩国公司的多起攻击（https://asec.ahnlab.com/en/17550，How AgentTesla Malware is Being Distributed in Korea）。由此可以看出该组织至少从2020年就开始利用钓鱼邮件和“AgentTesla”木马进行网络攻击。另外，我们发现 “[email protected]”疑似和邮箱“[email protected]”为同一个人持有的两个不同邮箱，而从“[email protected]”关联出的信息（见图4）来看，可以确认该邮箱的持有者供职于“Jindal Packaging”公司，并且位于伊朗（98开始的电话）。

图4 邮箱和伊朗相关

同时，我们发现用于接收窃密数据的接收者邮箱 “[email protected]”疑似是伊朗海运代理公司“Voice of Port's Mariner ShippingAgency”（http://vopmco.com/Aboutper.html）一职位为财务的员工邮箱（见下图5）。结合前文木马用于回传窃密数据的发送者邮箱“[email protected]”的正常持有者也同样为伊朗公司的员工，可以看出攻击者似乎窃取了大量伊朗人员的正常邮箱，由此可以看出，攻击者在早前攻击过伊朗相关公司。

图5 关联到的伊朗某海运公司员工

由以上分析可知，“海黄蜂”组织在“Agent Tesla”木马中使用的回传窃密数据的发送者邮箱“[email protected]”和接收窃密数据的接收者邮箱“[email protected]”都不是攻击者自己的邮箱，而是攻击者窃取其他用户的正常邮箱。这和“海黄蜂”组织的攻击特性相符，该组织长期主要以窃取各类登录凭证为目的，其通过已窃取的凭证作为发送者邮箱，来隐藏自己的攻击行为，防止自己被溯源定位。

我们根据此次攻击中该黑客组织在木马中内置的用于回传窃密数据的发送者邮箱“[email protected]”关联到该组织2020年7月攻击目标为韩国互联网公司“NAVER”的多起攻击，这起攻击中，用于发送和接收窃密数据的邮箱同样属于伊朗的两家海运公司，这两封邮箱分别为“[email protected]”和“[email protected]”，相关的企业分别为分别为“Jindal Packaging”、“Voice of Port's MarinerShipping Agency”。而通过进一步分析发现，“海黄蜂”组织早在2020年初对伊朗的这两家公司进行了攻击并成功取得相关人员的登录凭证。从黑客组织的目标我们可以看出，攻击类似海运公司并取得凭证并不是该组织的真实目的，其真实目的只是想利用这些海运公司来打掩护，以更高的成功率更隐秘的方式来攻击一些高科技企业。

四、攻击样本分析

如图6所示，恶意邮件附件是名称为“updated soa.rar”的压缩包，其解压后是名称为“updated soa.exe”、图标伪装成“soa”更新程序图标的恶意可执行程序。“updated soa.exe”实际上是自动化工具“Agent Tesla”打包的木马，其运行后分四个阶段执行：“updated soa.exe”是经过大量混淆的母体外壳程序，其执行后会在内存中解密并不落地执行第二阶段模块“Bunifu.UI.dll”；“Bunifu.UI.dll”执行后会从母体“updated soa.exe”的资源段读取名称为“qdjSmj”的资源文件进行解密，并在内存中不落地执行第三阶段模块“js顾RFH顾 diQC”（exe可执行程序）；“js顾RFH顾 diQC”模块一方面负责母体程序“updated soa.exe”的持久化，另一方面解密、注入并执行最后阶段模块“AgentTesla”核心木马。“Agent Tesla”核心木马执行后会窃取感染设备“FTP账户凭证”、“邮箱账户凭证”、“VPN账户凭证”、“远程管理软件凭证”以及“浏览器中存储的账户凭证”等各种账户凭证信息后，以邮件的形式将这些信息回传到攻击者控制的邮箱。

图6 攻击流程图

4.1 第一阶段模块

母体“updated soa.exe”主要用于解密并在内存中加载下一阶段的功能模块“Bunifu.UI.dll”，“updated soa.exe”将自身伪装成“soa”的更新程序，以迷惑攻击目标执行。“updated soa.exe”使用自定义的函数将密文解密和字符串替换后，得到一串base64编码的字符串，然后调用FromBase64CharArray函数解码该字符串（见图7）。解码得到名称为“Bunifu.UI.dll”的Dll文件（见图8）并在内存中不落地执行。

图7 Base64解码字符串后，内存加载执行

图8 Base64解码后的“Bunifu.UI.dll”文件

4.2 第二阶段模块

该阶段的模块名称为“Bunifu.UI.dll”，其执行后会从母体“updated soa.exe”的资源段读取名称为“qdjSmj”的资源文件（如图9所示）进行解密，解密后是名称为“js顾RFH顾 diQC”的exe可执行程序。

图9 “updated soa.exe”中名称为“qdjSmj”的资源文件

“Bunifu.UI.dll”的函数“Bunifu_TextBox”负责解密“qdjSmj”资源文件（如图10所示），该函数首先遍历图9资源文件中的每个像素点，对每个像素点的RGB数据依次排列，然后使用自定义的异或算法对这些像素数据进行解密。

图10 解密函数

“Bunifu.UI.dll”解密得到名为“js顾RFH顾 diQC”的 exe可执行程序后继而在内存中不落地加载执行该程序。图11为Bunifu.UI.dll解密母体“updated soa.exe” 中资源文件“qdjSmj”得到的“js顾RFH顾 diQC”可执行程序。

图11 解密资源文件为可执行程序

4.3 第三阶段模块

 “js顾RFH顾 diQC”模块经过了大量混淆（如图12所示）。我们分析后发现该模块主要有两个功能：一是创建计划任务实现母体“updated soa.exe”的持久化，二是解密并执行最后阶段的“AgentTesla”核心木马。

图12 经过混淆的“js顾RFH顾 diQC”

该模块首先会使用WriteAllBytes函数将母体“updated soa.exe”的副本写入“C:UsersusernameAppDataRoaming”目录，并重命名为“KcSOZJHG.exe”，见图13和图14。

图13 写入第一阶段模块副本

图14 写入的第一阶段模块副本

然后该模块会读取感染设备主机名、用户名等信息，使用“WriteAllText”函数向感染设备的“%tmp%”目录写入“.tmp”后缀的XML文件（见图15）。

图15 向感染设备的“%tmp%”目录写入XML文件

XML文件的内容见图16：

图16 XML文件内容

接着该模块执行"schtasks.exe" /Create /TN "Updates\KcSOZJHG"/XML "C:\Users\ThinkPad\AppData\Local\Temp\tmp32C4.tmp"命令创建计划任务（见图17），完成持久化，以达到恶意程序开机启动的目的。

图17 创建计划任务，实现开机启动

之后该模块会删除xml临时文件（见图18）。

图18 删除xml临时文件

我们使用命令行查看该模块创建的计划任务（见图19），可以看到该模块创建了名称为“UpdatesKcSOZJHG”的计划任务，在系统每次启动后运行恶意程序“C:UsersusernameAppDataRoamingKcSOZJHG.exe”。

图19 恶意代码创建的计划任务

完成持久化操作后，该模块会在内存中解密出最后阶段的模块-“Agent Tesla”核心木马，然后启动“RegSvcs.exe”进程，使用进程镂空的方式将“Agent Tesla”核心木马注入到“RegSvcs.exe”进程中执行。RegAsm.exe 是 Microsoft .Net Framework 的官方组件，攻击者将AgentTesla”核心木马注入其中以规避安全检测。图20为内存中解密的“Agent Tesla”核心木马数据。

图20 内存中解密的“Agent Tesla”木马数据

在进程注入方式上，该模块调用了常见的进程注入API进行注入操作：使用 CreateProcess() 创建挂起的“RegSvcs.exe”进程，通过 VirtualAllocEx()、NtUnmapViewOfSection()、ReadProcessMemory()、WriteProcessMemory() 将“Agent Tesla”木马注入挂起的“RegSvcs.exe”进程新分配的内存中，接着使用SetThreadContext()/Wow64SetThreadContext()、GetThreadContext()/Wow64GetThreadContext() 修改exe 的注册表并修改 EIP 指针指向Agent Tesla核心木马，最后调用 ResumeThread() 恢复执行“RegSvcs.exe”进程。图21是该模块部分API的截图。

图21 进程注入用到的部分API

4.4 最后阶段模块

“Agent Tesla”核心木马执行后，先将自身拷贝到“C:UsersThinkPadAppDataRoamingtKZVPq”目录，并重命名为tKZVPq.exe，然后通过设置注册表“HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun”实现开机自启动（见图22），完成持久化。

图22 设置开机自启动

该“Agent Tesla”核心木马中有设置Timer对感染设备进行屏幕截图并回传的代码，但未启用，其启用了窃取目标设备上的“FTP账户凭证”、“邮箱账户凭证”、“浏览器中存储的账户凭证”等各种账户凭证和浏览器Cookie的功能。该“Agent Tesla”核心木马支持的回传方式有SMTP、FTP和HTTP。本模块选择使用SMTP方式将窃取到的敏感信息回传到攻击者控制的邮箱账户中。

图23是“Agent Tesla”核心木马窃取账户凭证涉及到的部分浏览器截图。

图23窃取账户凭证的部分浏览器截图

我们将这些浏览器整理到表3中。从表3中我们可以看到，“AgentTesla”核心木马尝试窃取包括Chrome、Edge、Safari、Firefox等主流浏览器、和国内QQ浏览器、360浏览器、UC浏览器、猎豹浏览器以及其他多个浏览器中所保存的账户凭证和Cookie。

Kometa	Yandex Browser	Sputnik	Comodo Dragon	Iridium Browser
Vivaldi	Liebao Browser	Uran	Elements Browser	7Star
Chromium	Coccoc	Citrio	Amigo	Coowon
Cool Novo	Torch Browser	CentBrowser	QIP Surf	Brave
Chedot	Orbitum	360 Browser	Epic Privacy	Opera Browser
Sleipnir6	Chrome	Safari	QQBrowser	K-Meleon
IceCat	Flock	BlackHawk	Cyberfox	IceDragon
Waterfox	UCBrowser	PaleMoon	Edge	SeaMonkey
Falkon	Firefox

表3 窃取账户凭证的所有浏览器

我们将木马窃取账户凭证涉及到的FTP应用、邮箱应用、VPN应用、远程管理应用以及一些其他应用分别列到以下几个表格中。

CoreFTP	cftp	FTP Navigator	FTPGetter	WinSCP 2
WS_FTP	SmartFTP	FlashFXP	FileZilla

表4 木马窃取账户信息的FTP应用

IncrediMail	RimArts	Pocomail	Foxmail	Thunderbird
Opera Mail	Qualcomm Eudora	Outlook	The Bat!	Postbox
Mailbird	eM Client	Claws-mail

表5 木马窃取账户信息的邮件应用

OpenVPN-GUI	Private Internet Access VPN	NordVPN	RealVNC	WinVNC3
TightVNC	UltraVNC

表6 木马窃取账户信息的VPN和远程管理应用

DownloadManager	jDownloader	Trillian	MySQL	Psi
Microsoft Credentials	Apple keychain

表7 木马窃取账户信息的其他应用

图24显示的是“Agent Tesla”核心木马窃取到的感染主机Outlook邮箱应用保存的邮箱账户和邮箱密码。

图24 窃取到的Outlook邮箱账户和密码

木马窃取到感染主机的相关账户凭证信息后，会使用攻击者事先窃取的邮箱将这些信息回传给其控制的另一邮箱（如图25所示）。

图25 邮箱发送窃密信息

从上图可以看到，回传窃密数据的发送者邮箱为“[email protected]”，接收窃密数据的接收者邮箱为“[email protected]”。邮件主题为PW_用户名/主机名，邮件正文包括时间、感染设备的用户名、主机名、操作系统名称、CPU信息、内存信息、以及窃取到的Outlook邮箱账户名称和密码（如图26所示）。

图26 邮件主题和正文

五、总结

通过分析可以看出，“海黄蜂”组织目前能够被发现的攻击手段仍然以伪造的邮箱账户对目标进行定向攻击，以向目标设备投放恶意木马。在侵入目标设备后，恶意木马再通过内存解密和多层嵌套加载、不落地执行来躲避安全检查，最终在目标设备上长期潜伏。针对此类攻击，企业应当做好企业邮箱SPF防护，以阻止来自伪造邮箱的攻击。同时我们建议用户不要随意打开和下载未知来源的邮件附件、做好邮件系统的防护外，即便是收到的邮件来自已知来源或熟悉的合作伙伴公司也要谨慎对待，慎重打开其附件中的文件，如有必要联系发送者进行确认，提高安全风险意识，一旦发现系统或服务器出现异常行为，应及时报告并请专业人员进行排查，以消除安全隐患。此外，“海黄蜂”组织主要目的是窃取并收集攻击目标设备上的“FTP账户凭证”、“邮箱账户凭证”、“VPN账户凭证”、“远程管理软件凭证”以及“浏览器中存储的账户凭证“等各种账户凭证信息，然后利用这些信息作为伪装，进一步攻击其他目标。更让人不安的是，这些敏感信息可以让黑客完全控制企业的内部系统，并且能够轻易地实施隐蔽性更强、危害性更高的供应链攻击。因此，我们除了对邮件提高警觉和防护外，还需要加强VPN、远程管理软件等等内部软件的异常行为监测。

启明星辰积极防御实验室（ADLab）

ADLab成立于1999年，是中国安全行业最早成立的攻防技术研究实验室之一，微软MAPP计划核心成员，“黑雀攻击”概念首推者。截止目前，ADLab已通过CVE累计发布安全漏洞近1100个，通过 CNVD/CNNVD累计发布安全漏洞2000余个，持续保持国际网络安全领域一流水准。实验室研究方向涵盖操作系统与应用系统安全研究、移动智能终端安全研究、物联网智能设备安全研究、Web安全研究、工控系统安全研究、云安全研究。研究成果应用于产品核心技术研究、国家重点科技项目攻关、专业安全服务等。

原文始发于微信公众号（ADLab）：“海黄蜂”：针对我国新兴科技企业的窃密活动深度分析