关键词
TA866、WasabiSeed、Screenshotter、AHK Bot、Rhadamanthys、Screentime
-
Proofpoint开始跟踪一个新的威胁主体,TA866。 -
Proofpoint研究人员在2022年10月首次观察到相关的攻击活动,该活动一直持续到2023年。 -
这些活动似乎以获取经济利益为动机,主要针对美国和德国的组织。 -
通过使用定制的工具集WasabiSeed和Screenshotter,TA866会在安装机器人程序和窃密程序之前根据截取屏幕截图来分析受害者的活动。
-
带有宏的Publisher(.pub)附件 -
通过404 TDS链接到带有宏的Publisher文件的URL -
通过404 TDS链接到JavaScript文件的URL -
PDF文件,其中包含通过404 TDS链接到JavaScript文件的URL
-
该URL指向404 TDS,它将筛选流量并重定向到JavaScript文件的下载 -
如果用户运行JavaScript(例如通过双击),将开始下载并运行MSI包 -
这个MSI包是WasabiSeed的安装程序,它执行内嵌的VBS脚本(WasabiSeed)并通过在Windows启动文件夹中创建自启动快捷方式来实现持久化 -
WasabiSeed脚本 -
下载并执行包含Screenshotter的第二个MSI文件 -
持续循环轮询相同的URL以获取额外的有效载荷 -
第二个MSI文件包含Screenshotter的组件,Screenshotter是一个具有使用不同脚本语言编写的各种变体的恶意软件。Screenshotter的唯一目的是窃取受害者的屏幕截图并将其发送到命令和控制(C2)服务器 -
互动:攻击者可能会在正常工作时间手动检查受害者的屏幕截图,并投放额外的有效载荷供WasabiSeed下载,例如: -
Screenshotter:获取更多的截图(如果攻击者对之前的截图不满意) -
AHK Bot:无限循环组件(如果威胁主体认为满意并想要继续攻击) -
AHK Bot:该机器人的主要组件是另一个无限循环,用于轮询和下载其他AHK脚本。已观察到的脚本包括: -
域分析器:确定机器的活动目录(AD)域并将其发送到C2 -
窃取程序加载器:下载窃密载荷并将其加载到内存中 -
Rhadamanthys:观察到的由AHK Bot加载的特定窃取程序
-
lumina.exe:IrfanView 4.62 版的未修改副本。 -
app.js:这是MSI包执行的第一个文件。它运行lumina.exe来捕获桌面的屏幕截图并将其保存为JPG。 -
index.js:这是MSI包执行的第二个文件。它读取app.js脚本获取的图像文件,设置HTTP Headers并将图像POST到与WasabiSeed相同C2地址,尤其在URL http://C2_IP/screenshot/%serial%中%serial%的值与WasabiSeed获取的C盘驱动器序列号相同。这允许攻击者将来自WasabiSeed的信标与Screenshotter提交的特定屏幕截图关联起来。
-
au3.exe:“AutoHotkeyU32.exe”版本1.1.33.10的合法副本,它是AutoHotKey的解释器。 -
au3.ahk:Looper AutoHotKey脚本。
-
目标:在Check Point的描述中,攻击目标包括政府的财务部门或在大使馆工作的特定人员。因此,目标可能是出于经济动机或间谍动机。与其对比之下,Screentime活动的目标则完全是出于经济动机。 -
AHK Bot:该恶意软件用于2019年的活动,它是Screentime中使用的AHK Bot的早期变体,Proofpoint 发现了显著的相似之处,尤其是在网络代码方面。此外,2019年AHK Bot版本内置了一个“截图”模块,而当前的活动使用独立的Screenshotter恶意软件。 -
相似点总结:目标可能存在重叠,使用的自定义工具(AHK Bot)存在显著重叠。
-
目标:据Trend Micro称,目标包括美国和加拿大的金融机构。同样地,Screentime活动中的目标也是出于经济动机,并且主要针对美国和德国等地区。 -
AHK Bot:2020年报告中观察到的初始Looper组件与Screentime活动中观察到的Looper组件几乎相同。2020 AHK Bot变体包括一个作为AHK模块实施的窃取程序,而 Screentime活动则使用Rhadamanthys窃取程序。 -
相似点总结:目标和使用的自定义工具(AHK Bot)有很大的重叠。
-
目标:Asylum Ambuscade活动的目标是在欧洲境内负责交通、财政和预算分配、行政和人口流动方面工作的人员。这些目标似乎是以间谍活动为动机的,但值得注意的是,相同的一批人也出现在金融岗位上(比如在FINTEAM活动中)。相比之下,Screentime活动的目标是出于经济动机。 -
工具:在Asylum Ambuscade活动中观察到的SunSeed LUA脚本在功能上与Screentime活动中的WasabiSeed VBS工具相似。两者在不同的编程语言中执行相同的功能(循环下载有效载荷,使用C盘序列号作为URL路径)。虽然还没有直接观察到SunSeed投递AHK Bot恶意软件,但Proofpoint发现这两个安装程序之间的明显相似之处。攻击链的早期部分也存在其他相似之处,特别是在使用Windows Installer技术生成MSI文件方面。Asylum Ambuscade在附件宏中使用了这种技术,而Screentime在JavaScript和WasabiSeed VBS中使用了这种技术。 -
相似点总结:Asylum Ambuscade与Screentime的目标不同——没有重叠或重叠很少。WasabiSeed和SunSeed脚本的功能以及攻击链的早期部分存在明显的重叠。
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
END
参考链接:https://www.proofpoint.com/us/blog/threat-insight/screentime-sometimes-it-feels-like-somebodys-watching-me
编辑|张逸鸣
审校|何双泽、王仁
本文为CNTIC编译整理,不代表本公众号观点,转载请保留出处与链接。联系信息进入公众号后点击“关于我们”可见。
原文始发于微信公众号(国家网络威胁情报共享开放平台):窥屏时刻:谁在偷看我的屏幕
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论