2018年,思科Talos的研究人员发布了一篇关于间谍软件GravityRAT的分析报告,研究人员发现该软件被用来攻击印度军队。 印度计算机应急响应小组(CERT-IN)于2017年首次发现了该间谍软件。它的创建者被认为是巴基斯坦的黑客组织。根据卡巴斯基研究人员的观察,该活动至少从2015年就开始了,并且其以前的目标是Windows电脑。但是攻击者在2018年将安卓设备也加到了目标名单中。
2019年,卡巴斯基的研究人员在VirusTotal上,发现了一个奇怪的安卓间谍软件,经分析发现它似乎与GravityRAT有关。网络犯罪分子在Travel Mate(一款面向印度旅客的Android应用,其源代码可在Github上找到)上添加了一个间谍模块。
Google Play上安全的 Travel Mate应用程序
攻击者使用2018年10月在Github上发布的应用程序版本,并添加了恶意代码,将名称更改为Travel Mate Pro。
应用程序在启动时请求权限
该间谍软件的清单文件包括Services和Receiver,Github上的原始版本并不包含它们
间谍软件类列表
该间谍软件的功能相当标准:它可以向C&C服务器发送设备数据、联系人列表、电子邮件地址以及通话和文本日志。此外,该间谍软件会从本机内存和连接到的多媒体设备上,搜索扩展名为.jpg、jpeg、.log、.png、.txt、.pdf、.xml、.doc、.xls、.xlsx、.ppt、.pptx、.docx和.opus的文件,并将这些文件发送给C&C。
该恶意软件与“典型” 的安卓间谍软件不同,因为其应用程序的选择非常具体,并且恶意代码并不是基于任何已知的间谍软件应用程序(通常情况下)。因此卡巴斯基的研究人员试图寻找其与已知APT家族的联系。
硬编码到间谍软件的C&C地址
最简单的方法是检查间谍软件使用的C&C地址:
-
nortonupdates[.]online:64443
-
nortonupdates[.]online:64443
后来发现了一段恶意代码会访问如下域名:n3.nortonupdates [.] online:64443,将被感染机器上找到的相关文件(包括.doc,.ppt,.pdf,.xls,.docx,.pptx 、. xlsx后缀)以及被感染感染机器的本机信息上传。在威胁情报的帮助下,卡巴斯基的研究人员发现了该恶意软件:一种名为Enigma.ps1的恶意PowerShell脚本,可执行C#代码。
使用VBS脚本运行PowerShell脚本:
接下来检测到了一个非常类似的VBS脚本模板,其名称为iV.dll,但没有指定的路径:
它位于PyInstaller容器enigma.exe中,数字证书由E-Crea Limited公司于2019年5月9日签发。该安装程序是从站点enigma.net [.]in下载的。伪装为文件安全共享应用程序,宣称的功能是防勒索软件攻击。
除了VBS模板之外,容器内还有Windows 计划任务的XML模板,名称为aeS.dll,rsA.dll,eA.dll和eS.dll:
在主程序中,将所需的路径和名称写入模板,并添加了一个计划任务:
恶意程序访问此网址download.enigma.net[.]in/90954349.php(90954349A是单词“enigma”的MD5值的开始)与服务器通信。它具有简单的图形界面以及加密和文件交换逻辑:
Mac版本具有类似的功能,并添加了一个cron任务:
另一款在功能上与enigma.exe类似的恶意程序是Titanium(titaniumx.co [.]in),数字证书由Plano Logic有限公司在2019年4月14日签发,证书在2019年8月8日被吊销。
除了Enigma和Titanium之外,类似的间谍软件还有:
-
Wpd.exe,数字证书由Plano Logic 有限公司于2018年9月17日签发,证书已被吊销
-
Taskhostex.exe,数字证书由Theravada Solutions有限公司于2020年2月18日签发
-
WCNsvc.exe,数字证书由Plano Logic 有限公司于2018年9月17日签发,证书被吊销
-
CSRP.exe
它们的C&C:
-
windowsupdates[.]eu:46769
-
windowsupdates[.]eu:46769
-
mozillaupdates[.]com:46769
-
mozillaupdates[.]com:46769
-
mozillaupdates[.]us
这里主要关注的是上述间谍软件使用的端口46769,因为GravityRAT家族也使用了同样的端口。通过对nortonupdates[.]online这个网址进一步关联,研究人员发现了一个可执行程序Xray.exe:
此版本收集了数据并将其发送到n1.nortonupdates [.] online和n2.nortonupdates [.] online。
n * .nortonupdates [.] online域名,解析的IP地址为213.152.161 [.] 219。卡巴斯基的研究人员在检查了被动DNS数据库中曾解析到此IP地址的其他域名,发现了可疑的域名u01.msoftserver [.] eu。通过对该域名的搜索找到了应用程序ZW.exe,该应用程序用Python编写并同样使用PyInstaller打包(数字证书由Plano Logic Ltd于2019年10月4日签发,证书于2019年8月9日撤销)。
ZW.exe使用AES算法从文件ExtrasSystemEventBrokerSettings.dat中,解密出以下C&C地址:
-
msoftserver[.]eu:64443
-
msoftserver[.]eu:64443
-
msoftserver[.]eu:64443
-
msoftserver[.]eu:64443
与服务器的通信在相对地址/ZULU_SERVER.php中进行。
间谍软件从服务器接收命令,包括:
-
获取有关系统的信息
-
搜索计算机和可移动磁盘上扩展名为.doc、.docx、.ppt、.pptx、.xls、.xlsx、.pdf、.odt、.odp和.ods的文件,并将它们上传到服务器
-
获取正在运行的进程列表
-
获取按键信息
-
截屏
-
执行任意shell命令
-
录制音频(本版本未实现)
-
扫描端口
该代码是多平台的:
特征路径也证实了卡巴斯基正在处理的是新版的GravityRAT:
卡巴斯基的研究人员通过威胁情报关联到的具有类似功能的,名为RW.exe和TW.exe的新变种。它们的数字证书分别于2019年1月10日和2020年2月20日由Theravada Solutions有限公司签发,这些证书仍有效。
RW.exe通过相对地址/ROMEO/5d907853.php访问C&C服务器,TW.exe通过/TANGO/e252a516.php访问C&C服务器,因此我们可以推测可执行文件名称中的首字母表示 C&C服务器版本。
该实例中的C&C:
-
mozillaupdates[.]us
-
mozillaupdates[.]us
-
mozillaupdates[.]us
-
mozillaupdates[.]us
-
microsoftupdate[.]in
-
microsoftupdate[.]in
-
microsoftupdate[.]in
-
microsoftupdate[.]in
一、lolomycin&Co
GravityRAT的旧版本,Whisper,除了字符串“lolomycin2017”(其字节表示用作组件lsass.exe中用于AES加密的salt)外,包含在组件whisper.exe中的字符串“lolomycin&Co”作为解压下载的ZIP文件的密码:
通过此字符串,在应用程序中找到了较新的.NET版本的GravityRAT:
-
WeShare
-
TrustX
-
Click2Chat
-
Bollywood
二、新版本的GravityRAT
下文中检查了所有分发恶意软件的站点,这些站点都隐藏在Cloudflare的后面,从而使服务器的真实IP更难被发现。
三、 .NET版本
-
Sharify
-
MelodyMate (数字签名由E-Crea Limited公司于2019年5月11日签发)
四、Pyhon版本
-
GoZap
另一个PyInstaller容器。其中代码明确提到了我们熟悉的潜在有效负载的名称:
根据特定的有效载荷,将选择目标目录以及Windows 任务调度器的任务名称:
| 有效载荷名称 | 路径 | 任务名称 |
| ZW | %APPDATA%Programs | WinUpdate |
| SMTPHost | %APPDATA%WinUpdates | Disksynchronization |
| WCNsvc | %APPDATA%System | Windows_startup_update |
| CSRP | %APPDATA%Applications | Antivirus_Update |
| Windows-Portable-Devices | %APPDATA% System Updates | System_Update |
五、Electron框架开发的版本
以下版本是基于Electron框架的Windows和Mac多平台版本。其逻辑与前面一样:该间谍软件检查它是否在虚拟机上运行,收集有关计算机的信息,从服务器下载有效负载,并添加一个计划任务。
-
StrongBox(数字证书由E-Crea Limited于2019年11月20日签发)
-
TeraSpace (数字证书由E-Crea Limited于2019年11月20日签发)
-
OrangeVault
-
CvStyler (数字证书由E-Crea Limited于2020年2月20日签发)
六、安卓版本
Savita Bhabhi软件具有Windows和安卓两个版本。
Windows版本基于.NET。该功能是标准功能:木马程序检查它是否在虚拟机上运行以及计算机上是否安装了安全软件,然后将有关计算机的信息传输到服务器,并接收响应命令。它使用Windows 计划任务启动有效负载。通过POST请求与服务器进行通信(download.savitabhabi.co [.] in / A5739ED5.php)。
从同一站点下载的第二个文件是安卓版应用程序Savitabhabi.apk,是一个内置间谍软件模块的成人漫画app。与使用开源代码修改而来的Travel Mate Pro版本不同,这次网络犯罪分子似乎采取了自下而上的方法,并自行编写了该应用程序。
应用程序在启动时请求可疑权限
该安卓应用程序的恶意功能与Travel Mate Pro相同;C&C地址和代码(除次要细节外)也一致:
间谍软件类列表
2019年,《印度时报》(The Times of India)发表了一篇文章,讲述了2015年至2018年期间用于传播“GravityRAT”的网络犯罪方法。通过伪造的Facebook帐户联系到受害者,并要求受害者安装一个伪造为通信软件的恶意应用,以便继续联系。在印度的国防、警察以及其他的部门和组织中发现了大约100例被感染的案例。
可以肯定的是,目前的GravityRAT活动使用了类似的感染方法——向被攻击者发送恶意应用程序的下载链接。
在新的GravityRAT活动中看到的主要改进是对多平台的整合:除了Windows,现在还有适用于安卓和macOS的版本。网络犯罪分子还开始使用数字签名来使应用程序看起来更合法。
MD5
Travel Mate Pro — df6e86d804af7084c569aa809b2e2134iV.dll — c92a03ba864ff10b8e1ff7f97dc49f68enigma.exe — b6af1494766fd8d808753c931381a945Titanium — 7bd970995a1689b0c0333b54dffb49b6Wpd.exe — 0c26eb2a6672ec9cd5eb76772542eb72Taskhostex.exe — 0c103e5d536fbd945d9eddeae4d46c94WCNsvc.exe — cceca8bca9874569e398d5dc8716123cSMTPHost.exe — 7bbf0e96c8893805c32aeffaa998ede4CSRP.exe — e73b4b2138a67008836cb986ba5cee2fChat2Hire.exe — 9d48e9bff90ddcae6952b6539724a8a3AppUpdater.exe — 285e6ae12e1c13df3c5d33be2721f5cdXray.exe — 1f484cdf77ac662f982287fba6ed050dZW.exe — c39ed8c194ccf63aab1db28a4f4a38b9RW.exe — 78506a097d96c630b505bd3d8fa92363TW.exe — 86c865a0f04b1570d8417187c9e23b74Whisper — 31f64aa248e7be0be97a34587ec50f67WeShare —e202b3bbb88b1d32dd034e6c307ceb99TrustX — 9f6c832fd8ee8d8a78b4c8a75dcbf257Click2Chat — defcd751054227bc2dd3070e368b697dBollywood — c0df894f72fd560c94089f17d45c0d88Sharify — 2b6e5eefc7c14905c5e8371e82648830MelodyMate — ee06cfa7dfb6d986eef8e07fb1e95015GoZap — 6689ecf015e036ccf142415dd5e42385StrongBox — 3033a1206fcabd439b0d93499d0b57da (Windows), f1e79d4c264238ab9ccd4091d1a248c4 (Mac)TeraSpace — ee3f0db517f0bb30080a042d3482ceee (Windows), 30026aff23b83a69ebfe5b06c3e5e3fd (Mac)OrangeVault — f8da7aaefce3134970d542b0e4e34f7b (Windows), 574bd60ab492828fada43e88498e8bd2 (Mac)CvStyler — df1bf7d30a502e6388e2566ada4fe9c8SavitaBhabi — 092e4e29e784341785c8ed95023fb5ac (Windows), c7b8e65e5d04d5ffbc43ed7639a42a5f (Android)
URLs
daily.windowsupdates[.]eunightly.windowsupdates[.]eudailybuild.mozillaupdates[.]comnightlybuild.mozillaupdates[.]comu01.msoftserver[.]euu02.msoftserver[.]euu03.msoftserver[.]euu04.msoftserver[.]eun1.nortonupdates[.]onlinen2.nortonupdates[.]onlinen3.nortonupdates[.]onlinen4.nortonupdates[.]onlinesake.mozillaupdates[.]usgyzu.mozillaupdates[.]uschuki.mozillaupdates[.]uszen.mozillaupdates[.]usud01.microsoftupdate[.]inud02.microsoftupdate[.]inud03.microsoftupdate[.]inud04.microsoftupdate[.]inchat2hire[.]netwesharex[.]netclick2chat[.]orgx-trust[.]netbollywoods[.]co[.]inenigma[.]net[.]intitaniumx[.]co[.]insharify[.]co[.]instrongbox[.]interaspace[.]co[.]ingozap[.]co[.]inorangevault[.]netsavitabhabi[.]co[.]inmelodymate[.]co[.]incvstyler[.]co[.]in
end
本文为CNTIC编译,不代表本公众号观点,转载请保留出处与链接。
联系信息进入公众号后点击“论坛信息”可见。
本文始发于微信公众号(国家网络威胁情报共享开放平台):GravityRAT:间谍回归
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论