近期,360高级威胁研究院发现疑似该组织的钓鱼攻击活动,针对目标为纳卡地区(纳戈尔诺-卡拉巴赫),一个横在阿塞拜疆和亚美尼亚归属争议的地方,两国也常年因为争论此地爆而发冲突。本次攻击者利用携带宏的doc附件作为载体,通过层层下载的方式内存加载VenomRAT木马,从而完成信息窃取活动。
1.攻击流程分析
2.载荷投递分析
2.1.载荷投递方式
本次攻击中,攻击者是通过下发钓鱼邮件诱导受害者查看附件的方式投递载荷,捕获的邮件如下所示:
2.2.恶意载荷分析
邮件中携带的恶意附件信息如下:
|
MD5 |
8f68008574017fc55bd04f35f967085a |
|
文件大小 |
624.00KB (638976字节) |
|
文件类型 |
|
|
文件名 |
haytararutyun.doc |
打开恶意文档时会提示启用宏,但是在Office 2016以下版本是看不到具体宏代码的,因为攻击者将文档中的PROJECT流数据中的宏代码模块信息进行了删除,这样可导致用户打开文档后宏代码页面看不到具体代码。这种技巧可能导致该样本能逃避多家安全厂商的查杀,截止目前,该样本在VT上只有三家引擎能查杀。
恶意宏的主要功能是将一段Powershell代码保存为bat文件,并隐藏执行bat脚本,其功能为从远端下载恶意载荷并执行,值得一提的是下载连接中的域名karabakhtelekom.com模仿的是卡拉巴赫电信网站karabakhtelecom.com(简拼kt.am),Karabakh指的是纳卡(Nagorno-Karabakh),并且karabakhtelekom.com该域名是2023年9月4日才注册,可以看出这是一起有计划有针对性的行动。
|
MD5 |
cbbad2e2170ee73c2bfdacdade718d29 |
|
文件大小 |
3.46MB (3630735字节) |
|
文件类型 |
exe |
|
文件名 |
ekeng-mta.exe |
|
编译时间 |
2023-08-26 17:40:26 UTC |
ekeng-mta.exe伪造了“Microsoft Windows”签名,只是当前签名无效。
该程序的主要功能是内存加载执行一段Powershell代码:
3.攻击组件分析
加载的恶意载荷mta.dll的信息如下所示:
|
MD5 |
e1d068a143a5f2aaa98f231dfcfb0e72 |
|
文件大小 |
734.05KB (751672字节) |
|
文件类型 |
dll |
|
文件名 |
mta.dll |
|
编译时间 |
2048-01-31 15:05:52 UTC |
根据样本信息可知其编译时间被修改,同时,样本也携带有“Malwarebytes Inc.”的无效签名,该签名时间为2023年8月14日,可以推断样本的编译时间在这之前。
mta.dll是一个C#编写的可执行文件,它首先将一串Base64字符串进行解码,形成一段字节数组,然后将这段字节数组和硬编码的字符串“iamzerobyte”进行异或解密,形成ShellCode。然后通过内存映射的方式将ShellCode写入内存并执行。
这段ShellCode的目的是从内存中解密可执行文件,并通过内存加载C#程序集的方式无文件执行payload。
接着进行一系列的校验之后,利用内存加载C#程序集的方式执行payload。
该payload经过分析发现其类型为VenomRAT,版本为v6.0.3。其执行流程如下图所示:
|
Key |
PZyp0vsUQIhX2vzfMy8zUON2ZP1AItBl |
|
Ports |
31507 |
|
Hosts |
193.161.193.99 |
|
Version |
Venom RAT+HVNC+Stealer+Grabber v6.0.3 |
|
Install |
false |
|
Install_File |
|
|
MTX |
ajmlxbvgoegjpkevdnz |
|
Pastebin |
null |
|
BS_OD |
false |
|
Group |
Default |
|
Anti_Process |
false |
|
An_ti |
false |
二、归属研判
今年以来已多次有关Kasablanka组织的攻击报道,在本次攻击中该组织利用极具诱惑性的诱饵和伪装的钓鱼连接下发VenomRAT类型木马进行窃密活动,使得攻击防不胜防,后续我们也将持续关注该组织的最新攻击活动。
原文始发于微信公众号(360威胁情报中心):疑似Kasablanka组织针对纳卡地区的攻击活动分析
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论