UTG-Q-007:越南语木马ROTbot正在瞄准亚洲地区

admin 2024年2月22日17:22:48评论19 views字数 5619阅读18分43秒阅读模式

概述

奇安信威胁情报中心在日常终端运营过程中发现客户收到了定向的钓鱼邮件,附件名为“版權資訊及版權保護政策 Dentsu Taipei.zip”,内容包含恶意的lnk文件和正常的PDF诱饵,天擎EDR第一时间对脚本木马进行了拦截,虽然攻击者并未对我们的客户造成太大的损失,但该团伙使用的中文诱饵和后续木马引起了我们的兴趣。

经过一段时间调查,奇安信威胁情报中心将该犯罪团伙归为未知威胁组织类别,赋予其跟踪编号UTG-Q-007。该团伙攻击目标有中国、韩国、越南、印度等亚洲国家,行业涉及建筑、房产营销、互联网,并使用特有的ROTbot木马窃取加密货币、知识产权、社交账号等敏感数据,与faceduck Group(ducktail)盈利模式类似存在劫持facebook商业账号ads的行为,我们将相关细节披露给开源社区,供友商进行分析排查。

技术细节

在针对加密货币行业的攻击中投递的PDF如下:
UTG-Q-007:越南语木马ROTbot正在瞄准亚洲地区

投递的LNK元数据如下:

UTG-Q-007:越南语木马ROTbot正在瞄准亚洲地区

调用forfiles.exe并执行powershell脚本,最终启动mshta加载远程hta脚本文件,C2服务器opendir内容如下:

UTG-Q-007:越南语木马ROTbot正在瞄准亚洲地区

139.99.23.XX-Tru.hta主要为混淆的VBScript文件,主要功能为启动powershell脚本:

UTG-Q-007:越南语木马ROTbot正在瞄准亚洲地区

经过AES解密后再经Gzip解压后执行内容,如下:

UTG-Q-007:越南语木马ROTbot正在瞄准亚洲地区
UTG-Q-007:越南语木马ROTbot正在瞄准亚洲地区

攻击者使用了一种改进型的UAC绕过技术,为了规避杀软的拦截,攻击者创建了一个名为.omg的progID,并将ms-settings progID 中的 CurVer 条目指向.omg,当启动系统文件fodhelper.exe时会先使用ms-settings progID打开文件,并读取CurVer的内容,CurVer已经被指向到攻击者创建的.omg的ProgID中,最终执行$OMG变量中的ps脚本,$code内容如下:

UTG-Q-007:越南语木马ROTbot正在瞄准亚洲地区

从远程服务器下载压缩包并运行,攻击者一直在持续更新hta的执行链,在最新的LNK诱饵中执行链已经与上述完全不同,UTG-Q-007投递了多种类型的木马:NetSupport、Stealc、AsyncRAT、Rhadamanthys,其中不少为MAAS提供的家族,在我们剔除MAAS常用的木马后,发现UTG-Q-007使用的一款新型的木马,我们将其命名为ROTBot,PDB中出现了越南语。

PDB

D:ROTROTBuild rot Export2024Bot Export Chiến14.225.210.XX-Chiến -Ver 2.0GPTbinDebugspoolsv.pdb

ROTbot首先会获取受害者设备的基础信息,并用基础信息中的公网IP、进程列表、用户名、计算机名与内置的列表进行比对,如果出现在列表中则中止执行
UTG-Q-007:越南语木马ROTbot正在瞄准亚洲地区

检测完成后,会通过GET请求来获取第一阶段载荷,URL为google云文档

UTG-Q-007:越南语木马ROTbot正在瞄准亚洲地区
UTG-Q-007:越南语木马ROTbot正在瞄准亚洲地区

返回一个ChildBot.txt文件,里面的内容是经过两次Base64加密后的信息,解密后如下

UTG-Q-007:越南语木马ROTbot正在瞄准亚洲地区

其中第一段部分为下一阶段载荷获取的链接(google云文档),第二部分和第三部分用于拼接通知设备上线的URL(telegram bot) ,之后会从资源中释放一个DLL文件:SQLite.Interop.dl,到当前目录下。

UTG-Q-007:越南语木马ROTbot正在瞄准亚洲地区

将收集到的信息组成上线包,格式如下:

UTG-Q-007:越南语木马ROTbot正在瞄准亚洲地区

通过Telegram API上传给Telegram bot。

UTG-Q-007:越南语木马ROTbot正在瞄准亚洲地区

上线成功后会调用API函数getUpdates检测上线包是否发送成功,接着将获取的配置信息写入Setting.xml文件中。

UTG-Q-007:越南语木马ROTbot正在瞄准亚洲地区

最后在内存中加载自身资源文件AI.dll,并运行其 Plugin.Run方法,通过URLArgsMainBot 字段(第二个google文档链接)获取下一阶段配置文件

UTG-Q-007:越南语木马ROTbot正在瞄准亚洲地区

配置解密后分为两个部分,第一部分是C2,第二部分是互斥体名称

UTG-Q-007:越南语木马ROTbot正在瞄准亚洲地区

对当前屏幕进行截图并保存到temp文件夹下,图片文件名由16个随机字符组成,然后把屏幕截图通过API上传到telegram bot,以后每次向电报机器人发送消息时都会发送一张截图,并将消息附加在截图后

UTG-Q-007:越南语木马ROTbot正在瞄准亚洲地区

根据AVDetect字段选择性的进行持久化操作

UTG-Q-007:越南语木马ROTbot正在瞄准亚洲地区

如果存在kaspersky则不进行持久化,如果存在avg 和avast时则向tg bot发送如下消息:

UTG-Q-007:越南语木马ROTbot正在瞄准亚洲地区

窃取浏览器数据包含facebook、instagram、youtube、商业版tiktok等

UTG-Q-007:越南语木马ROTbot正在瞄准亚洲地区

攻击者想要劫持一些社交网账号的ads以谋取经济利益。攻击意图与faceduck Group(ducktail)团伙相似,我们在2023年终报告中详细描述了faceduck Group在国内的攻击活动[1],但是我们并没有发现UTG-Q-007与faceduck Group存在重叠的证据。

ROTbot最后会进入远控逻辑,回连第二阶段配置文件中的C2,经过分析发现控制代码源自于开源项目Quasar。

UTG-Q-007:越南语木马ROTbot正在瞄准亚洲地区

基础设施和受害者

基于奇安信威胁情报中心遥测数据,UTG-Q-007在承载hta脚本时使用了大量的跳板网站,可能购买了MAAS相关的服务:

跳板网站

网站描述

hxxps://solutionsinengineering.com/Source.hta

澳大利亚建筑公司 wordpress

hxxps://all-access-media.com/media/templates/site/localer-en.hta

照片网站

hxxps://thecreativelion.com/wp-content/uploads/2021/11/xczxcxzcxzcxzcxzc23.hta

IT公司 wordpress

hxxps://topmark-tuitioncentre.co.uk/wp-content/uploads/useanyfont/wp-contentplugins.hta

教育机构 wordpress

hxxps://elmejorlocal.com.co/wp-content/uploads/2018/05/cachexxx.hta

商场 wordpress

hxxps://one-stopspa.com/wp-content/uploads/2019/11/lolcaljefosijfoesnofiegoiesgnos.hta

医疗美容 wordpress

hxxps://embutidoskami.sdb.bo/wp-content/uploads/2015/06/HDDREQ.hta

食品公司 wordpress

hxxps://alexiakombou.com/wp-content/uploads/2021/12/EN-localer.hta

个人博客 wordpress

hxxp://mw-solaris.com/solaris.hta

区块链游戏网站

除了跳板网站外,UTG-Q-007团伙注册的域名也呈现出一定的规律性。

UTG-Q-007:越南语木马ROTbot正在瞄准亚洲地区
ROTbot回连的C2服务器如下:

C2

14.225.210.97:12024

14.225.210.98:12024

上述IP隶属于越南邮电集团vnpt,该公司提供的VPS相对来讲较为廉价,在以往的攻击事件中我们只观察到有团伙使用vnpt的vps作为代理展开攻击活动,将其作为C2的情况并不多见。
UTG-Q-007:越南语木马ROTbot正在瞄准亚洲地区
ROTbot在2024年共使用了三个telegram bot:

Bot

first_name

username

6548823856:AAFj_qauGdRc8HWmo1ZSBQ_EtviF7hK0GKo

Debug2024149XXbot

tetris149_bot

6383173017:AAH2kFOJOIXulitofO7YV1QBI8VOzzFoA-Y

Chienthan1425Bot

chiendebug14225Bot

6712371927:AAF6lsf9WRb4cggeJzfTgHTreot8-jO1CTk

AKhue14225XXBot

KhueVu14225Bot

经过短监控,我们观察到了一个位于越南的受害者,正在被窃取浏览器中youtube的凭证。
UTG-Q-007:越南语木马ROTbot正在瞄准亚洲地区

受害者上传的屏幕截图如下:

UTG-Q-007:越南语木马ROTbot正在瞄准亚洲地区

受害者被窃取数据时正在使用sketchup建筑软件进行建模,下方任务栏中装有CF穿越火线(由Tencent公司运营的FPS游戏),符合受害者所在地区的游戏生态,从version版本来看攻击者似乎已经迭代数个版本,ROTbot的活跃时间可能更早 ,虽然其仍处于debug阶段, 但在2024年初就表现出不俗的能力,奇安信威胁情报中心会持续对其进行监控。

总结

目前,基于奇安信威胁情报中心的威胁情报数据的全线产品,包括奇安信威胁情报平台(TIP)、天擎、天眼高级威胁检测系统、奇安信NGSOC、奇安信态势感知等,都已经支持对此类攻击的精确检测。
UTG-Q-007:越南语木马ROTbot正在瞄准亚洲地区

IOC

MD5:

120c6d7e78fb92b2feada47c9d8bbab0

b86ba0844db442df61a5889b004e615b

30705266725f9bad60ea12821acf740a

8bd7eece235cee14ab700f23b7ac29db

51bad062733f1babc99254ca06db0e46

90a4af96abea4d8179c789fa3c72ddcf

82456d523f39ecb87324542c918e7dd6

6dd355c754cc7d3bcdeeeef32fdc16c9

C2:

14.225.210.97:12024

14.225.210.98:12024

Hta载荷:

hxxp://149.248.79.118/149248XX/149248XX.hta

hxxp://154.56.56.41/nilxvnq.hta

hxxp://199.34.27.196/139.99.23.XX/139.99.23.XX-Tru.hta

hxxp://199.34.27.196/139.99.23.XX/139.99.23.XX.hta

hxxp://199.34.27.196/14.225.210.98/14.225.210.XX-Khue.hta

hxxp://199.34.27.196/14.225.210.XX/14.225.210.XX-Chien.hta

hxxp://45.9.190.201/dt-excv.hta

hxxp://51.79.208.192/T/T.hta

hxxp://80.76.51.250/Downloads/start-of-proccess.lnk

hxxp://81.19.140.150/crypto.hta

hxxp://82.115.223.34/pdf/final.hta

hxxp://83.217.9.36/manual.hta

hxxp://94.156.253.211/Downloads/run-dwnl-restart.lnk

hxxp://mw-solaris.com/solaris.hta

hxxps://alexiakombou.com/wp-content/uploads/2021/12/EN-localer.hta

hxxps://all-access-media.com/media/templates/site/localer-en.hta

hxxps://coingecko.bond/lass.hta

hxxps://coingecko.bond/PuttyUac.hta

hxxps://distribution.adrdownload.software:40430/e4f0340b1/Scan004_40599.hta

hxxps://elmejorlocal.com.co/wp-content/uploads/2018/05/cachexxx.hta

hxxps://embutidoskami.sdb.bo/wp-content/uploads/2015/06/HDDREQ.hta

hxxps://one-stopspa.com/wp-content/uploads/2019/11/lolcaljefosijfoesnofiegoiesgnos.hta

hxxps://solutionsinengineering.com/Source.hta

hxxps://thecreativelion.com/wp-content/uploads/2021/11/xczxcxzcxzcxzcxzc23.hta

hxxps://topmark-tuitioncentre.co.uk/wp-content/uploads/useanyfont/wp-contentplugins.hta

域名:

adobe.bar

adobe.charity

coingecko.bet

coingecko.bio

coingecko.bond

coingecko.center

coingecko.cfd

coingecko.codes

coingecko.space

dwnld.fun

dwnld.online

libreoffice.best

libreoffice.bet

libreoffice.bond

libreoffice.wiki

losbandygs.org.es

mlr.lat

op-09816me.lat

plomtenburg.com

post-b09276.info

tetromask.online

tetromask.site

update.bar

updts.space

www.losbandygs.org.es

www.plomtenburg.com

www.post-b09276.info

参考链接

[1].https://ti.qianxin.com/uploads/2024/02/02/dcc93e586f9028c68e7ab34c3326ff31.pdf

原文始发于微信公众号(奇安信威胁情报中心):UTG-Q-007:越南语木马ROTbot正在瞄准亚洲地区

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年2月22日17:22:48
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   UTG-Q-007:越南语木马ROTbot正在瞄准亚洲地区http://cn-sec.com/archives/2516031.html

发表评论

匿名网友 填写信息