集束炸弹攻击！东欧黑客组织Unfurling Hemlock新型感染技术曝光

Outpost24的网络威胁情报团队KrakenLabs6月27日发布研究报告，称在审查2023年的恶意软件活动时发现，一种新型感染技术被用于分发大量不相关的恶意软件样本，这可能是由单个东欧组织“Unfurling Hemlock”所开展的持续数月的大规模活动。该组织使用Cabinet文件类型的压缩文件进行分发，这些文件被命名为“WEXTRACT.EXE.MUI”，并采用多达七层的嵌套压缩文件形式，每个压缩文件包含另一个压缩文件和一个恶意软件样本。

全球至少发现了5万个具有这些特征的文件，相关恶意软件样本达数十万个。这些恶意软件主要包括Redline、RisePro、Mystic Stealer等窃取程序和Amadey、SmokeLoader等加载程序。多数样本与自治系统203727内的主机相连，该自治系统与东欧网络犯罪分子使用的托管服务有关。

Unfurling Hemlock的策略是利用多种分发渠道传播恶意软件，感染每个受害者时可能同时投放多达十个不同的恶意软件样本。分发文件中包含有助于成功感染的实用程序，如混淆器和禁用安全工具的程序，表明攻击者可能通过感染获得报酬。攻击者没有特定目标，意图向尽可能多的受害者传播尽可能多的恶意软件，主要动机是经济利益，这一点从投放的恶意软件类型和大规模传播行为可以推断得出。

集束炸弹攻击的主要手法

Unfurling Hemlock 的攻击从执行 WEXTRACT.EXE文件开始，该文件通过恶意电子邮件或下载器到达受害者的设备，Unfurling Hemlock通过与其合作伙伴签订的合同可以访问这些文件。恶意可执行文件包含嵌套的压缩CAB文件，每个级别都包含一个恶意软件样本和另一个压缩文件。

活动示例行为图

在解压的每个阶段，都会在受害者的计算机上安装恶意软件的另一种变体。当到达最后阶段时，文件将以相反的顺序执行 - 首先运行最近提取的恶意软件。

恶意软件执行顺序

KrakenLabs观察到了4到7个阶段，即攻击中的步骤数和传递的恶意软件数量各不相同。分析显示，该组织一半以上的攻击针对的是美国的系统，在德国、土耳其、印度和加拿大也观察到了重大活动。

在受感染的系统上传播多个恶意软件可提供高水平的冗余，从而为网络犯罪分子提供更多的机会来维持存在并从中获利。

尽管存在被发现的风险，许多攻击者仍采取这种激进的策略，希望他们的至少一些恶意软件能够在系统擦除后幸存下来。

正在分析的文件、中间步骤及其下载的恶意软件之间的关系

主要攻击目标

KrakenLabs的分析指出，在最近的恶意软件传播活动中，美国和德国是主要的目标国家，分别占据了50.8%和7.8%的样本来源比例。这种以西方国家为主要攻击对象的模式在东欧组织的网络攻击中并不罕见。同时，亚洲和中东国家也成为目标，这可能与攻击者购买的感染服务有关，一些分销商可能专门针对这些地区或在这些地区提供服务。

值得注意的是，俄罗斯也出现在目标国家的名单上，这与其地区攻击者通常不会将CIS成员国作为目标的惯例不符。俄罗斯样本的出现可能与使用非CIS成员国的分销商、代理上传以隐藏真实来源或基于该国的安全解决方案有关。

大多数样本通过API上传到Virus Total等自动化安全服务中，表明这些服务能够检测到它们。此外，一些样本也被电子邮件保护服务所检测和拦截。尽管公司和其他私人机构看似是主要目标，但这可能是由于这些组织更有可能上传样本进行恶意软件分析的幸存者偏差所致。

综合技术和恶意软件的性质来看，攻击者并没有特定的目标选择性，任何存在足够漏洞的系统都可能成为“集束炸弹”恶意软件的感染对象，不受地理位置或环境的限制。

发现的主要恶意软件

在Unfurling Hemlock攻击期间，KrakenLabs分析师观察到以下恶意软件和实用程序：

• Redline：一种流行的窃取程序，可窃取登录凭据、财务数据和加密钱包等敏感信息。可以从网页浏览器、FTP客户端和电子邮件客户端窃取数据；
• RisePro：一种专门从事凭证盗窃和数据泄露的新型窃取程序。来自浏览器、加密货币钱包和其他个人数据的目标信息；
• Mystic Stealer：以恶意软件即服务（MaaS）模型运行，能够从各种浏览器、加密货币钱包、Steam 和 Telegram 应用程序窃取数据；
• Amadey：用于下载和执行其他恶意软件的特殊下载器；
• SmokeLoader：广泛用于网络犯罪的通用引导加载程序和后门。它通常用于下载其他类型的恶意软件，可以通过欺骗合法站点的请求来掩盖其 C2 流量。
• Protection disabler：用于禁用Windows Defender和其他安全功能的实用程序。
• Enigma Packer：一种用于打包和隐藏恶意负载的工具。
• Healer.exe：一个旨在禁用保护措施的实用程序，特别是 Windows Defender。
• Performance checker：用于检查和记录恶意软件执行性能、收集有关受害者系统和感染过程成功与否的统计信息的实用程序；

• 使用内置Windows工具收集系统信息的其他实用程序。

结论和建议

KrakenLabs的分析揭示了一种新的恶意软件分发策略，该策略通过一次性部署多个恶意软件样本来最大化感染机会。这种策略允许即使主要加载器被检测或命令与控制服务器（C2）连接失败，至少有一个恶意软件样本能够成功感染。通过这种方法，攻击者不仅能够增加自己恶意软件的传播概率，还能通过付费分发其他团体的恶意软件来实现利益多样化。

KrakenLabs观察到，这种策略可能在未来被更广泛地采用，特别是考虑到ANY.RUN研究人员记录的类似活动CrackedCantil。尽管当前样本数量减少，攻击活动似乎不再活跃，但这并不代表攻击者已经停止行动，他们可能在改进技术或处于休眠状态，准备再次发动攻击。

为了抵御这种威胁，KrakenLabs建议，由于这些“集束炸弹”并不复杂，且大多数包含的恶意软件都是已知的，因此现有的反恶意软件解决方案应该能够有效检测。此外，用户应避免从不可信的来源下载、打开或执行任何内容，以减少感染风险。KrakenLabs建议用户在执行之前使用最新的防病毒工具扫描下载的文件，因为此活动中分发的所有恶意软件都有详细记录并具有已知签名。

KrakenLabs发现Unfurling Hemlock出售窃取日志和其他攻击者的初始访问权限。根据收集到的数据，研究人员自信地认为，Unfurling Hemlock的总部位于东欧国家之一。

KrakenLabs将继续分析新的恶意软件样本，作为其威胁情报解决方案的一部分。

参考资源

1、https://www.securitylab.ru/news/549628.php

2、https://outpost24.com/blog/unfurling-hemlock-cluster-bomb-campaign/

原文始发于微信公众号（网空闲话plus）：“集束炸弹”攻击！东欧黑客组织“Unfurling Hemlock”新型感染技术曝光