IBM X-Force 跟踪了数十个威胁行为者团体。X-Force 跟踪的 Hive0137 组织自 2023 年 10 月以来一直是一个高度活跃的恶意软件传播者。Hive0137活动被 X-Force 提名为2023 年活动中“最复杂的感染链”,传播 DarkGate、NetSupport、T34-Loader 和 Pikabot 恶意软件负载,其中一些可能用于勒索软件攻击的初始访问。感染链中使用的加密器也表明与 ITG23(Conti/Trickbot 组织)的前成员关系密切。在执法部门开展名为 Operation Endgame 的行动后,发现 Hive0137 传播了一个名为 WarmCookie 的新后门。
在持续跟踪 Hive0137 网络钓鱼行动后,X-Force 认为,当前 Hive0137 活动中使用的电子邮件很可能是使用大型语言模型 (LLM) 创建的,这大大提高了它们的真实性和对基于签名的检测的弹性。有趣的是,这种能力也在意大利的一次活动中得到了展示,该活动传播了归因于不同分销商的 Dave 加密 X-Worm,其采用的技术与 Hive0137 类似。此外,X-Force 发现的潜在 Hive0137 工具似乎是使用生成式人工智能创建的,这表明该组织愿意采用新技术来达到恶意目的。
主要发现:
-
Hive0137 是一个高度活跃的电子邮件垃圾邮件发送者,它分发用于勒索软件攻击初始访问的恶意软件
-
Hive0137 有效载荷使用的加密器表明其与 ITG23(Conti/Trickbot 组织)的前成员关系密切
-
在 Operation Endgame 之后,X-Force 发现了一种名为 WarmCookie 的新 Hive0137 有效载荷
-
X-Force 认为 Hive0137 可能利用LLM来协助脚本开发,以及创建真实而独特的网络钓鱼电子邮件
-
在意大利的攻击活动中也发现了疑似基于 LLM 的网络钓鱼,传播了 Dave 加密的 X-Worm
Hive0137 背景
Hive0137 是一个电子邮件分发者,自 2023 年 10 月以来一直受到 X-Force 的跟踪。该组织能够执行 X-Force于 2 月首次报告的异常复杂的感染链。分析显示,Hive0137 发送的电子邮件包含恶意 PDF 附件或 URL,这些附件或 URL 指向 DarkGate、NetSupport 和一个名为“T34-Loader”的新加载程序。Hive0137 活动与 Proofpoint 的TA571集群重叠,后者也指出了其电子邮件活动的复杂性。在 2023 年 12 月的活动中,Hive0137 利用Snow 加密器注入了新的 T34-Loader。值得注意的是,Snow 加密器是由 Trickbot/Conti 集团(又名 ITG23)的前成员开发的,这表明开发或使用 T34-Loader 的威胁行为者与 ITG23 之间存在关系。X-Force 进一步怀疑 Hive0137 传递的有效载荷可能用于初始访问,从而导致勒索软件攻击。
先前的活动
在 2024 年初,X-Force 记录了多起使用新载荷和加密器的 Hive0137 活动。Hive0137 电子邮件主要以英文撰写,主题多种多样,包括报销申请、发票、项目预算审查、报告分析和会议演示。
从 2024 年 2 月中旬开始,X-Force 观察到 Hive0137 正在尝试使用新的附件类型,这表明至少暂时放弃了以前首选的方法,包括使用 PDF 传递恶意 URL。该活动利用包含 UNC 文件路径形式的恶意 URL 的 Excel 附件,例如\147.182.156[.]154shareEXCEL_DOCUMENT_OPEN.XLSX.vbs,单击后会下载下一阶段;通常是 VBS 或 JavaScript 文件。然后,该文件将下载并执行最终的 DarkGate 有效负载。
特别值得注意的是,在并行的 Hive0118(又名 TA577)活动中观察到了技术的变化。Hive0118 是一个电子邮件分发者,经常为与 Trickbot/Conti 集团 (ITG23) 有联系的威胁行为者进行的勒索软件攻击提供初始访问权限。该组织使用线程劫持/窃取电子邮件,并在广泛的活动中针对全球实体。在观察到的案例中,该组织分发了 Dave 加密的 PikaBot 样本。在之前的活动中,Hive0118 使用各种与ITG23 相关的加密器(例如 Forest、Snow 和 Quicksand)传播了包括 DarkGate、Qakbot 和 IcedID 在内的恶意软件。
2024 年 3 月下旬,Hive0137 还分发了 Dave 加密的 Pikabot 有效载荷。这些载荷通过恶意 HTML 文件传递,利用“search-ms”协议从远程 SMB 共享中分阶段传递有效载荷。Pikabot 的传播进一步证实了 X-Force 的评估,即 Hive0137 活动用于初始访问,从而导致勒索软件攻击。Pikabot 加载程序自 2023 年初开始活跃,与 Qakbot 有许多相似之处,并经常由 Hive0118 传播,尤其是在 2023 年末 Qakbot 中断之后。与 Qakbot 一样,Pikabot 感染通常会导致 BlackBasta 勒索软件。
终局之后的活动
5 月底,全球执法机构打击行动 Operation Endgame 针对包括 Pikabot 在内的多个恶意软件僵尸网络采取了行动。此后,Hive0137 再次将其负载更改为 NetSupport,利用嵌入宏的 Microsoft Project (.mpp) 文件从远程服务器下载最终负载。NetSupport 负载以 MSIX 文件的形式交付。Hive0137 后来发起的 NetSupport 活动在 HTML 文件中使用了一种新技术,将恶意 PowerShell 代码复制到用户的剪贴板中,并提示用户在不知情的情况下执行该代码。
6 月中旬,Hive0137 电子邮件活动使用了相同的 HTML 剪贴板技术,并结合了双重 Base64 编码进行混淆。在此活动中,有效载荷是一个名为 WarmCookie 的新 Forest 加密后门,Elastic Security Labs于 2024 年 6 月首次报告。2024 年 4 月下旬的先前 WarmCookie 感染链依赖 JavaScript 和 PowerShell 阶段来下载和执行后门。
图 1:Hive0137 活动分发 Forest 加密的 WarmCookie。
与其他持久性恶意软件僵尸网络(如 Qakbot 或 Pikabot)类似,WarmCookie 支持多个 C2 命令来枚举受感染的机器、截取屏幕截图、下载和上传文件以及运行任意命令。
值得注意的是,X-Force 在 2024 年 7 月初观察到了一场更大规模的攻击活动,该活动专门针对讲意大利语的受害者。在分析了这些电子邮件后,我们得出结论,这些电子邮件是由与 Hive0137 不同的垃圾邮件发送者分发的,但仍使用类似的技术来生成独特的主题和电子邮件正文。
图 2:针对意大利语受害者的以 Paypal 为主题的活动。
这些电子邮件发送了包含链接到远程 SMB 服务器上的有效负载的 .URL 文件的 ZIP 存档。最终的有效负载被识别为 Dave 加密的 X-Worm。Dave-crypter 是 Hive0118 和 Hive0137 使用的 ITG23 加密器之一。然而,它与 X-Worm 等商用 RAT 配对的情况并不常见。
X-Force 观察到 Hive0137 使用相同的加密器探索新的有效载荷,这可能表明在 Operation Endgame 结束后进入了实验阶段。这些组织可能正在努力寻找 Pikabot 和其他以前使用的恶意软件后门的合适继任者,以促进他们未来的行动。
网络钓鱼——人工智能用例
猫捉老鼠游戏
对于专门通过网络钓鱼传播恶意软件的初始访问代理 (IAB) 来说,威胁形势多年来出现了几种新的有趣技术。最有效的技术之一,由 Emotet 推广,Hive0118 仍在使用,被称为线程劫持。线程劫持的有效性很大程度上归功于其真实性。通过使用恶意电子邮件劫持被盗电子邮件线程,受害者很容易被欺骗,以为这是原始被盗对话的一部分。然而,随着电子邮件安全解决方案开始迎头赶上,威胁行为者被迫继续在永无止境的猫捉老鼠游戏中进化。现代网络钓鱼检测不仅使用威胁情报来识别已知的恶意哈希,还使用电子邮件主题、附件文件名和电子邮件正文等。因此,威胁行为者已经开始适应,通过引入这些属性的随机扰乱,试图确保其活动中的每封电子邮件都有唯一的附件哈希、文件名、主题和正文。
例如,Hive0137 和 Hive0118 都使用文件名模式来实现这一点。Hive0137 依赖于字母数字随机字符串,而 Hive0118 在以下示例中使用基于单词表的乱序。
图 3:Hive0137 HTML 活动提供 NetSupport。
图 4:Hive0118 PDF 活动导致中间人 (AitM) 网络钓鱼。
类似的技术也用于电子邮件主题。在线程劫持活动的前几个阶段,被盗电子邮件主题前面通常会有“Re:”或“FWD:”或类似的字符串。Hive0118 随后开始删除这些字符串,并在其最新活动中尝试通过删除和添加主题中的单个字符来扰乱原始主题,试图逃避签名检测。
X-Force 观察到 Hive0137 倾向于采用一种不同的方法。与大多数其他分销商不同,该组织并不依赖通过在电子邮件主题中添加随机 ID 号来使用加密技术,而是使用 LLM 来生成或改写网络钓鱼电子邮件。随着人工智能技术的普及,参与者可以使用该功能生成数千封独特且听起来自然的网络钓鱼电子邮件,这是合乎逻辑的。最近观察到的每一次 Hive0137 活动通常至少有一个特定的网络钓鱼主题,例如薪水通知、付款详情或项目更新。这可能表明,活动中的所有电子邮件都可能是由极少数母网络钓鱼电子邮件生成的,这些电子邮件被用作创建改写版本进行分发的提示。
X-Force 的观察表明,Hive0137 使用可能由 LLM 生成的释义可以追溯到 2023 年 10 月。在几次活动中,他们混合使用了释义和随机数扰乱技术。以下示例展示了 Hive0137 活动中使用的不同主题。
2024 年 5 月 9 日(PDF 和 XLSX 活动): 2024 年 5 月初的活动使用了先前已知的添加随机数的主题扰乱技术。
|
采购订单 – <random_integers> 单独汇款通知:付款参考号 - <random_integers> 语句 <random_integers> 回复:TT 指示和赔偿 #<random_integers> 回复:SMART 的 RFQ | <random_integers> 回复:延迟付款 <random_integers> FW:2024 年 4 月增值税 – <random_integers> |
滚动查看完整表格
2024 年 5 月 14 日(HTML 活动): 2024 年 5 月中旬的活动除了使用反复改述主题的技术外,还使用了传统的加扰技术。
|
项目 #<random_integers> 采购订单副本针对询价编号:<random_alphanum> 代码:<random_integers> 供应商:<random_integers> 供应商代码:<random_integers> 商品代码 #<random_integers> 询价<random_integers>招标.Reg 未结清的 <random_float> Cr: SCCL – PO 有效性扩展要求 企业报销账单提交 企业报销发票提交 办公家具报销发票 办公室家具费用 客户招待费发票 招待客户费用 客户招待费账单 特殊项目材料发票 特殊任务材料发票 |
滚动查看完整表格
2024 年 5 月 28 日(HTML 活动):此活动使用了 5 月 14 日活动以及以下活动的主题。
|
健康与安全材料支出 支付独立顾问费用 独立顾问的报酬 信使服务费 异地办公服务费 偏远仓库的每月账单 项目供应品账单 学习会茶点费用 公司会议饮料支出 行政会议茶点费用 |
滚动查看完整表格
2024 年 6 月 26 日(PDF 活动):
|
修改薪资详情 修改后的薪资数据 修改后的补偿细节 更新薪酬信息 更新薪资详情 关于你的工资的重要信息 奖金及薪资信息 奖励和工资数据 关键工资警报 基本薪资警示 修改后的薪资细节 您的工资报告 您的工资单详细信息 奖励和薪资信息 奖励和付款细节 激励和薪酬数据 奖励和工资数据 |
滚动查看完整表格
Hive0137 似乎也对其钓鱼邮件的正文采用了同样的方法。在大多数活动中,邮件正文都遵循既定的主题和格式,然后进行改写。以下是 6 月 26 日活动中的两组三个示例,按其父提示分组:
家长提示1:
|
问候。 附件包含有关您通常三个月付款的详细说明。 请检查一下。 如果您需要任何解释,我们会尽力为您提供帮助。 温暖的问候! 你好, 所附文件包含有关您每季度定期付款的规范。 请检查一下。 如果您需要任何澄清,我们会随时为您提供帮助。 亲切的问候, 问候, 所附记录包含有关您三个月定期付款的数据。 请检查一下。 如果您需要任何进一步的信息,我们将随时为您提供帮助。 亲切的问候! |
滚动查看完整表格
家长提示2:
|
下午好, 此期间提供专属奖金。 请查看所附记录以获取详细信息。 如果您有任何疑问,请随时与我们联系。 温暖的问候。 问候, 这个月你收到了奖金。 详细信息包含在所附记录中。 如果您有任何疑问,请随时联系我们。 真挚地。 你好。 本次您已获得奖励。 数据包含在附件中。 如果您有任何疑问,请随时与我们联系。 问候。 |
滚动查看完整表格
在分析了电子邮件正文和主题后,X-Force 断言这些邮件很有可能是由 LLM 生成的,原因如下:
-
电子邮件结构非常一致,表明这些是在自动化过程中生成的。
-
释义并非只是用同义词替换简单的单词。改写后的句子出现多次,需要庞大的短语数据库和特定逻辑才能准确无误地拼凑起来。
-
内容看起来不太有创意,因此不太可能是人类撰写的。
-
在选择常用词的同义词时,这些电子邮件也显示出缺乏创造力。研究表明,法学硕士可能会过度使用某些词。在分析了数千封电子邮件后,X-Force 发现,无论是否改写,他们都明显偏向某些词,而这不太可能是人工编写的文本造成的。
-
X-Force 通过提示法学硕士 (LLM) 解释示例电子邮件来重现类似的电子邮件。
7 月份的多语言版本
2024 年 6 月 30 日至 7 月 1 日,X-Force 观察到一场针对意大利的大型网络钓鱼活动,该活动以 PayPal 为主题,导致 Dave 加密的 X-Worm 被传播。我们认为它是由不同的电子邮件分发商发送的,但它仍与之前的 Hive0137 活动有几分相似之处。这是 X-Force 第一次观察到使用疑似 LLM 生成的其他语言电子邮件。为了进行比较,以下是该活动的释义摘录示例:
|
尊敬的顾客, 您的发票已于 2024 年 7 月 1 日成功支付。 尊敬的顾客, 我们通知您付款已成功。 日期和时间:2024 年 6 月 30 日 尊敬的顾客, 这是为了确认发票已成功支付。 日期和时间:2024 年 7 月 1 日 感谢您对我们服务的信任。 尊敬的顾客, 我们很高兴地通知您,您的付款已于 2024 年 7 月 1 日成功收到。 |
滚动查看完整表格
值得注意的是,主题仍然是英文:
|
付款确认及致谢 付款确认和订单回顾 付款确认 付款成功通知 订单付款信息 感谢您的订购和付款 付款已完成 – 订单回顾 |
滚动查看完整表格
因此,X-Force 预计 Hive0137 和其他相关电子邮件分发者将来会继续将其网络钓鱼电子邮件生成技术扩展到更多语言。
取证辅助脚本
Hive0137 使用的 PDF 钓鱼电子邮件经常利用流行的在线营销平台 Adclick (doubleclick)。钓鱼电子邮件中提供的 URL 会将受害者重定向到各种类型的恶意下载。2024 年 6 月 20 日,X-Force 重新分析了之前收集的 Adclick URL,发现它现在重定向到了不同的主机:
该 URL 可下载payment_june_2024-7a613.mpp ( 86ea22f95841f79ff10391858c1f38f8a694adf625a5d7cc49e47903c55dc8a8),这是一个包含多条俄语注释的 Python 文件。使用 .mpp 扩展名的文件通常与 Microsoft Project 文件格式相关联,其中包含项目时间表、预算和其他相关数据。X-Force 最近观察到Hive0137 使用 MPP 文件分发 NetSupport RAT,下载的 .MPP 文件包含 Python 代码的情况并不常见。
下载的 Python 脚本可用作将恶意 JavaScript 注入受感染 WordPress 网站的工具。托管 JavaScript 的网站可以从 GitHub 存储库中托管的文本文件中检索:
该文本文件包含以下 URL:
检查 GitHub 存储库后,发现多个文本文件包含多个链接到awards2tools[.]shop 的URL,这些 URL 很可能被参与者用于开展操作。
Python 文件中的大量俄语注释和编码风格让 X-Force 相信它很可能是使用 LLM 创建的,带有俄语提示。为了验证 LLM 生成与发现的脚本类似的脚本的能力,研究人员尝试使用 LLM 重现该脚本,以下提示产生了 AI 生成的代码,其注释字符串与payment_june_2024-7a613.mpp 类似。
|
请为我生成一个使用 XML-RPC 协议编辑 WordPress 帖子的Python 脚本。它应该读取输入文件“input.txt”,每行包含 server_url、用户名、密码和 post_id。每个 WordPress 帖子都应设置为 Javascript alert( 1 ) HTML 脚本 |
滚动查看完整表格
图6:攻击者获得一个Python脚本。
图 7:X-Force AI 生成的用于比较的研究脚本。
Python 文件在整个代码中包含俄语字符串。下表概述了这些字符串的机器翻译。
|
线 |
俄语 |
英文翻译 |
|
7 |
创建 XML-RPC 服务器对象 |
创建 XML-RPC 服务器对象 |
|
10 |
设置当前方法调用的超时时间 |
为当前方法调用设置超时 |
|
13 |
获取有关帖子的信息 |
获取有关帖子的信息 |
|
16 |
从帖子对象中删除附件(如果有) |
删除帖子对象中的附件(如果有) |
|
20 |
编辑帖子内容(在本例中,向内容添加文本 |
编辑帖子内容(在本例中,向内容中添加文本) |
|
23 |
编辑帖子 |
编辑帖子 |
|
27 |
编辑成功 |
成功编辑 |
|
31 |
编辑帖子时出错 |
编辑帖子时出错 |
|
45 |
连接服务器超时 |
连接服务器超时 |
|
56 |
连续错误的最大数量,之后程序将继续进行下一次访问 |
程序连续出现的最大错误数,超过该数程序将转到下一个访问 |
|
73 |
已达到连续错误的最大数量。让我们继续进行下一个访问 |
已达到连续错误的最大次数。继续进行下一次访问 |
|
74 |
继续进行下一个访问 |
继续下一个访问 |
滚动查看完整表格
攻击者获取的 Python 文件与 AI 生成的研究代码之间存在相似性,这表明 Hive0137 可能利用 AI 协助网络行动。攻击者的基础设施可能出现短暂配置错误,导致 Python 文件被下载。
结论
作为最活跃的恶意软件分发者之一,Hive0137 表现出探索新负载和技术(如 GenAI)的意愿。他们已迅速与 TA577 等其他知名分发者达到同一水平,并可能负责未来的网络钓鱼活动,为勒索软件关联方提供初始访问权限。Hive0137 的意图、能力和与其他团体的关系对世界各地的组织构成了直接威胁。随着威胁行为者加快步伐并越来越多地将 AI 技术用于恶意目的,组织必须了解最新的威胁及其保持强大安全态势的能力。
建议:
我们鼓励各组织查看以下安全建议:
-
定期更新和修补应用程序
-
确保防病毒软件和相关文件是最新的
-
培训用户对电子邮件链接和附件保持高度谨慎,不要打开不常见的文件类型
-
考虑阻止脚本执行(例如 PowerShell/VBS/HTA/JS/BAT)或将默认应用程序更改为记事本
-
实施多因素身份验证并监控泄露的企业凭证
|
指标 |
指示器类型 |
语境 |
|
https://narkology[.]top/3.jpeg |
网址 |
Forest-crypted WarmCookie 下载地址 |
|
ef74cef9deeb24b497689857768a2364ffdc1d47a16af4825aba1e2168e49ec1 |
SHA256 |
森林加密的WarmCookie |
|
185.49.70[.]98 |
知识产权 |
暖曲奇 C2 |
|
62.173.141[.]99 |
知识产权 |
托管 Dave 加密的 X-Worm 的 SMB 服务器 |
|
473c0737f6125ad0dff41521ab1e6331cd457c3253556b2bce4482ebf86e829b |
SHA256 |
Dave 加密的 X-Worm |
|
newsferinfo[.]com |
领域 |
X-Worm C2 |
|
continentalgames[.]顶部 |
领域 |
X-Worm C2 |
|
https[:]//bien-fait[.]net/wp-content/uploads/gravity_forms/downmpp[.]php |
网址 |
Hive0137下载地址 |
滚动查看完整表格
原文始发于微信公众号(河南等级保护测评):Hive0137 和 AI 补充的恶意软件分布
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论