警惕！新型CMoon USB蠕虫针对俄罗斯进行数据盗窃攻击

2024年8月7日，卡巴斯基发布研究报告——称一款名为“CMoon”的新型自传播蠕虫自2024年7月初起，通过被攻陷的燃气供应公司网站在俄罗斯传播。这款蠕虫能够窃取账户凭证及其他数据。根据Kaspersky的研究人员发现，该蠕虫具备多种功能，包括加载附加负载、截屏以及发起分布式拒绝服务（DDoS）攻击。根据分发渠道的情况，攻击者的目标显然是高价值对象，而非随机的互联网用户，表明其操作具有高度的复杂性。卡巴同时警告，该USB蠕虫的传播可能还有继续。

7月底，卡巴斯基实验室的威胁监控系统发现，在一家为俄罗斯联邦某城市提供气化和燃气供应服务的公司网站上出现了恶意软件。分析过程中发现，网站上几个部分提供的下载规范文件链接（格式为.docx、.xlsx、.rtf和.pdf）被替换成了其他链接，这些链接指向了位于同一网站不同目录下的恶意可执行文件。恶意软件的文件名和链接地址复制了原始文件的名称，但增加了.exe扩展名。总共有大约两打链接被替换，每个链接下载的都是自解压归档文件，其中包含原始文档（在启动时打开）以及相同的可执行文件——有效载荷。

Cmoon简述

CMoon是一个用.NET编写的蠕虫，具有广泛的数据盗窃和远程控制功能。一旦植入用户机器，它首先尝试确定是否安装了杀毒软件，然后复制自己到相应的文件夹：%LocalAppData%<antivirus><selfname>.dat。它还会在%AppData%MicrosoftWindowsStart MenuProgramsStartup<antivirus>.lnk创建一个自启动快捷方式。如果蠕虫未被杀毒软件发现，它将使用字符串system代替<antivirus>。之后，恶意软件会将刚刚创建的文件和文件夹的创建日期和最后修改日期更改为预设的：2013.05.22, 10:32:16。

安装后，可执行文件立即开始监控连接的USB驱动器。这允许窃取攻击者可能感兴趣的文件，同时也将蠕虫复制到它们上，并感染其他计算机，这些计算机将使用存储设备。

除了自我传播功能外，蠕虫还能够接收远程服务器的命令，特别是执行以下任务：

• 加载并执行攻击者指定的其他恶意文件；

• 截取屏幕截图；

• 对攻击者指定的互联网资源发起DDoS攻击；

• 收集本地网络中可用资源的信息（IP地址和开放端口）；

• 将受感染机器上的文件发送到远程服务器。

为了实现最后一个功能，蠕虫已经内置了一系列不变的路径、掩码和关键词，这些是攻击者感兴趣的。特别是，恶意软件收集来自不同应用程序的文件。例如，从浏览器中收集包含保存的密码、cookie文件、书签、访问历史记录以及用于自动填充表单的数据，包括信用卡信息。

传播机制

Kaspersky表示，感染链始于用户点击网站上提供的各种法规文件链接（如docx、.xlsx、.rtf和.pdf）。攻击者将这些文档链接替换为恶意可执行文件的链接，这些文件同样托管在该网站上，并以自解压档案的形式提供给受害者，档案中包含了原始文档和CMoon负载。

“我们没有发现其他传播方式，因此我们认为该攻击仅针对特定网站的访问者，”Kaspersky报告称。

在燃气公司被通知该漏洞后，恶意文件和链接于2024年7月25日从其网站上被移除。然而，由于CMoon具有自我传播机制，其分发可能会继续自行进行。

重点关注口令文件

CMoon将自己复制到新创建的文件夹中，该文件夹以检测到的防病毒软件名称命名，或在未检测到防病毒软件的情况下，命名为类似系统文件夹的名称。该蠕虫在Windows启动目录中创建快捷方式，以确保在系统启动时运行，从而在重启之间保持持久性。

为了避免在手动用户检查时引起怀疑，它还将文件的创建和修改日期更改为2013年5月22日。

蠕虫会监控新连接的USB驱动器，当任何USB驱动器连接到感染的计算机时，它会用指向自身可执行文件的快捷方式替换所有文件（'LNKs'和'EXEs'除外）。CMoon还会寻找USB驱动器上存储的有用文件，并将其暂时存储在隐藏目录（'.intelligence'和'.usb'）中，然后将其传输到攻击者的服务器。

Cmoon首先收集各种文件，主要包括.doc、.docx、.xls、.xlsx、.ppt、.pptx、.pdf、.txt、.rtf、.odt、.ods、.odp、.csv、.html、.htm、.epub、.md、.tex、.wpd、.wps、.pub、.xps、.odg、.ott、.ots、.otp、.msg、.eml，这也是此类攻击的常规动作。

关键是CMoon具有标准的信息窃取功能，目标包括加密货币钱包、浏览器存储的数据、消息应用程序、FTP和SSH客户端以及包含“secret”、“service”或“password”文本字符串的USB或用户文件中的文档。一个有趣且稍微不寻常的功能是，它还重点关注可能包含账户凭证信息的文件，如.crt、.cer、.pem、.der、.p7b、.p7c、.pfx、.p12、.sst、.csr、.key、.private、.sig、.signature、.p7s、.asc、.gpg、.authenticode、.kdb、.kdbx、.agilekeychain、.opvault、.lastpass、.psafe3、.ovpn、.log、.cfg、.conf文件。这些后缀的文件是典型的VPN设备证书文件、口令管理口令库文件、公私钥文件、PGP密钥文件。

该恶意软件还可以下载和执行附加负载，捕获被侵入设备的屏幕截图，并对指定目标发起DDoS攻击。被窃取的文件和系统信息被打包并发送到外部服务器，在那里它们被解密（RC4）并使用MD5哈希进行完整性验证。

Cmoon危害可能还在扩散中

卡巴报告称，CMoon蠕虫攻击具有针对性特征：只有访问特定组织网站的访客可能成为受害者，该组织在俄罗斯境内提供服务，对于两个数十份被替换的文件，攻击者为每份文件创建了单独的自解压归档文件，包含蠕虫，这表明了相当细致的准备。目标攻击的特征还包括蠕虫收集的文件标题中包含“secret”、“service”、“work”、“password”等关键词。同时应当指出，通过受感染的网站传播恶意软件并不是最常见的目标攻击技术。更常见的这类攻击始于网络钓鱼邮件。卡巴的监控系统使其能够快速中和这一威胁，但目前尚不清楚是否有其他类似的网站受到感染。

Kaspersky特意提醒，可能会有更多网站分发CMoon，因此需要保持警惕。尽管此次攻击活动针对性强，但蠕虫的自我传播特性可能使其感染到意外的系统，并为机会主义攻击创造条件。无论这次活动的目标多么明确，蠕虫自主传播的事实意味着它可能触及非预期的系统，并为机会性攻击创造条件。

参考资源

1、https://www.bleepingcomputer.com/news/security/new-cmoon-usb-worm-targets-russians-in-data-theft-attacks/

2、https://securelist.ru/how-the-cmoon-worm-collects-data/109988/

原文始发于微信公众号（CNCERT国家工程研究中心）：警惕！新型CMoon USB蠕虫针对俄罗斯进行数据盗窃攻击