越南攻击组织针对数字营销专业人士展开复杂的网络攻击

1、事件概述

网络安全公司Cyble最近揭露了越南攻击者针对数字营销专业人士的复杂攻击策略。这些攻击者通过精心设计的钓鱼邮件、虚假的社交媒体账户和伪造的网站，利用多层次的策略来获取敏感信息、破坏品牌声誉或进行金融诈骗。数字营销专业人士由于能够访问敏感客户数据、营销策略和品牌资产，成为了网络犯罪分子的理想目标。

研究人员发现这些攻击通常始于包含钓鱼附件的垃圾邮件，其中伪装成PDF文件的LNK文件触发基于PowerShell的命令，下载并执行外部托管的额外脚本。这些脚本高度编码和混淆，以逃避安全工具的检测。攻击者使用多种逃避技术，包括检查虚拟机、沙箱环境和调试工具，确保恶意代码在非虚拟化环境中隐蔽运作，同时绕过标准安全防御。一旦环境被确认为没有沙箱或分析工具，攻击者使用硬编码密钥解密有效负载，执行Quasar RAT，从而获得对被妥协系统的完全控制。这允许他们进行数据泄露、持久访问、数据盗窃，甚至部署额外的恶意软件。

自2022年7月起，该越南攻击组织开始传播Ducktail恶意软件，这是一种专门针对数字营销专业人士的信息窃取器。随着时间的推移，该组织不仅扩大了其运营范围，分发额外的信息窃取器和远程访问木马（RAT），还利用恶意软件即服务（MaaS）来促进有效负载的传递，使其攻击活动更加多样化和可扩展。这些攻击活动的战术、技术和程序（TTPs）与WithSecure先前观察到的相似，进一步将这个活动与同一组织联系起来。此外，威胁行为者还在传递诸如Stromkitty之类的其他恶意软件家族，显示了他们的高度组织性和适应性。这些攻击者不断更新其策略和技术，以应对安全防御措施的发展，使得防御这些威胁变得更加困难，需要先进的技术和深入的情报来识别和缓解这些攻击威胁。

越南攻击者对数字营销专业人士的攻击链条展现了其高度组织化和技术化的网络犯罪能力。以下是攻击的详细技术分析过程：

图1 攻击流程图

初始访问： 

攻击者通过发送包含钓鱼附件的垃圾邮件来获得初始访问权限。这些邮件中包含一个伪装成PDF文件的LNK文件，实际上是一个压缩档案。用户被诱骗点击这些伪装的PDF文件，实际上是LNK文件，这些文件触发了基于PowerShell的命令，导致会下载和执行外部托管的额外脚本。

执行及持久性：

这些脚本被高度编码和混淆，以逃避安全工具的检测。攻击者使用这些脚本来进一步执行恶意活动。攻击者还使用了多种逃避技术，包括检查虚拟机、沙箱环境和调试工具，以确保恶意代码在非虚拟化环境中保持未被发现并隐蔽运作，同时绕过标准安全防御。一旦环境确认没有沙箱或分析工具，攻击者使用硬编码密钥解密有效负载，导致Quasar RAT的执行。

权限提升：

攻击者使用了一个.NET可执行文件来检查当前进程是否具有管理员权限。如果没有，攻击者会修改当前进程的进程环境块（PEB）中的映像路径和命令行，将其更改为“C:Windowsexplorer.exe”。通过PowerShell命令配合“-Verb runas”选项，攻击者启动当前进程的新实例，以隐藏模式运行并提升至管理员权限。如果PowerShell方法失败，攻击者会使用备用方法，通过调用COM对象（CMSTPLUA），使用CLSID “3E5FC7F9-9A51-4367-9063-A120244FBEC7”并加上前缀“Elevation:Administrator!new:”来调用ShellExec，启动当前进程的新实例，并提升至管理员权限。

防御规避：

攻击者在.NET可执行文件执行时，修改了ntdll.dll中的“EtwEventWrite”函数，通过插入特定的opcode代码来禁用事件跟踪。在32位系统上，攻击者用opcode “0xC2, 0x14”替换函数，这对应于汇编指令RETN 20，导致函数提前返回并绕过其正常操作。在64位系统上，攻击者使用opcode “0xC3”，对应于指令RET，使函数立即返回。此外，攻击者还从其资源部分解密数据，使用AES解密和硬编码的base64密钥和IV。解密后的数据随后使用GZip进行解压缩，以进一步隐藏其恶意行为。

发现：

在攻击的发现阶段，攻击者采取了一系列技术手段来收集目标系统的详细信息。他们利用脚本查询操作系统的注册表，这一过程涉及检查特定的注册表项，以确定系统是否运行在虚拟化环境或沙箱中。这种信息对于攻击者来说至关重要，因为它能帮助他们识别目标环境是否适合执行他们的恶意活动，或者是否需要采取额外的规避措施来对抗安全分析工具。攻击者使用Windows Management Instrumentation (WMI) 控制来搜集系统信息，包括操作系统版本、硬件配置、网络设置和正在运行的服务等。

命令与控制：

在命令与控制阶段，攻击者通过Quasar RAT建立了一个加密的通信通道与他们的C2服务器进行通信。这个通道在早期阶段使用了AES加密，确保了数据传输的安全性和隐蔽性，防止被网络监控和安全工具检测。这种加密的C2通信对于攻击者来说至关重要，因为它允许他们安全地接收指令、上传和下载文件、执行系统命令，以及其他恶意活动，而不会暴露他们的行动。此外，Quasar RAT还通过标准的HTTP或其他应用层协议与C2服务器通信，这种通信方式在网络流量中难以被区分，从而减少了被检测的风险。

本次攻击事件揭示了一个复杂且多层次的攻击策略，旨在部署Quasar RAT。攻击者使用看似无害的LNK文件作为初始入口点，通过沙箱规避、反虚拟化检查以及权限提升技术（例如PowerShell和CMSTP），确保有效负载绕过检测并在受感染的系统上建立持久控制。攻击者对有效负载使用AES加密，结合反调试技术和高级.NET基础混淆，表明他们非常注重规避传统安全解决方案，并使分析和逆向工程过程复杂化。攻击的模块化结构，其中一些规避技术未被使用但根据目标环境随时准备部署，突显了威胁行为者的适应能力和克服不同防御水平的能力。此次攻击活动与一个自2022年7月以来一直活跃的越南威胁组织的持续运营紧密相关。该组织最初传播Ducktail恶意软件，针对数字营销专业人士。随着时间的推移，该组织已经演变，通过使用恶意软件即服务（MaaS）扩展其运营范围，并在多个活动中复制其战术、技术和程序（TTPs）。

参考链接：

https://cyble.com/blog/vietnamese-threat-actors-multi-layered-strategy-on-digital-marketing-professionals/

原文始发于微信公众号（白泽安全实验室）：越南攻击组织针对数字营销专业人士展开复杂的网络攻击