Snake键盘记录器在地缘政治中的应用:网络犯罪活动中对可信Java实用程序的滥用

admin 2025年7月1日14:07:33评论245 views字数 2813阅读9分22秒阅读模式
Snake键盘记录器在地缘政治中的应用:网络犯罪活动中对可信Java实用程序的滥用

S2 集团情报团队通过对手追踪发现了 Snake Keylogger 发起的一项新的网络钓鱼活动,Snake Keylogger 是一种使用 .NET 编写的俄罗斯来源窃取程序,针对各种类型的受害者,例如公司、政府或个人。

该攻击活动已被确认使用鱼叉式网络钓鱼电子邮件兜售石油产品。这些电子邮件包含一个压缩附件,该附件使用合法的 jsadebugd.exe 二进制文件和 Sideloading Dll 技术将 Snake Keylogger 加载到合法的 InstallUtil.exe 二进制文件中。jsadebugd 是一个用于调试进程的合法 Java 实用程序。然而,最近有人观察到它被恶意使用,这是之前从未有过的记录。

Snake Keylogger 通过恶意软件即服务 (MaaS) 模型进行传播,此前不同的恶意组织曾利用该模型针对不同的目标。UAC-0041 1和 TA558 2就曾利用该模型针对乌克兰开展攻击活动。

中东地缘政治紧张局势加剧,伊朗和以色列的冲突以及美国最近的介入,可能会对物流和油价产生直接的全球影响。

正如本案所检测到的,该元素可用于社会工程钓鱼攻击。这可能表明该活动的目标可能是石油行业的组织。另一方面,由于中东地区日益担忧霍尔木兹海峡一旦关闭,油价可能上涨,并可能引发物流问题,攻击者也可能利用这一主题。

从邮件正文可以看出,它试图冒充哈萨克斯坦一家主要石油公司:LLP KSK PETROLEUM LTD OIL AND GAS。哈萨克斯坦是中亚最大的石油生产国之一,也是主要的天然气生产国。

分析

该活动将使用鱼叉式网络钓鱼电子邮件来提供石油产品,其中包含包含压缩文件的恶意附件。

Snake键盘记录器在地缘政治中的应用:网络犯罪活动中对可信Java实用程序的滥用

鱼叉式网络钓鱼邮件示例

该压缩包包含多个二进制文件,其中包括易受 Sideloading Dll 技术攻击的合法可执行文件 jsadebugd.exe,该文件已被重命名为“001 PETROLEUMLTD LLP KSK SCO 1 ORIGINAL (1).exe”。用户执行该可执行文件时,将加载恶意 DLL jli.dll。

Snake键盘记录器在地缘政治中的应用:网络犯罪活动中对可信Java实用程序的滥用

压缩文件的内容

Snake Keylogger 二进制文件将存储在“concrt141.dll”文件中。为了逃避安全工具的检测,二进制数据将被添加到文件开头,紧邻 MZ 标头之前。

Snake键盘记录器在地缘政治中的应用:网络犯罪活动中对可信Java实用程序的滥用

在可执行文件开头添加的二进制代码

该二进制文件将被注入合法的InstallUtil.exe进程。作为一种持久化手段,压缩文件的内容将被复制到文件夹“%USERPROFILE%SystemRootDoc”。然后,将使用命令

“cmd.exe /C start “” /D “%USERPROFILE%SystemRootDoc” “%USERPROFILE%SystemRootDoc001 PETROLEUMLTD LLP KSK SCO 1 ORIGINAL (1).exe

创建持久化密钥

SOFTWAREMicrosoftWindowsCurrentVersionRun001PETROLEUMLTDLLPKSKSCO1ORIGINAL (1)”
Snake键盘记录器在地缘政治中的应用:网络犯罪活动中对可信Java实用程序的滥用

注册表项创建

SnakeLogger 恶意软件将使用合法网站(例如reallyfreegeoip.org和checkip.dyndns.org)发送计算机的 IP 以及原产国。

Snake键盘记录器在地缘政治中的应用:网络犯罪活动中对可信Java实用程序的滥用

恶意软件窃取的信息

Snake Keylogger 还会从各种应用程序和浏览器中窃取密码。

Snake键盘记录器在地缘政治中的应用:网络犯罪活动中对可信Java实用程序的滥用

收集浏览器和应用程序凭据

以下是样本收集数据的浏览器完整列表。

  • Google Chrome

  • Google Chrome Canary

  • Chromium

  • Brave

  • Vivaldi

  • Comodo Dragon

  • Blisk

  • Torch

  • Cốc Cốc

  • QQ Browser

  • xVast Browser

  • QIP Surf

  • Microsoft Edge

  • Nichrome Browser

  • Kometa Browser

  • Superbird

  • Opera

  • Cent Browser

  • Chedot

  • Ghost Browser

  • SRWare Iron

  • UC Browser

  • BlackHawk Browser

  • Citrio

  • Uran Browser

  • Falkon

  • Sputnik Browser

  • CoolNovo (ChromePlus)

  • Sleipnir

  • Kinza

  • Amigo

  • Epic Privacy Browser

  • 360 Browser (English)

  • 360 Browser (China)

  • XPom Browser

  • Orbitum

  • Iridium Browser

  • 7Star Browser

  • Mozilla Firefox

  • SeaMonkey

  • Comodo IceDragon

该样本收集的应用程序完整列表如下。

  • Mozilla Thunderbird

  • Microsoft Outlook

  • Foxmail

  • FileZilla

此外,该恶意软件还会收集设备的 Windows 产品密钥。

Snake键盘记录器在地缘政治中的应用:网络犯罪活动中对可信Java实用程序的滥用

产品密钥收集

所有这些信息都将通过 SMTP 协议从帐户serverhar244@gpsamsterdamqroup[.]com向harrysnakelogger@dklak[.]cam 发送邮件泄露。

Snake键盘记录器在地缘政治中的应用:网络犯罪活动中对可信Java实用程序的滥用

用于泄露的电子邮件

除了分析的样本外,我们还发现了另外29个也使用了合法的jsadebugd.exe二进制文件。这种行为此前从未被观察到,似乎是此次特定活动的特征。所有样本均被归类为同一组织,因为它们部署了Snake Keylogger家族的变种,这进一步证实了由同一攻击者领导的协同行动的假设。

结论

本文分析了“蛇形键盘记录器”的幕后黑手如何利用当前的地缘政治局势,例如近期伊朗与以色列的冲突以及霍尔木兹海峡可能关闭等因素,扩大其影响范围并感染新的目标。此外,据报道,该活动背后的组织正在使用 jsadebugd,这是一个合法的 Java 可执行文件,但存在 DLL 侧载技术漏洞,此前从未发现该技术被用于恶意目的。这表明该组织的攻击手段有所改进,旨在规避现有的检测机制。

serverhar244@gpsamsterdamqroup[.]com  发件人fiber13.dnsiaas[.]com  发送方服务器harrysnakelogger@dklak[.]cam  接收者
f099cb320a26b6284e9ca24b352b19d2109bb3df0beeded3c34377c9b934ed3b9dae36cf2664e4bd348b1c7bcd9e886243fdd86e04d854e9a49e80ce358aa86818e3d1542d9d375f2e1d4631e03e9874fca9a1655ee6d01121d0c94e138be17476618263ac3d71779c18526c5ecc75a025ad0c78212b6a2bc089b22a1b8ca5672b7602cc1521101d116995e3e2ddfe0943349806378a0d40add81ba64e359b6c

原文始发于微信公众号(Ots安全):Snake键盘记录器在地缘政治中的应用:网络犯罪活动中对可信Java实用程序的滥用

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年7月1日14:07:33
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Snake键盘记录器在地缘政治中的应用:网络犯罪活动中对可信Java实用程序的滥用https://cn-sec.com/archives/4214571.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息