Snake键盘记录器在地缘政治中的应用：网络犯罪活动中对可信Java实用程序的滥用

S2 集团情报团队通过对手追踪发现了 Snake Keylogger 发起的一项新的网络钓鱼活动，Snake Keylogger 是一种使用 .NET 编写的俄罗斯来源窃取程序，针对各种类型的受害者，例如公司、政府或个人。

该攻击活动已被确认使用鱼叉式网络钓鱼电子邮件兜售石油产品。这些电子邮件包含一个压缩附件，该附件使用合法的 jsadebugd.exe 二进制文件和 Sideloading Dll 技术将 Snake Keylogger 加载到合法的 InstallUtil.exe 二进制文件中。jsadebugd 是一个用于调试进程的合法 Java 实用程序。然而，最近有人观察到它被恶意使用，这是之前从未有过的记录。

Snake Keylogger 通过恶意软件即服务 (MaaS) 模型进行传播，此前不同的恶意组织曾利用该模型针对不同的目标。UAC-0041 1和 TA558 2就曾利用该模型针对乌克兰开展攻击活动。

中东地缘政治紧张局势加剧，伊朗和以色列的冲突以及美国最近的介入，可能会对物流和油价产生直接的全球影响。

正如本案所检测到的，该元素可用于社会工程钓鱼攻击。这可能表明该活动的目标可能是石油行业的组织。另一方面，由于中东地区日益担忧霍尔木兹海峡一旦关闭，油价可能上涨，并可能引发物流问题，攻击者也可能利用这一主题。

从邮件正文可以看出，它试图冒充哈萨克斯坦一家主要石油公司：LLP KSK PETROLEUM LTD OIL AND GAS。哈萨克斯坦是中亚最大的石油生产国之一，也是主要的天然气生产国。

分析

该活动将使用鱼叉式网络钓鱼电子邮件来提供石油产品，其中包含包含压缩文件的恶意附件。

鱼叉式网络钓鱼邮件示例

该压缩包包含多个二进制文件，其中包括易受 Sideloading Dll 技术攻击的合法可执行文件 jsadebugd.exe，该文件已被重命名为“001 PETROLEUMLTD LLP KSK SCO 1 ORIGINAL (1).exe”。用户执行该可执行文件时，将加载恶意 DLL jli.dll。

压缩文件的内容

Snake Keylogger 二进制文件将存储在“concrt141.dll”文件中。为了逃避安全工具的检测，二进制数据将被添加到文件开头，紧邻 MZ 标头之前。

在可执行文件开头添加的二进制代码

该二进制文件将被注入合法的InstallUtil.exe进程。作为一种持久化手段，压缩文件的内容将被复制到文件夹“%USERPROFILE%SystemRootDoc”。然后，将使用命令

“cmd.exe /C start “” /D “%USERPROFILE%SystemRootDoc” “%USERPROFILE%SystemRootDoc001 PETROLEUMLTD LLP KSK SCO 1 ORIGINAL (1).exe”

创建持久化密钥

“SOFTWAREMicrosoftWindowsCurrentVersionRun001PETROLEUMLTDLLPKSKSCO1ORIGINAL (1)”

注册表项创建

SnakeLogger 恶意软件将使用合法网站（例如reallyfreegeoip.org和checkip.dyndns.org）发送计算机的 IP 以及原产国。

恶意软件窃取的信息

Snake Keylogger 还会从各种应用程序和浏览器中窃取密码。

收集浏览器和应用程序凭据

以下是样本收集数据的浏览器完整列表。

• Google Chrome

• Google Chrome Canary

• Chromium

• Brave

• Vivaldi

• Comodo Dragon

• Blisk

• Torch

• Cốc Cốc

• QQ Browser

• xVast Browser

• QIP Surf

• Microsoft Edge

• Nichrome Browser

• Kometa Browser

• Superbird

• Opera

• Cent Browser

• Chedot

• Ghost Browser

• SRWare Iron

• UC Browser

• BlackHawk Browser

• Citrio

• Uran Browser

• Falkon

• Sputnik Browser

• CoolNovo (ChromePlus)

• Sleipnir

• Kinza

• Amigo

• Epic Privacy Browser

• 360 Browser (English)

• 360 Browser (China)

• XPom Browser

• Orbitum

• Iridium Browser

• 7Star Browser

• Mozilla Firefox

• SeaMonkey

• Comodo IceDragon

该样本收集的应用程序完整列表如下。

• Mozilla Thunderbird

• Microsoft Outlook

• Foxmail

• FileZilla

此外，该恶意软件还会收集设备的 Windows 产品密钥。

产品密钥收集

所有这些信息都将通过 SMTP 协议从帐户serverhar244@gpsamsterdamqroup[.]com向harrysnakelogger@dklak[.]cam 发送邮件泄露。

用于泄露的电子邮件

除了分析的样本外，我们还发现了另外29个也使用了合法的jsadebugd.exe二进制文件。这种行为此前从未被观察到，似乎是此次特定活动的特征。所有样本均被归类为同一组织，因为它们部署了Snake Keylogger家族的变种，这进一步证实了由同一攻击者领导的协同行动的假设。

结论

本文分析了“蛇形键盘记录器”的幕后黑手如何利用当前的地缘政治局势，例如近期伊朗与以色列的冲突以及霍尔木兹海峡可能关闭等因素，扩大其影响范围并感染新的目标。此外，据报道，该活动背后的组织正在使用 jsadebugd，这是一个合法的 Java 可执行文件，但存在 DLL 侧载技术漏洞，此前从未发现该技术被用于恶意目的。这表明该组织的攻击手段有所改进，旨在规避现有的检测机制。

serverhar244@gpsamsterdamqroup[.]com  发件人fiber13.dnsiaas[.]com  发送方服务器harrysnakelogger@dklak[.]cam  接收者

f099cb320a26b6284e9ca24b352b19d2109bb3df0beeded3c34377c9b934ed3b9dae36cf2664e4bd348b1c7bcd9e886243fdd86e04d854e9a49e80ce358aa86818e3d1542d9d375f2e1d4631e03e9874fca9a1655ee6d01121d0c94e138be17476618263ac3d71779c18526c5ecc75a025ad0c78212b6a2bc089b22a1b8ca5672b7602cc1521101d116995e3e2ddfe0943349806378a0d40add81ba64e359b6c