S2 集团情报团队通过对手追踪发现了 Snake Keylogger 发起的一项新的网络钓鱼活动,Snake Keylogger 是一种使用 .NET 编写的俄罗斯来源窃取程序,针对各种类型的受害者,例如公司、政府或个人。
该攻击活动已被确认使用鱼叉式网络钓鱼电子邮件兜售石油产品。这些电子邮件包含一个压缩附件,该附件使用合法的 jsadebugd.exe 二进制文件和 Sideloading Dll 技术将 Snake Keylogger 加载到合法的 InstallUtil.exe 二进制文件中。jsadebugd 是一个用于调试进程的合法 Java 实用程序。然而,最近有人观察到它被恶意使用,这是之前从未有过的记录。
Snake Keylogger 通过恶意软件即服务 (MaaS) 模型进行传播,此前不同的恶意组织曾利用该模型针对不同的目标。UAC-0041 1和 TA558 2就曾利用该模型针对乌克兰开展攻击活动。
中东地缘政治紧张局势加剧,伊朗和以色列的冲突以及美国最近的介入,可能会对物流和油价产生直接的全球影响。
正如本案所检测到的,该元素可用于社会工程钓鱼攻击。这可能表明该活动的目标可能是石油行业的组织。另一方面,由于中东地区日益担忧霍尔木兹海峡一旦关闭,油价可能上涨,并可能引发物流问题,攻击者也可能利用这一主题。
从邮件正文可以看出,它试图冒充哈萨克斯坦一家主要石油公司:LLP KSK PETROLEUM LTD OIL AND GAS。哈萨克斯坦是中亚最大的石油生产国之一,也是主要的天然气生产国。
分析
该活动将使用鱼叉式网络钓鱼电子邮件来提供石油产品,其中包含包含压缩文件的恶意附件。
鱼叉式网络钓鱼邮件示例
该压缩包包含多个二进制文件,其中包括易受 Sideloading Dll 技术攻击的合法可执行文件 jsadebugd.exe,该文件已被重命名为“001 PETROLEUMLTD LLP KSK SCO 1 ORIGINAL (1).exe”。用户执行该可执行文件时,将加载恶意 DLL jli.dll。
压缩文件的内容
Snake Keylogger 二进制文件将存储在“concrt141.dll”文件中。为了逃避安全工具的检测,二进制数据将被添加到文件开头,紧邻 MZ 标头之前。
在可执行文件开头添加的二进制代码
该二进制文件将被注入合法的InstallUtil.exe进程。作为一种持久化手段,压缩文件的内容将被复制到文件夹“%USERPROFILE%SystemRootDoc”。然后,将使用命令
“cmd.exe /C start “” /D “%USERPROFILE%SystemRootDoc” “%USERPROFILE%SystemRootDoc001 PETROLEUMLTD LLP KSK SCO 1 ORIGINAL (1).exe”
创建持久化密钥
“SOFTWAREMicrosoftWindowsCurrentVersionRun001PETROLEUMLTDLLPKSKSCO1ORIGINAL (1)”
注册表项创建
SnakeLogger 恶意软件将使用合法网站(例如reallyfreegeoip.org和checkip.dyndns.org)发送计算机的 IP 以及原产国。
恶意软件窃取的信息
Snake Keylogger 还会从各种应用程序和浏览器中窃取密码。
收集浏览器和应用程序凭据
以下是样本收集数据的浏览器完整列表。
-
Google Chrome
-
Google Chrome Canary
-
Chromium
-
Brave
-
Vivaldi
-
Comodo Dragon
-
Blisk
-
Torch
-
Cốc Cốc
-
QQ Browser
-
xVast Browser
-
QIP Surf
-
Microsoft Edge
-
Nichrome Browser
-
Kometa Browser
-
Superbird
-
Opera
-
Cent Browser
-
Chedot
-
Ghost Browser
-
SRWare Iron
-
UC Browser
-
BlackHawk Browser
-
Citrio
-
Uran Browser
-
Falkon
-
Sputnik Browser
-
CoolNovo (ChromePlus)
-
Sleipnir
-
Kinza
-
Amigo
-
Epic Privacy Browser
-
360 Browser (English)
-
360 Browser (China)
-
XPom Browser
-
Orbitum
-
Iridium Browser
-
7Star Browser
-
Mozilla Firefox
-
SeaMonkey
-
Comodo IceDragon
该样本收集的应用程序完整列表如下。
-
Mozilla Thunderbird
-
Microsoft Outlook
-
Foxmail
-
FileZilla
此外,该恶意软件还会收集设备的 Windows 产品密钥。
产品密钥收集
所有这些信息都将通过 SMTP 协议从帐户serverhar244@gpsamsterdamqroup[.]com向harrysnakelogger@dklak[.]cam 发送邮件泄露。
用于泄露的电子邮件
除了分析的样本外,我们还发现了另外29个也使用了合法的jsadebugd.exe二进制文件。这种行为此前从未被观察到,似乎是此次特定活动的特征。所有样本均被归类为同一组织,因为它们部署了Snake Keylogger家族的变种,这进一步证实了由同一攻击者领导的协同行动的假设。
结论
本文分析了“蛇形键盘记录器”的幕后黑手如何利用当前的地缘政治局势,例如近期伊朗与以色列的冲突以及霍尔木兹海峡可能关闭等因素,扩大其影响范围并感染新的目标。此外,据报道,该活动背后的组织正在使用 jsadebugd,这是一个合法的 Java 可执行文件,但存在 DLL 侧载技术漏洞,此前从未发现该技术被用于恶意目的。这表明该组织的攻击手段有所改进,旨在规避现有的检测机制。
serverhar244@gpsamsterdamqroup[.]com 发件人fiber13.dnsiaas[.]com 发送方服务器harrysnakelogger@dklak[.]cam 接收者
f099cb320a26b6284e9ca24b352b19d2109bb3df0beeded3c34377c9b934ed3b9dae36cf2664e4bd348b1c7bcd9e886243fdd86e04d854e9a49e80ce358aa86818e3d1542d9d375f2e1d4631e03e9874fca9a1655ee6d01121d0c94e138be17476618263ac3d71779c18526c5ecc75a025ad0c78212b6a2bc089b22a1b8ca5672b7602cc1521101d116995e3e2ddfe0943349806378a0d40add81ba64e359b6c
原文始发于微信公众号(Ots安全):Snake键盘记录器在地缘政治中的应用:网络犯罪活动中对可信Java实用程序的滥用
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论