www.secrss.com
Open in
urlscan Pro
240e:c3:2002:5::35
Public Scan
URL:
https://www.secrss.com/articles/16505
Submission: On February 11 via api from US — Scanned from DE
Submission: On February 11 via api from US — Scanned from DE
Form analysis
1 forms found in the DOMhttps://www.secrss.com/search
<form class="navbar-form navbar-right" action="https://www.secrss.com/search">
<div class="form-group form-group-sm search-bar">
<input name="keywords" type="text" class="form-control" placeholder="搜索" required="">
<button class="btn btn-sm search-btn" type="submit"><span class="fa fa-search"></span></button>
</div>
</form>
Text Content
Toggle navigation * 首页 * 产业趋势 * 专家观察 * CISO洞察 * 决策研究 * 登录 * APP下载 * 全球加密货币公司的梦魇:揭秘APT组织“危险密码” APT 安全威胁情报 2020-01-08 研究员近日捕获多个涉及“每月业务报告”、“职位描述”、“项目风险简介”等话题的诱饵文件,内容均涉及加密货币,研判认为幕后存在一个专门攻击加密货币公司的APT团伙。 日前,微步在线捕获了一个专门攻击加密货币公司的APT团伙,我们根据攻击手法将其命名为“危险密码”(DangerousPassword)。虚拟货币行业的从业者们,可要小心了。 TAG:加密货币公司、APT、中国、后门、危险密码 TLP:白(使用与转发不受限制) 日期:2019-11-21 概要 近日微步在线威胁情报云捕获到多个具备相同特点的压缩木马文件,并关联发现幕后黑客的更多网络资产及攻击样本。由于诱饵文件以“每月业务报告”、“职位描述”、“项目风险简介”等话题,且内容均涉及加密货币,研判认为幕后存在一个专门攻击加密货币公司的APT团伙,我们根据攻击手法将其命名为“危险密码”(DangerousPassword),具体情况包括: * “危险密码”发布的诱饵文件涉及中文、英文、日文、俄文等,域名资产数量过百,且攻击目标集中于加密货币公司,目的为盗窃密币,是一个资源丰富、目标明确的APT团伙。 * “危险密码”至少于2018年3月开始活跃,主要通过钓鱼邮件投递恶意文件下载链接,诱导收件者从仿冒的谷歌、微软、亚马逊云服务器下载木马压缩文件。 * 压缩文件一般包含诱饵加密文档和伪装成密码文件的恶意快捷方式,用户启动后会下载后门脚本直接执行,同时展示文档密码迷惑用户。 * 恶意后门启动后监测主机是否存在“金山毒霸”、“360”等软杀进程,以判断绕过或是否驻留等后续操作。同时后门会将主机信息、运行进程等数据发送回C&C服务器,并持续发起请求以执行后续操作。 * 微步在线威胁检测平台(TDP)、威胁情报管理平台(TIP)、DNS防火墙(OneDNS)、威胁情报云API均已支持该团伙最新攻击的检测。如需协助,请与我们联系: contactus@threatbook.cn。 详情 近日,微步在线威胁情报云捕获到多个利用压缩包存储木马的样本文件,解压后的文件包括经过加密的合法Office文档以及伪装成“密码”TXT(包括英语、俄语、日语等)的恶意快捷方式文件,效果如下图所示: 分析发现,快捷方式指向的地址均为美国bit.ly网站提供的短链接形式,文件执行后会从C&C服务器返回加密文档的密码同时在后台执行恶意代码,让用户误以为找到了密码并成功打开加密文件,是一个典型的社会工程学攻击手法。 样本分析 此次捕获木马的攻击框架如下: 以其中一份为例分析如下: Table 1 文件名 New Employee_s Salary and Bonus Guideline.zip 文件类型 Zip压缩文件 文件大小 43kb SHA256 A50EC2F42BEC1C43E952DE2728DE0217F178440BDD8FCEF70BB6DB4C27E9B4BB 1、压缩包包含三个文件,两个相同的加密的docx文件,以及一个伪装成“Password.txt”的lnk文件。 “1.New Employee"s Salary and Bonus Guideline.docx”和“2.New Employee"s Salary and BonusGuideline.docx”是两个哈希相同的文件,其文件内容经过加密,以此诱使用户点击“Password.txt”获取密码。Password.txt.lnk文件将远程链接一段Vbscript脚本执行,短域名形式的URL为“hxxps://bit[.]ly/2MgEsjc”,实际网络请求时,URL地址为“hxxp://download[.]showprice.xyz:8080/open?id=1qbg9gs5iLsG0BMJmCBAVWdmAbkV7WFDYPndK528Q7I%3D”。 2、通过lnk文件请求执行的vbscript脚本代码如下所示。 这段vbscript脚本的作用有四个: a、在用户临时目录写入真正的Password.txt本文文件然后打开,显示密码内容“newsalarysystem”(该密码用于打开诱饵文件中的docx文件)。如用户关闭文本编辑器进程notepad,则Password.txt随即被删除。 b、在临时目录创建名为“xBoxOne.lnk”的lnk文件,该文件请求执行远程脚本类文件,URL地址:hxxps://bit[.]ly/2xMHylE。然后将该文件移动到启动目录实现持久化驻留。 c、杀软检测。 d、解密释放名为“qjqykntc.vbs”的文件到用户临时目录,然后执行。 杀软检测如下,通过wmi接口遍历当前系统进程,如检测到“kwsprot”进程(金山毒霸)或“npprot”进程(NPAV防病毒保护),则使用cscript.exe执行后续的落地vbscript;反之则使用wscript.exe引擎(猜测这里是为了做动态免杀处理)。然后接着进行杀软进程名称查找,如检测到包含“hudongf”的进程(360主动防御)或“qhsafe”的进程(360杀软组件),则删除临时目录中创建的lnk文件;反之正常执行。 在未检测到相关杀软的环境下释放的文件如下。 该段vbscript中,进行一系列字符串拼接、base64解密、杀软检测之后,将执行以下shell命令。 该shell将携带参数“41.85.145.164:8080/open”启动qjqykntc.vbs脚本。然后将临时目录中的lnk文件移动到系统启动目录实现持久化驻留。 3、分析释放执行的qjqykntc.vbs。 这是一个后门类的vbscript,该脚本将持续地向“http:41.85.145.164:8080/open?topic=s随机数”发送Post请求。如目标返回数据大于等于10字节则结束post请求,然后执行返回数据。 监控到的post请求如下。 4、监控到后续C&C返回的依旧是vbscript形式的脚本代码,抓包数据如下。 这段vbscript的作用是收集用户主机信息(用户名称、主机名称、主机装机配置信息、系统版本信息、网卡信息、ip等等)、系统当前进程信息,然后将这些信息返回给C&C服务器。C&C地址依旧为第一段vbs中编码的IP:41.85.145.164:8080 5、通过对C&C域名showprice.xyz进行拓线关联,发现C&C端还存在其他可疑组件,可用于下发。 其中较为特殊的是v.dat文件,这是一款免费、开源的远程管理工具,TightVNC,版本号2.8.8. TightVNC工具端配置界面如下,通过设置连接密码(需与服务端保持一致)以及被控端ip即可实现远程桌面控制。被控端IP信息在上述分析的vbscript中已经获取,推断该工具将被用于黑客的后续攻击中。 6、分析启动目录下的xBoxOne.lnk文件。 xBoxOne.lnk链接执行远程资源脚本,url地址:hxxps://bit[.]ly/2xMHylE,跳转地址为hxxp://start.showprice[.]xyz:8080/open?id=rwWMIZ8lQAhRwWMTUEMo7orKhsHwtFd0WCYa1uiXpGeyOIy%2BMCi5djeGEpOUUix/。通过持续监控收到返回数据下。 这是一段类似于最开始password.txt.lnk链接执行的vbscript脚本,释放在用户临时目录的vbscript完全一致,取消了无用的自启设置,在代码混淆层面做了一些调整,内置的释放脚本启动参数换成了域名形式的C&C(drivegoogle.publicvm[.]com)。 其用于释放执行的脚本原始加密形态如下。 解密逻辑为:将元数据中的“`”(开单引号)、“~”(波浪号)进行替换,然后通过自定义的“bEABrsCDaInopJKdeLGHZcfMNOyzPiQRvwxSTklUVWghjmqXYFtu”字符串序列与默认base64字符序列“ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz”进行凯撒密码解密替换。解密函数如下。 该段脚本将执行自解密的lhMDuTqVJi.vbs,传入参数“drivegoogle.publicvm.com/open”。请求执行../open目录返回数据。 关联分析 对此次捕获样本的C&C关联发现,幕后黑客还注册有大量类似恶意资产,且多仿冒谷歌、微软、亚马逊等大厂域名,如googleupload.info、docs.goglesheet.com、msupdate.publicvm.com、amzonnews.club等。 而从拓线出的域名又能关联到该组织更多攻击样本,追溯发现其攻击特点包括: 1、攻击初始阶段为发送带有恶意链接的钓鱼邮件,诱导收件者下载上文分析的木马压缩包文件,如下图中的钓鱼邮件使用中文,且目标为一家区块链技术公司。 2、诱饵文档名称包括“每月业务报告”、“DevelopmentManagement Plan”(发展管理计划)、“事業の指針”(事业方针)、“Security Report (August 2019)”(2019年8月安全报告)、“NewEmployee"s Salary and Bonus Guideline”(新员工薪金和奖金指南)、“CONSENSYSJOB DESCRIPTION”(CONSENSYS职位描述)、“BlockVerify Group Job Description[GDPR]”(BlockVerify小组职位描述)、“Обзор рисков проекта”(项目风险简介)等,推测其邮件发送目标可能涉及科技公司的高管、技术、招聘、运营等人员,且所有文档内容均与加密货币有关,因此判断其攻击目标为加密货币公司。 3、早期攻击中的恶意代码需通过启动Office文档中的宏启动,而从其LNK文件属性判断,攻击者至少自2018年6月22日起开始使用快捷方式植入后门,攻击手法更为巧妙,隐蔽性更强。 声明:本文来自安全威胁情报,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。 APT 数字加密货币 相关资讯 * PACKER ?对抗 ?“透明部落”正在寻求CRIMSONRAT的新出路 APT 奇安信威胁情报中心 2022-01-29 在此攻击活动中,攻击者使用图片文件图标用作恶意软件图标,诱使目标打开"图片"查看,实则运行恶意软件。 * 网络战打响,白俄罗斯愿当炮灰?搞瘫乌克兰政府网络的UNC1151组织是谁? APT 网空闲话 2022-01-17 乌克兰初步认为UNC1151组织可能参与了这次大规模的网络攻击,目前普遍认为UNC1151是隶属于白俄罗斯特种部队的... * 高级持续性威胁 (APT) 与网络犯罪团伙间的持续互惠关系 APT 数世咨询 2022-01-03 近些年来,二者之间出现了一些交叉和重叠。 评论(0) 登录后才能发表评论,请先 登录 / 注册 * 关于我们 * 联系我们 * 用户协议 * 隐私政策 * 移动客户端 安全内参 © 2022 沪ICP备19008222号-1 微信公众号 回到顶部