安全圈 | 专注于最新网络信息安全讯息新闻

首页

國際黑產組織針對部分東亞國家金融從業者攻擊活動的報告

作者 lervik 时间 2020-03-02
all

1概述

安天CERT(安天安全研究與應急處理中心)發現2019年2月13日至3月7日期間發生數起大規模有組織的針對部分東亞國家(主要為日本和韓國)的釣魚郵件攻擊行為,事件涉及的樣本數量較多,郵件正文和攻擊檔案內容分為日語和韓語版本,攻擊目的是投放遠控木馬養殖僵屍網路以獲利。

攻擊者利用掌控的大量被盜郵箱帳號,向日本和韓國兩國的商業公司和金融機構批量發送釣魚郵件,投遞附帶惡意Excel 4.0宏程式碼的攻擊檔案,傳播FlawedAmmyy遠控木馬。通過對數起郵件釣魚攻擊活動的深入分析,我們發現這些活動存在很大關聯性,且攻擊者的動機、工作風格、科技戰術過程和使用的遠控都十分符合活躍於全球的黑產組織TA505[1]。

2事件分析

2019年2月13日和19日,安天CERT觀察到了兩次針對韓國用戶的數量明顯的釣魚郵件攻擊活動。緊接著,2月20日,手法高度相似的針對日本的釣魚郵件開始出現。2月27日、3月6日和7日,同20日的惡意檔案高度相似的針對韓國的攻擊郵件再度出現。

圖2-1 2月和3月份觀測到的五批次針對日韓兩國的釣魚郵件攻擊活動時間線

根據韓國安全從業人員的統計和分享[2],截至2月19日,已有逾9千韓國郵箱帳戶受到了前兩批次的釣魚郵件攻擊,發信人姓名大多是“조효상”,少量為“정재민”,涉及郵箱主要歸屬於韓國金融相關的企業和機构,發送釣魚郵件的郵箱地址達1124個。日本的釣魚郵件量現時則僅見近百封,被攻擊的也是商業公司。

3樣本分析

3.1 Excel 4.0宏利用科技

Excel 4.0(XLM)宏是在VBA(Visual Basic for Applications)宏出現之前Microsoft Excel支持的宏程式設計技術,如今由於用其開發出的巨集病毒具有一定免殺效果而被濫用,廣泛出現在各種傳播惡意程式碼的網絡活動中。

圖3-1隱藏在Workbook流中執行遠控木馬的惡意宏程式碼片段

在釣魚郵件中加入包含漏洞利用或惡意腳本(宏程式碼、Javascript等)的檔案作為入侵滲透先鋒,已經成為高級威脅中十分常見的手法。對比這兩種不同的手法,我們不難發現,在滲透實戰中使用惡意腳本是相當優選的攻擊手段。

錶3-1漏洞利用和腳本入侵的成本對比

面對現時安全廠商對常見Office Nday漏洞利用較成熟的檢出能力,且基於成本考慮,眾多攻擊組織愈來愈青睞於使用宏程式碼進行攻擊。此次一系列針對韓國和日本的釣魚郵件即採取帶有惡意宏的檔案作為下載器,下載運行後續載荷。

3.2攻擊樣本分析

在這系列攻擊活動中,攻擊者通過偽造發票等主題相關的郵件誘使被攻擊者打開附件。

圖3-2針對韓國的釣魚郵件正文

圖3-3針對日本的釣魚郵件正文

附件主要分為xls表格和doc檔案,且語言上都存在日語和韓語版本:

圖3-4針對日韓兩國的誘餌檔案

針對兩國的誘餌檔案使用相似手法誘使受害者開啟宏執行許可權,下麵以樣本DA0DC5E26A4DD2F85C1C56F65999F79B為例分析其惡意行為。

錶3-2惡意宏檔案樣本

樣本在表格中隱藏了含有Excel 4.0宏的工作表。

圖3-5工作表取消隱藏設定前後對比

圖3-6隱藏工作表中的宏程式碼

宏腳本設定為Auto_Open,即打開文件後自動運行,執行動作為下載http://***365office[.]com/agp並安裝執行。另外在一些doc誘餌檔案中發現另一種宏腳本惡意行為隱藏科技,此方法利用vba中表單控制項的内容Tag為字串類型的特徵,將惡意命令折開後放入不同控制項的tag内容中,執行vba腳本時再進行拼接。

圖3-7隱藏在表單中的惡意程式碼片段

樣本DA0DC5E26A4DD2F85C1C56F65999F79B利用宏下載到的檔案如下。

錶3-3 MSI格式的釋放者程式“agp”

MSI安裝程式的內部包含的有效執行體資訊如下。

錶3-4 MSI程式包含惡意的PE執行體

此執行體含有數位簽章,簽名的時間戳記為針對韓國的第一批次攻擊活動(2月13日)的前一晚。

圖3-8 MSI程式包含的PE執行體帶有有效數位簽章

圖3-9獲取網路相關函數開始下載檔案

執行體調用“InternetReadFile”API函數下載檔案http://185.17.***.201/dat3.omg(MD5:5D1DA0526A5A65B3308512159E98F388),通過與求解到的金鑰進行解密運算,在記憶體中得到最終的遠控木馬(MD5: 25D48C3A71A5F8777AD4DB67C2A4F649)。

圖3-10求解解密金鑰

圖3-11在記憶體中解密最終的遠控木馬

成功獲取遠控木馬後,接著根據自身環境確定持久化途徑是注册系統服務還是寫註冊表自啟動項。

圖3-12注册系統服務或寫註冊表自啟動項實現持久化

通過分析遠控木馬的指令功能和網絡行為,判斷其為FlawedAmmyy遠控。FlawedAmmyy遠控是基於商業遠程桌面軟件Ammyy Admin V3洩漏的原始程式碼編寫而成[6],功能上包含遠程桌面控制、遠程文件管理、音訊監控、擊鍵記錄、竊取憑證等功能。樣本同C2的通訊流量也展示出FlawedAmmyy遠控木馬典型的欄位格式:

id=8位數ID&os=作業系統&priv=許可權&cred=用戶名&pcname=電腦名&avname=殺軟名稱

&bulid_time=木馬編譯時間&card=是否插入智慧卡&

圖3-13 FlawedAmmyy遠控通訊時典型的流量特徵

4組織關聯與畫像

本次捕獲的樣本同以往TA505活動的關聯點:

► 1.大量xls檔案樣本的誘餌頁面表單和存放惡意宏的隱藏表單使用了俄語命名,同之前TA505組織構造Excel 4.0惡意宏時創建的隱藏表單名一致。

圖4-1 TA505之前樣本俄語命名的表單名

圖4-2其中的四批次行動所投放的樣本的表單命名同TA505以往的樣本完全一致

剩下的2月18日樣本檔案的正文內容雖是韓語,但默認編輯語言仍為俄語,同TA505組織於2018年12月西班牙語版的攻擊檔案也十分相似:

圖4-3 2月18日攻擊檔案默認編輯語言為俄語

圖4-4 TA505組織2018年12月18日使用的西班牙語版攻擊檔案

► 2. 2月13日惡意宏檔案的正文內容同TA505之前的樣本高度一致,僅語言文字上針對攻擊目標修改成了韓語和日語。

圖4-5 TA505組織之前使用過的英文版和西班牙語版的攻擊檔案正文

圖4-6 2月13日針對韓國的攻擊檔案樣例的正文

2月27日和3月6日針對韓國的惡意檔案也使用相同的手段改寫了2月20日針對日本的惡意檔案正文:

圖4-7 2月20日針對日本與2月27日、3月6日針對韓國的攻擊檔案正文

► 3. 部分惡意宏下載MSIDownloader的URL:“http://***365office[.]com/agp”,與TA505以往使用過的作為同樣用途的URL:“http://office365advance[.]com/update、http://office365homepod[.]com/genhost、http://add3565office[.]com/rstr”[3]和“http:// local365office[.]com/content”[4]和“http://office365idstore[.]com/std、http://office365homedep[.]com/localdata、http://office365id[.]com/WpnUserService”[5]等在選詞命名的習慣上有一定的相似性,且功能變數名稱“***365office[.]com”的注册郵箱為regprivate.ru。MSI下載者程式所使用的一些數位簽章,現時僅發現出現在2月和3月份的攻擊活動中,應該是攻擊者為這一系列針對日韓的攻擊行動而專門準備的。這些數位簽章的注册郵箱部分為mail.ru,其他的為gmail,但gmail綁定的驗證郵箱地址仍為mail.ru。

► 4. 在現時觀測到的五批次攻擊活動中,最終投放的木馬主要是FlawedAmmyy遠控木馬。FlawedAmmyy遠控是基於商業遠程桌面軟件Ammyy Admin V3洩露的原始程式碼改編而成,且曾反復出現在TA505組織海量投送釣魚郵件的攻擊活動中[6]。

基於以上四點能看出,這一系列的攻擊活動在細節上延續了TA505組織以往在構造誘餌檔案、嵌入惡意程式碼、註冊功能變數名稱和遠控木馬上的一貫特點。除了這些,從攻擊者的動機(養殖僵屍網路以獲利)、工作風格(擇期針對目標行業或地區海量發送個性化釣魚郵件投遞木馬)、戰術(防禦規避、常駐、命令與控制)、科技(惡意Excel4.0宏、數位簽章)、過程(大規模釣魚郵件的檔案附件→寫入俄語命名的隱藏表單的惡意Excel 4.0宏→宏代碼下載帶數位簽章的MSI格式Downloader→記憶體中解密運行FlawedAmmyy遠控木馬)等來看也都十分符合TA505的特徵。但由於尚未發現其網絡基礎設施和數位簽章等方面的關聯證據,我們現時僅能懷疑在2019年2月13日至3月7日期間發生的五批次大規模有組織的針對日本和韓國的郵件釣魚攻擊活動,幕後者疑似為活躍於全球的著名黑產組織TA505。

錶4-1 TA505組織特徵畫像

5小結

從目前來看,本次事件應是大規模有組織的針對日本和韓國金融業的一系列黑產行為,攻擊者的動機為養殖僵屍網路以獲利,從攻擊者的攻擊意圖、工作風格、科技戰術過程和使用的木馬等因素和細節上看,都十分符合著名黑產組織TA505。TA505組織於2017年9月被Proofpoint首次曝光,自2014年以來頻繁地向全球範圍的特定目標行業或地區海量發送個性化釣魚郵件投遞木馬,通過黑產途徑獲取非法的經濟利益。

附錄:參考資料

[1] Threat Actor Profile: TA505,From Dridex to GlobeImposter.

https://www.proofpoint.com/us/threat-insight/post/threat-actor-profile-ta505-dridex-globeimposter

[2] NOMORETA505 | Kyoung-ju [email protected]

https://twitter.com/kjkwak12/status/1097882694082428929

[3] TA505組織利用Excel 4.0宏針對銀行機构的最新攻擊活動分析。

https://ti.360.net/blog/articles/excel-4.0-macro-utilized-by-ta505-to-target-financial-institutions-recently/

[4] TA505 targets the US retail industry with personalized attachments.

https://www.proofpoint.com/us/threat-insight/post/ta505-targets-us-retail-industry-personalized-attachments

[5] MORPHISEC UNCOVERS GLOBAL“PIED PIPER”CAMPAIGN.

https://blog.morphisec.com/morphisec-uncovers-pied-piper-campaign

[6] Leaked Ammyy Admin Source Code Turned into Malware.

https://www.proofpoint.com/us/threat-insight/post/leaked-ammyy-admin-source-code-turned-malware

[7] ServHelper and FlawedGrace - New malware introduced by TA505.

https://www.proofpoint.com/us/threat-insight/post/servhelper-and-flawedgrace-new-malware-introduced-ta505

注:

●本分析報告由安天安全研究與應急處理中心(安天CERT)發佈,歡迎無損轉發。

●本分析報告錯漏缺點在所難免,敬請業內專家和研究者回帖指點責備指正。