OriginBotnet等多个恶意软件通过Word钓鱼文档传播

8 月，FortiGuard Labs 获得了一份包含恶意 URL 的 Word 文档，旨在诱骗受害者下载恶意软件加载程序。该加载程序采用二进制填充规避策略，添加空字节以将文件大小增加到 400 MB。该加载程序的有效负载包括用于键盘记录和密码恢复的 OriginBotnet、用于加密货币盗窃的 RedLine Clipper 以及用于收集敏感信息的 AgentTesla。图 1 展示了综合攻击流程。

图1：攻击流程

文件分析

网络钓鱼电子邮件以附件形式发送 Word 文档，并呈现故意模糊的图像和伪造的 reCAPTCHA（图 2），以诱使收件人点击它。单击会激活文件“\word_rels\document.xml.rels”中嵌入的恶意链接，如图 3 所示。

图2：Word文档

图 3：恶意 URL

装载机分析

初始加载程序是从 https://bankslip[.]info/document/scancop20233108[.]exe 获取的。该文件用 .NET 编写，解密“HealthInstitutionSimulation.Properties.Resources.resources”中的“Main_Project”资源数据。它使用与字符串“WdxDFWxcf09WXfVVjLwKKcccwnawf”的异或运算，然后使用“Activator.CreateInstance()”来执行解码的信息。解码流程如图4所示。

图4：解码“scancop20233108.exe”中的资源数据

第二阶段使用“Main Project.dll”，其入口点如图 5 所示。在此阶段，代码在“Delation()”内启动“Sleep()”函数，并通过“Moschop()”建立持久性。功能。

图 5：“Main Project.dll”的入口点

然后，它加载 Base64 编码的字符串并使用 AES-CBC 算法进行解密，检索 PowerShell 命令，如图 6 所示。为了确保持久性，它将 EXE 文件复制到目录“%AppData%\Microsoft\Windows\Start”文件名“audacity.exe.exe”下的“Menu\Programs\Startup”，以确保即使受害者重新启动设备，该文件也会自动运行。

图 6：用于在“Main Project.dll”中持久化的 PowerShell 命令

接下来，它使用命令“GetType('I.L').GetMethod('U')”来调用 DLL 中的方法，该方法是从标记为“DataPresent”的资源中解密的。该信息被传递到第三阶段有效负载，使用 AES-ECB 算法从标记为“Moss”的资源中的数据进行解密，如图 7 所示。

图 7：在“Main Project.dll”中加载解密的有效负载

第三阶段使用“scancopper4647979413.exe”，这是另一个.NET可执行文件。它利用“Activator.CreateInstance()”方法生成从资源“rumdisintegration.dat”解码的实例，有效触发第四阶段文件“cargomind.dll”的执行。然后，它使用带有两个参数的“CreateInstance()”方法：用于实例化的对象类型和要传输到创建的对象的参数数组。

图8：“scancopper4647979413.exe”的入口点

第四阶段由 DLL 文件“cargomind.dll”表示。其入口点如图 9 所示。它包含三个用于后续操作的 Base64 编码字符串。“Deserialize()”函数，如图 10 所示，负责解码这些字符串，解析每个选项的键值对，并最终返回一个字典。

图9：“cargomind.dll”的入口点

图 10：解析数据的函数

图 11 显示了从“list2”获得的结果。它揭示了三个任务的存在，每个任务包含六个不同的选项。

图 11：“cargomind.dll”中的任务

让我们详细探讨“list2[0]”中的选项：

“u”：URL，指定为 https://softwarez[.]online/javau[.]exe。

“k”：动作，d表示下载动作，如图12所示。

“df”：文件目录，其中“ad”指定ApplicationData文件夹（%appdata%），关联函数为“ConstructPath()”，如图13所示。

“sf”：子文件夹，表示为“Java”。

“fn”：文件名，标识为“javau.exe”。

“e”：执行状态，其中“y”表示“是”，并使用“Process.Start”触发下载文件的执行。

图 12：选项“k”的功能

图13：构造文件路径的函数

对于“list2”中的其余两个任务，操作设置为“b”。因此，它调用“ExecuteBinder()”函数来解码“r_k”选项中指定的数据，如图 14 所示。此上下文中的目标文件是“newcrisp.dat”和“backyard.dat”，两者均源自前一阶段的资源部分“scancopper46477979413.exe”，如图 15 所示。

图 14：解码有效负载的函数

图15：“scancopper46477979413.exe”中的资源数据

恶意软件分析 – RedLine Clipper

最初的恶意软件源自 URL https://softwarez[.]online/javau[.]exe。它是一个使用 SmartAssembly 打包的 .NET 可执行文件。在破译资源数据后，我们发现了最终的有效负载“RedLine Clipper”，如图 16 所示。

图 16：“javau.exe”中的解码数据

RedLine Clipper (SHA256: 4617631b4497eddcbd97538f6712e06fabdb53af3181d6c1801247338bffaad3)，也称为 ClipBanker，专门通过操纵用户的系统剪贴板活动，用属于攻击者的钱包地址替换目标钱包地址来窃取加密货币。受损版本（图 17）支持加密货币，包括比特币、以太币、狗狗币、莱特币、达世币和门罗币。它持续监视剪贴板中是否有复制的硬币钱包地址，该地址通常又长又复杂，使得手动输入不切实际。当在剪贴板上检测到钱包地址时，RedLine Clipper 会秘密更改它以匹配攻击者的钱包地址。

通常，加密货币钱包地址遵循特定的格式，但由于其复杂性，用户经常在交易过程中复制和粘贴它们。因此，如果钱包地址在此阶段被篡改，打算将资金发送到特定钱包的用户可能会无意中将资金存入攻击者的钱包中。

为了执行此操作，RedLine Clipper 利用“OnClipboardChangeEventHandler”定期监视剪贴板更改并验证复制的字符串是否符合图 18 中所示的正则表达式。值得注意的是，攻击者针对该方案中所有六种受支持的加密货币。

图 17：Redline Clipper 破解

图 18：RedLine Clipper 的 Run() 函数

恶意软件分析 – Agent Tesla

第二个文件是 Agent Tesla 变体，存储为“COPPER.exe”（SHA256：c241e3b5d389b227484a8baec303e6c3e262d7f7bf7909e36e312dea9fb82798）。该恶意软件可以记录击键、访问主机的剪贴板并进行磁盘扫描以发现凭据和其他有价值的数据。此外，它可以通过各种通信通道（包括 HTTP(S)、SMTP、FTP）将收集到的信息传输到其命令和控制（C2）服务器，甚至将其发送到指定的 Telegram 通道。

为了确保其持久性，恶意软​​件会将自身复制到位置“%AppData%\EbJgI\EbJgI.exe”，并将自身建立为系统注册表中的自动运行条目，如图 20 所示。此外，它还会编译一个列表受害者设备上安装的特定软件，包括 Web 浏览器、电子邮件客户端、FTP 客户端等，如图 21 所示。

图 19：Agent Tesla 中的文件复制

图 20：Agent Tesla 中的注册表设置

图 21：目标软件的部分列表

此特定版本的 Agent Tesla 采用 SMTP 作为其 C2 连接协议。您可以在图 22 中看到流量会话的详细信息。

图 22：Agent Tesla 的 C2 连接

恶意软件分析 – OriginBotnet

第三个文件 OriginBotnet 存储为“david.exe”（SHA256：be915d601276635bf4e77ce6b84feeec254a900c0d0c229b0d00f2c0bca1bec7）。它以其命名空间命名，如图 23 所示。OriginBotnet 具有一系列功能，包括收集敏感数据、与其 C2 服务器建立通信以及从服务器下载其他文件以在受感染设备上执行键盘记录或密码恢复功能。

图23：OriginBotnet的入口点

最初，OriginBotnet 扫描正在运行的进程以确定它是否已在环境中处于活动状态。

图24：检查流程

然后，它初始化其设置并收集有关受害者设备的基本信息，例如安装的防病毒产品、CPU、GPU、国家/地区、操作系统名称和用户名，如图 25 所示。收集系统信息后，恶意软件就会连接C2 服务器位于 https://nitrosoftwares[.]shop/gate。

图 25：OriginBotnet 的设置

图 26 显示了负责传输消息的函数。该通信是通过使用名为“p”的参数的 POST 请求进行的。POST 数据经过 TripleDES 加密（在 ECB 模式下，使用 PKCS7 填充），然后以 Base64 格式进行编码。TripleDES 的加密密钥存储在 HTTP 标头的“x-key”字段中。此外，Content-Type 和 User-Agent 值被硬编码为“application/x-www-form-urlencoded”和“Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:99.0) Gecko/20100101 Firefox/ 99.0，”分别。图 27 和 28 提供了对流量捕获和解密消息的深入了解。

图26：向C2服务器发送消息的函数

图27：OriginBotnet的C2连接

图 28：解密的消息

在收到来自 C2 服务器的“OK”信号后，OriginBotnet 进入等待状态并继续解析传入的 C2 命令。图 28 概述了处理这些命令的过程。可用的命令包括“downloadexecute”、“uninstall”、“update”和“load”。

图 29：处理 C2 命令的函数

如果受害者收到“downloadexecute”或“update”命令，恶意软件就会继续解析其他参数，包括 URL。然后它直接从指定的 URL 下载补充文件并执行它们。它根据文件扩展名（.exe、.msi 或 .java）选择适当的执行方法。这可能涉及使用“Process.Start”或调用“msiexec.exe /I”或“java.exe -jar”等命令，如图 30 所示。

当收到“卸载”命令时，OriginBotnet 会调用“MoveFile”将文件重新定位到临时文件夹。

图 30：下载和执行函数

最后一个命令“load”从 C2 服务器检索插件。图 31 显示了该特定请求的 POST 会话和解码数据。在这种情况下，OriginBotnet 有两个插件可用：Keylogger 和 PasswordRecovery。插件 DLL 文件作为“bytes”参数内的 Base64 编码字符串进行传输。该操作的处理函数如图 32 所示。

图 31：请求插件的消息和解码数据

图 32：处理插件的函数

键盘记录器插件（SHA256：c204f07873fafdfd48f37e7e659e3be1e4202c8f62db8c00866c8af40a9a82c5）旨在秘密记录和记录在计算机上执行的每个击键以及监视用户活动。它采用“SetWindowsHookEx”等技术来捕获键盘输入事件，并使用“GetForegroundWindow”等技术来确定用户正在使用的活动窗口。它还通过“SetClipboardViewer”保留剪贴板文本内容的选项卡。被盗文本文件使用与 Agent Tesla 类似的格式，如图 35 所示。

图33：启动键盘hook的API

图 34：获取前景窗口

图 35：复制文本的日志格式

PasswordRecovery 插件（SHA256：56ced4e1abca685a871b77fab998766cbddfb3edf719311316082b6e05986d67）检索并组织各种浏览器和软件帐户的凭据。它记录这些结果并通过 HTTP POST 请求报告它们。其主要功能如图 36 所示。该插件旨在针对以下浏览器和软件应用程序：

Chromium 浏览器： Opera, Yandex, Iridium, Chromium, 7Star, Torch, Cool Novo, Kometa, Amigo, Brave, CentBrowser, Chedot, Orbitum, Sputnik, Comodo Dragon, Vivaldi, Citrio, 360 Browser, Uran, Liebao, Elements, Epic Privacy, Coccoc, Sleipnir 6, QIP Surf, Coowon, Chrome, and Edge Chromium

其他浏览器：Outlook, Windows Mail App, The Bat!, Becky!, IncrediMail, Eudora, ClawsMail, FoxMail, Opera Mail, PocoMail, eM Client, Mailbird, FileZilla, WinSCP, CoreFTP, Flash FXP, FTP Navigator, SmartFTP, WS_FTP, FtpCommander, FTPGetter

电子邮件和 FTP 客户端： Outlook, Windows Mail App, The Bat!, Becky!, IncrediMail, Eudora, ClawsMail, FoxMail, Opera Mail, PocoMail, eM Client, Mailbird, FileZilla, WinSCP, CoreFTP, Flash FXP, FTP Navigator, SmartFTP, WS_FTP, FtpCommander, FTPGetter

其他：DynDns, OpenVPN, NordVpn, Private Internet Access, Discord, Paltalk, Pidgin, Trillian, Psi/Psi+, MySQL Workbench, Internet Downloader Manager, JDownloader 2.0, \Microsoft\Credentials\, RealVNC, TightVNC

图 36：PasswordRecovery 的主要函数

结论

FortiGuard 实验室发现的这次网络攻击活动涉及一系列复杂的事件。它首先是通过网络钓鱼电子邮件分发的恶意 Word 文档，导致受害者下载执行一系列恶意软件有效负载的加载程序。这些有效负载包括 RedLine Clipper、Agent Tesla 和 OriginBotnet。该攻击展示了逃避检测并维持受感染系统持久性的复杂技术。我们还提供了每个攻击阶段的全面细分，揭示了所部署的恶意软件和所采用策略的复杂性。

Fortinet Protections

FortiGuard Antivirus检测并阻止了本报告中描述的恶意软件，如下所示：

MSOffice/Agent.DA32!tr.dldr
MSIL/Agent.8DF3!tr
MSIL/Agent.DGH!tr
MSIL/Agent.F!tr.spy
MSIL/Agent.CSS!tr.spy
MSIL/Kryptik.AHUA!tr
MSIL/ Kryptik.PSV!tr
MSIL/Injector.WGW!tr
MSIL/Injector.WHL!tr
MSIL/ClipBanker.PK!tr
MSIL/Keylogger.ELM!tr
MSIL/OriginBotnet.G!tr

IOCs

网址：

bankslip[.]info
softwarez[.]online
nitrosoftwares[.]shop

文件：

c9e72e2865517e8838dbad0ce41561b2bd75c399b7599c1711350f9408189b9b
56ced4e1abca685a871b77fab998766cbddfb3edf719311316082b6e05986d67
c204f07873fafdfd48f37e7e659e3be1e4202c8f62db8c00866c8af40a9a82c5
21ad235118c371e2850c539040b6dcdd88196c021245440155fe80aacf6ccc7e
4617631b4497eddcbd97538f6712e06fabdb53af3181d6c1801247338bffaad3
be915d601276635bf4e77ce6b84feeec254a900c0d0c229b0d00f2c0bca1bec7
c241e3b5d389b227484a8baec303e6c3e262d7f7bf7909e36e312dea9fb82798
dfd2b218387910b4aab6e5ee431acab864b255832eddd0fc7780db9d5844520a
f36464557efef14b7ee4cebadcc0e45af46f5c06b67c5351da15391b03a19c4c
b15055e75ae0eeb4585f9323ef041fa25ed9b6bf2896b6ea45d871d49a1c72b8
49c969a5461b2919fd9a7dc7f76dd84101b2acc429b341f8eeee248998e9da32
65e47578274d16be1be0f50767bad0af16930df43556dd23d7ad5e4adc2bcbe3

转载来源：https://www.fortinet.com/blog/threat-research/originbotnet-spreads-via-malicious-word-document

图片来源网络侵权可联系删除