SapphireStealer：开源信息窃取程序可窃取凭证和数据

1、SapphireStealer 是一种开源信息窃取程序，自 2022 年 12 月首次公开发布以来，在公共恶意软件存储库中出现的频率不断增加。

2、SapphireStealer 等信息窃取恶意软件可用于获取敏感信息，包括公司凭证，这些信息通常会转售给其他威胁行为者，这些威胁行为者利用该访问权限进行其他攻击，包括与间谍活动或勒索软件/勒索相关的操作。

3、我们以中等信心评估多个实体正在使用 SapphireStealer，它们分别改进和修改了原始代码库，将其扩展以支持其他数据泄露机制，从而导致创建多个变体。

4、在某些情况下，SapphireStealer 似乎是作为多阶段感染过程的一部分进行交付的，威胁行为者利用 FUD-Loader 等开源恶意软件下载器将 SapphireStealer 交付给潜在受害者。

SapphireStealer 开源，攻击者注意到

在过去的几年里，信息窃取者在威胁领域变得越来越流行。虽然这些威胁已经存在很长时间了，但思科 Talos 最近观察到，在各种地下论坛和市场上出售或出租的新窃取者的数量有所增加。对于出于经济动机的威胁行为者来说，窃取者通常被视为一个有吸引力的选择，因为它们提供了一种简单的方法来破坏敏感信息和帐户相关详细信息并将其分发给对手。这些凭证通常包括公司帐户凭证、访问令牌和其他可用于进一步危害公司网络的数据。在很多情况下，

SapphireStealer 是新型信息窃取程序的一个示例，主要旨在促进窃取可能包含敏感用户信息的各种浏览器凭据数据库和文件。SapphireStealer 的代码库于 2022 年 12 月 25 日在GitHub上发布。

正如新的开源恶意软件代码库发布后的常见情况一样，威胁行为者迅速采取行动，开始试验该窃取程序，扩展其以支持其他功能，并使用其他工具使 SapphireStealer 感染的检测变得更加困难。

新编译的 SapphireStealer 版本从 2023 年 1 月中旬开始上传到公共恶意软件存储库，并在 2023 年上半年观察到一致的上传活动。与这些样本相关的编译工件表明，该恶意软件代码库目前正被多个威胁使用演员。这种威胁的多种变体已经存在，并且随着时间的推移，威胁行为者正在提高其效率和有效性。  

虽然大多数样本都具有伪造的编译时间戳，但使用样本最初上传到公共存储库的日期和 PDB 路径等编译工件使我们能够对恶意软件活动进行聚类并识别正在发生的不同开发活动。

SapphireStealer 可实现简单但有效的凭证和数据盗窃

SapphireStealer 是一个用 .NET 编写的信息窃取程序。它提供简单但有效的功能，能够从受感染的系统窃取敏感信息，包括：

1、主机信息。

2、屏幕截图。

3、缓存的浏览器凭据。

4、存储在系统中的与预定义的文件扩展名列表匹配的文件。

当恶意软件最初执行时，它首先尝试确定系统上是否正在运行任何现有的浏览器进程。它查询当前运行的进程列表以查找与以下列表匹配的任何进程名称：

chrome
yandex
msedge
opera

如果检测到任何匹配的进程，恶意软件就会使用 Process.Kill() 来终止它们。Google Chrome 的代码执行如下所示。

接下来，恶意软件调用 Chromium.Get() 来检查 %APPDATA% 或 %LOCALAPPDATA% 下的各种浏览器数据库文件目录。该恶意软件使用硬编码的路径列表来识别以下浏览器应用程序的凭据数据库是否存在：

Chrome
Opera
Yandex
Brave Browser
Orbitum浏览器
Atom浏览器
Kometa浏览器
Microsoft Edge
Torch浏览器
Amigo
CocCoc
Comodo Dragon
Epic隐私浏览器
Elements浏览器
CentBrowser
360浏览器

该恶意软件在以下位置创建一个工作目录来存放最终将被泄露的数据：

%TEMP%sapphirework

发现的任何凭证数据库的内容都会被转储。然后，此信息存储在恶意软件工作目录中名为 .txt 的文本文件中Passwords.txt。

接下来，恶意软件尝试从系统捕获屏幕截图并将其存储在同一工作目录中名为Screenshot.png。

恶意软件会在恶意软件的工作目录中创建一个名为“Files”的新子目录。然后执行文件抓取器，尝试查找受害者桌面文件夹中存储的与文件扩展名列表匹配的任何文件。该列表因分析的样本而异，但示例列表如下所示：

.txt
.pdf
.doc
.docx
.xml
.img
.jpg
.png

一旦文件抓取器完成执行，恶意软件就会创建一个名为 的压缩存档，其中log.zip包含之前写入恶意软件工作目录的所有日志。

然后，使用负责制作和发送消息的代码部分中定义的凭据，通过简单邮件传输协议 (SMTP) 将这些数据传输给攻击者。

以下与主机相关的信息将被收集并包含在电子邮件正文中：

IP地址
主机名
屏幕分辨率
操作系统版本和CPU架构
处理器ID
GPU信息

一旦日志成功泄露，恶意软件就会删除之前创建的工作目录并终止执行。

SapphireStealer 已扩展以支持其他渗漏方法

自从最初的样本开始上传到公共恶意软件存储库和扫描平台以来，我们观察到各种威胁行为者做出了一些显着的修改。大部分开发工作似乎都集中在促进更灵活的数据泄露以及对实现新 SapphireStealer 感染的攻击者发出警报。由于该恶意软件是开源的，并被多个不同的威胁行为者使用，因此大部分开发活动都是独立发生的，并且与其他威胁行为者相关的示例集群中不存在新功能。

在一个案例中，我们观察到一个 SapphireStealer 样本，其中使用前面描述的过程收集的数据是使用 Discord webhook API 泄​​露的，这是我们之前在此处重点介绍的一种方法。

在本例中，Discord Webhook URL (SendLog.url) 为：

hxxps[:]//discord[.]com/api/webhooks/1123664977618817094/La_3GaXooH42oGRiy8o7sazh1Cg0V_mzkH67VryfSB1MCOlYee1_JPMCNsfOTji7J9jO

在一些情况下，我们还观察到 SapphireStealer 样本能够通过 Telegram 发布 API 传输日志数据来向攻击者发出新感染的警报。

此外，我们还观察到 SapphireStealer 中 FileGrabber 功能收集和渗透的目标文件扩展名的变化。虽然有些是最小的，仅包含一些文件扩展名，但另一些则包含攻击者可以获得的无数不同的文件格式。

同样，SapphireStealer 的早期版本也存在冗余代码执行、多次重复执行相同操作的多余行为以及整体效率低下等问题。在我们对其他 SapphireStealer 样本的分析过程中，我们反复观察到证据表明，各种威胁行为者已采取措施简化恶意软件的操作，显着重构代码，并以其他方式改进窃取程序的核心功能。

FUD-Loader 用于多阶段感染

在一些案例中，我们观察到威胁行为者试图利用名为FUD-Loader的恶意软件下载器，该下载器也可通过同一 GitHub 帐户获取。该下载器最初于 2023 年 1 月 2 日提交到 GitHub，即 SapphireStealer 初始代码提交后不久。自发布以来，各种威胁在感染过程的初始阶段都使用它从攻击者控制的分发服务器中检索额外的二进制有效负载。

该加载程序与 SapphireStealer 一样，都是用 .NET 编写的，并且具有相当简单的操作。它本质上负责利用 HTTP/HTTPS 通信从攻击者控制的基础设施中检索其他可执行文件，将检索到的内容保存到磁盘，然后执行它以继续感染过程。

在使用此加载程序的大多数情况下，它会检索托管在下一节中描述的基础设施上的 SapphireStealer 二进制有效负载，从而使我们能够将这些样本归因于同一威胁参与者。

在整个 2023 年中，我们还观察到该下载器被用来传播各种其他威胁，例如DcRat、njRAT、DarkComet、AgentTesla等。

操作安全 (OPSEC) 失败案例研究

在我们分析的一组恶意软件活动中，我们观察到威胁行为者在维持良好的操作安全性方面多次失败。在一个示例中，我们观察到以下程序数据库 (PDB) 路径在编译后仍然存在：

C:UsersromanOneDriveРабочий столstralernet452new_game.pdb

此示例配置为使用 SMTP 进行数据泄露，并利用以下硬编码凭据。

这些凭证也被硬编码到我们分析的另一个样本中。

我们观察到第二个样本具有不同的 PDB，其中包含 PDB 路径中的特定印刷错误。

D:C# proectSapphireobjDebugSapphire.pdb

早期的样本具有相同的 PDB 路径和相同的印刷错误。在这种情况下，威胁行为者会硬编码个人身份 SMTP 帐户信息以进行数据泄露。

通过寻找具有“romanmaslov200”句柄/别名的其他帐户，我们找到了可能与威胁行为者相关的各种个人帐户，例如流行视频游戏店面 Steam 的帐户。

我们还观察到这三个样本中的两个在不同时间托管在以下 URL 上：

除了上述 Steam 帐户外，我们还在俄语自由论坛上找到了一个匹配帐户。该帐户被用来宣传自由网络开发服务。用户配置文件还列出了观察到的托管 SapphireStealer 示例的域以及为解析凭证数据库和泄露数据而检索的各种依赖组件。

易于获得的开源恶意软件代码库的副产品之一是，随着时间的推移，进入以经济为动机的网络犯罪的障碍不断减少。在分析个人或团体开展的活动时，这种趋势变得显而易见，这些活动在整个攻击生命周期的各个阶段都缺乏建立运营安全的经验。虽然进行信息窃取者攻击可能需要较少的操作专业知识，但它们可能对企业环境造成极大的破坏，因为被盗的数据通常会在以后用于其他攻击。

Indicators of Compromise

f70651906b9cbf25b3db874e969af7a14caac21bf1db328e4664db54566a15b0
8749bc50fc2b1f0a5f7a1c3c1a3132c45c30ba7dc7a849523bb42cf617fc4a65
94107e993c42fc6e0634be29191410b50c076e129260d23351baa9f6dc7c883e
53c1fca1263a535ac740916a24b28807246a204c6fa22b7374dc17fe913375d4
2c1c171db85455aa2676e02693c8a9b7d62055fee843a17097dba29915637acf
0e27b766a44e3524aee546e3279bcbca22255fa7171b8c6013efa7708e37c633
db94c26dc522719a77f7585bff8884400f389dab012a880734bd9dbc3e52d93c
e97941f812323e05ba4e83b138e8bb794b88efcd56980d07313b5acc965b2661
4ed3e2b343a8bff981a139af0f871bbe76e3e93ac0d6ad4c16acbb1ec0a74bff
40c2f1ee94d5f5283af9b6f7c660aba3921138fc1fcc66dab2489fc9e421589a
e596b3f12b96bf5526285df19dc9674aaaafeb8375eeac4face8eb4285c63e3b
920a9ec15ffeb5ad880c9368238c3b1ab189d429bd3ef99ac9ab16615eeacedf
d6900deab788bec8bd5343a64423ebea6b323603c10b3cca03c08ebe0774bb5a
5d0719c5e29e96b81ec8198e8bba5d531a2dc433c3107be6263dee33b54d578a
b4872f6bb69b449b9c13ac694a8e54a22dce012cba48a5e8bce0607690d08254
0cd26bb7a3a873d60a150ad2e776a37de07f1317639d75f3a0df4939982ac0bf
4966faf9e999db2f059162a8d1e17c44d8f77697ec268ff55f2f4efdb96797a8
d453919141d456afce8476b4af9082b4af8d4c644e8468aa62259d704c22e074
a00f787d5990ee8303bfd5cdc8eda650317434482e6f82cc53dfcf565006896d
7392019700b493b87ba4a53cc25e7cc639ce58da390b1b3780eaf8ee0889dcf3
portfolio-roman.ml
https://portfolio-roman.ml/img/new_game.exe
https://discord.com/api/webhooks/1123664977618817094/La_3GaXooH42oGRiy8o7sazh1Cg0V_mzkH67VryfSB1MCOlYee1_JPMCNsfOTji7J9jO

转载来源：https://blog.talosintelligence.com/sapphirestealer-goes-open-source/

图片来源网络侵权可联系删除