RedLine/Vidar 滥用 EV 证书，转向勒索软件

自 2022 年中期以来，我们一直在观察恶意软件家族 RedLine 和 Vidar，当时威胁行为者利用这两个恶意软件家族通过鱼叉式网络钓鱼诈骗来瞄准受害者。今年早些时候，RedLine将其信息窃取恶意软件瞄准了酒店业。

我们的最新调查显示，RedLine 和 Vidar 背后的威胁行为者现在使用与传播信息窃取程序相同的交付技术来分发勒索软件有效负载。这表明威胁行为者正在通过使他们的技术具有多种用途来简化操作。在我们调查的这个特殊案例中，受害者最初收到了带有扩展验证 (EV) 代码签名证书的信息窃取恶意软件。然而，一段时间后，他们开始通过相同的路线接收勒索软件有效负载。  

EV 代码签名证书颁发给经过验证在每个国家/地区合法且实际存在的组织。与常规代码签名证书相比，它们需要具有扩展身份验证的发行过程，以及需要硬件令牌的私钥生成。

图 1. 使用 EV 代码签名的信息窃取程序示例

自今年 6 月以来，CA/浏览器论坛 (CABF)——一个公钥基础设施 (PKI) 行业组织——强制要求生成硬件密钥，即使是常规代码签名证书也是如此。这是解决私钥保护问题的额外努力，因为它们无法作为软件数据进行复制，因此使从计算机窃取私钥和证书变得更加困难。  

尽管采取了这些额外的安全措施，但从 2023 年 7 月到 8 月，仍然使用了 30 多个与此案例相关的 EV 代码签名样本。该信息窃取程序被检测为 TrojanSpy.Win32.VIDAR.SMA，具有多态性，每个样本都有不同的哈希值。虽然在其他情况下，威胁行为者也将 EV 证书用于其恶意软件，但这是第一次观察到单个威胁行为者拥有如此多的样本。目前尚不清楚威胁行为者如何访问私钥。

在之前的报告中，我们观察到 QAKBOT 运营商滥用常规代码签名证书，其中大部分由单个威胁参与者使用。查看证书内容表明，证书是由证书颁发机构 (CA) 直接颁发给冒充受害公司的威胁行为者。对于 RedLine 和 Vidar，我们可以假设对 EV 证书进行代码签名的威胁参与者可能拥有硬令牌本身或有权访问硬令牌所连接的主机。

安全研究人员的报告可以撤销用于签署恶意模块的证书，从而导致各自的代码签名无效。使用 X.509 证书进行代码签名允许设置“撤销日期”，仅使指定撤销日期之后签名的模块无效。这是为了保护在私钥被泄露之前签名的模块的代码签名的有效性。

在我们调查的案例中，信息窃取者的代码签名并未失效，因为撤销日期设置为 8 月 3 日，即我们报告滥用行为的日期，而不是样本的签名日期。该恶意软件样本的签名日期为 7 月 17 日，早于设定的撤销日期，因此继续具有有效的签名验证。

我们联系 CA 解释说，应该使用颁发日期作为撤销日期来撤销证书，以便使用该证书的所有代码签名都无效。随后对该证书进行了处理，以3月21日为撤销日期，3月21日之后所有公众观察到的样本签名均作废。值得注意的是，无效的撤销日期设置是过去研究论文中报道过的一个问题。

我们调查的证书的序列号为5927C49718E319C84A7253F7DEB1A420，在下图中我们可以看到证书吊销列表 (CRL) 上的吊销日期已从 8 月 3 日更新到 3 月 21 日。

图 2. CRL 的撤销日期已从 8 月 3 日更新至 3 月 21 日

技术分析

图 3. RedLine 和 Vidar 使用的信息窃取恶意软件的感染链

RedLine 和 Vidar 背后的恶意行为者使用经典且陈旧的技术来引诱受害者运行恶意文件：

• 他们在鱼叉式网络钓鱼电子邮件中使用呼吁采取行动的短语，并在与健康和酒店住宿相关的主题上引发紧迫感。
• 他们使用双扩展名来欺骗用户，让他们认为他们正在执行的文件是 .pdf 或 .jpg 文件，而不是 .exe 文件，从而在运行时启动感染。他们还利用普通用户的视图通常会隐藏扩展名，导致他们无法注意到他们正在执行的文件是一个 EXE 文件。
• 他们使用包含执行恶意文件命令的 LNK 文件来帮助绕过检测。
• 尽管 Google Drive 的内置协议可以自动评估文件以保护系统免受恶意软件的侵害，但恶意行为者仍设法通过文件存储服务传输恶意文件。

图 4. 通过与 RedLine 和 Vidar 的信息窃取恶意软件相同的传递方法传递勒索软件负载的感染链

在我们调查的案例中，受害者最初是从今年 7 月 10 日左右的一系列活动中获取信息窃取恶意软件的。8 月 9 日，他们被诱骗下载并打开虚假的 TripAdvisor 投诉电子邮件附件后收到勒索软件负载。该附件使用双文件扩展名 (.pdf.htm) 将自身伪装成良性 .pdf 文件并隐藏实际的 .htm 负载。  

图 5.“TripAdvisor-Complaint.pdf.htm”文件

图 6. 用户下载鱼叉式网络钓鱼附件，如 Trend Vision One™ 工作台上所示

打开附件并选择“阅读投诉”后，用户在不知不觉中执行了samuelelena[.]co中的以下 JavaScript 文件：

• hxxps://samuelelena[.]co/npm/module.external/jquery.min.js
• hxxps://samuelelena[.]co/npm/module.external/moment.min.js
• hxxps://samuelelena[.]co/npm/module.external/client.min.js
• hxxps://samuelelena[.]co/npm/module.tripadvisor/module.tripadvisor.js

图 7.“TripAdvisor-Complaint.PDF.htm”的内容

随后下载并执行TripAdvisor Complaint-Possible Suspension.exe。BleepingComputer发现并分析了一个不同的版本，当选择“阅读投诉”按钮时，它会下载 Excel XLL 文件。该 XLL 文件是使用 Excel-DNA 创建的，它将 .NET 集成到 Microsoft Excel 中，以便在打开该文件时执行恶意软件。

图8.“TripAdvisor Complaint-Possible Suspension.exe”的后续下载和执行

文件TripAdvisor Complaint-Possible Suspension.exe连接到以下 URL：

• hxxps://doi[.]org（管理数字对象标识符系统）
• hxxps://i.ibb[.]co/Gp95Qcw/2286401330.png（图像托管网站）

读取2286401330.png文件的内容并将其转换为加密的 shellcode，另存为：

• C:Users\AppDataRoamingKYMRCRHEVFUJGZHWNKKDYUUUBCFJVYCNCBMABZLBL

图 9.“2286401330.png”文件

图 10. Shellcode“YUUUBCFJVYCNCBMABZLBL”

随后，对加密后的shellcode进行解密，生成另一个shellcode，保存如下：

• C:Users\AppDataLocalTemp70685a9e

图 11. 到“hxxps://i.ibb[.]co/Gp95Qcw/2286401330.png”的出站连接导致创建 shellcode“70685a9e”

图 12. Shellcode“70685a9e”

随后，TripAdvisor 投诉可能暂停.exe生成了cmd.exe ，其中注入了第二个解密的 shellcode 70685a9e 。此后，cmd.exe将合法的 7-Zip 独立控制台应用程序rgb9rast.exe放入%temp%中，并按如下方式启动它：

• C:Users\AppDataLocalTemprgb9rast.exe

图 13.“rgb9gast.exe”的进程注入

最终，检测为 Ransom.Win64.CYCLOPS.A 的勒索软件负载被注入rgb9rast.exe中。我们观察到rgb9gast.exe丢弃了勒索信息，使用 .knight_l 扩展名加密文件，并执行出站服务器消息块 (SMB) 连接以加密网络上的文件。

图 14. 使用“.knight_l”扩展名和出站 SMB 连接进行加密以加密网络上的其他文件

我们观察到，威胁行为者还为其恶意文件使用以下文件名。发现以下文件的样本具有 EV 代码签名：  

• Additional information about the reservation.exe
• doctor's opinion.exe
• Doctor's recommendations.exe

威胁行为者还使用以下文件名作为其恶意文件，而无需 EV 代码签名：

• 关于reservation.exe的附加信息（文件名中的拼写是“infotoin”而不是“information”。）
• TripAdvisor 投诉 - 可能存在 Suspension.exe勒索软件

他们还使用了以下双重扩展：

• Additional information about the reservation.jpg.exe
• Additional information about the reservation.pdf.exe
• cleaning products recommendations.pdf.exe
• doctor's opinion.pdf.exe
• doctor's opinion.pdf.exe.exe
• Doctor's recommendations.pdf.exe
• Requests.pdf.exe
• requests.pdf.exe

观察到的勒索软件负载的常见传递方法包括以下路径：

• C:Users[user]AppDataLocalMicrosoftWindowsINetCacheContent.OutlookAHYEW8U2TripAdvisor-Complaint-Lcn5en.PDF.htm
• C:Users [user] AppDataLocalTempgigiduru.PDF.htm
• C:Users [user] AppDataLocalMicrosoftWindowsINetCacheContent.OutlookMNV4PEH3TripAdvisor-Complaint-9dyl66.PDF.htm
• C:Users [user] AppDataLocalMicrosoftWindowsINetCacheContent.OutlookJ53L41BPTripAdvisor-Complaint-1uy8dx.PDF.htm

结论

尽管 CABF 实施了更严格的安全措施，威胁行为者仍然能够传播使用 EV 证书进行代码签名的信息窃取恶意软件，理想情况下，这些证书应该已经具有强大的颁发流程和安全的私钥保护。还应彻底调查使用受损私钥撤销滥用证书的情况，以确保 CA 对撤销日期的调整涵盖恶意文件的所有使用情况。

此时，值得注意的是，与我们调查的信息窃取程序的样本不同，用于删除勒索软件有效负载的文件没有 EV 证书。然而，这两者源自同一威胁参与者，并使用相同的传递方法进行传播。因此，我们可以假设有效负载提供商和运营商之间存在分工。

建议遇到过信息窃取者的用户对勒索软件保持警惕，因为我们的研究结果表明，威胁行为者在最大限度地利用其技术来实现不同目的和网络犯罪方面变得更加高效。  

我们在本条目中的调查强调了配置和更新攻击面保护的重要性，这些保护可以在恶意项目到达用户之前将其删除。建议组织“左移”——在威胁生命周期的早期采取措施来防止攻击，并采取措施在造成广泛损害之前检测到违规行为。对于勒索软件攻击，早期检测和缓解可以防止威胁行为者获取足够的信息来进行勒索软件攻击。用户还应避免或避免从未经验证的来源和网站下载文件、程序和软件，并为其个人和企业系统安装多层保护系统。

妥协指标 (IOC)

SHA256指标及说明

SHA256                                                              指示器                                                     描述
9123e42cdd3421e8f276ac711988fb8a8929172fa76674ec4de230e6d528d09a    TripAdvisor Complaint - Possible Suspension.exe            网络钓鱼附件，检测为勒索软件。Win64.CYCLOP.A
486a9204d3b56449fd0af14bba165fd36182846a9cd9b17837d0f4f818de09e4    First shellcode                                            保存为%appdata%｛20个随机大写字母字符｝｛21个随机大写字符｝。哈希值可能会有所不同。
a6258d70bc0b5d5c87368c5024d3f23585790b14227b8c59333413082524a956    Second shellcode                                           第二个外壳代码，保存为%localappdata%temp｛8个随机小写字母字符｝。哈希值可能会有所不同。 
f39291532290bdbbf355e79bb67019225622da9699adb5fd66cbb408cee99835    Second shellcode                                           第二个外壳代码，保存为%localappdata%temp｛8个随机小写字母字符｝。哈希值可能会有所不同。 
ec835cbaad5c14ef5abcd659199c2027d2c05cee852fb82018d9d065261f304f    rgb9gast.exe                                               合法的7-Zip独立控制台
f8cf52e98aeae2170ab68d53b99b104fa6320f54057a63d2603ecdb2ec559fc1    How to restore your files.txt                              Ransomnote 
c53ff1351ab0a076ed9c5868e42627939739cfaa98786a111884a3a4dd829747    Additional information about the reservation.exe
f69fa5f7a89ef1c19214ee0c8db393ced2b166bc2f7876e3b09e7903b46d21d0    doctor's opinion.exe 
bb3a8aafefd6d2953b2de555a085474fad6ba3b43eb60f0d594adac08b9d9cc3    Doctor's recommendations.exe

网络 IOC

URL

URL                                                                           描述
hxxps://samuelelena[.]co/npm/module.external/jquery.min.js                   与网络钓鱼附件TripAdvisor-Complaint-uy8dx.PDF.htm关联的JavasScript文件
hxxps://samuelelena[.]co/npm/module[.]external/moment.min.js                 与网络钓鱼附件TripAdvisor-Complaint-1uy8dx关联的JavasScript文件。PDF.htm
hxxps://samuelelena[.]co/npm/module[.]external/client.min.js                 与网络钓鱼附件TripAdvisor-Complaint-uy8dx.PDF.htm关联的JavasScript文件
hxxps://samuelelena[.]co/npm/module.tripadvisor/module.tripadvisor.js        与网络钓鱼附件TripAdvisor-Complaint-uy8dx.PDF.htm关联的JavasScript文件
hxxps://www.doi[.]org/                                                       管理数字对象标识符（DOI）系统的非恶意网站 
hxxps[://]i.ibb[.]co/Gp95Qcw/2286401330.png                                  TripAdvisor Complaint下载的.png文件-Possible Suspension.exe，包含勒索软件二进制文件

转载来源：https://www.trendmicro.com/en_us/research/23/i/redline-vidar-first-abuses-ev-certificates.html

图片来源网络侵权可联系删除