要点
威胁行为者 (TA) 越来越多地利用基于特定国家或地区禁止的应用程序的网络钓鱼活动。
在最近针对俄罗斯用户的案例中,助教模仿 ExpressVPN、微信和 Skype 等流行应用程序制作了网络钓鱼网站,所有这些在俄罗斯都是被禁止的。
有趣的是,这些站点被用来分发相同的 RMS(远程管理系统)可执行文件,这是一种合法的远程管理工具。
恶意软件二进制文件中存在俄语,表明该 TA 可能来自俄罗斯。
据报道,TA505 过去曾使用 RMS(远程操纵系统)来获得网络操作的初始访问权限。TA505 是一个讲俄语的威胁组织,自 2014 年开始运作,历来针对全球范围内的多个部门。
该活动有可能是由 TA505 执行的,尽管我们无法确定。
获得初始访问权限后,TA 可能会利用其他恶意软件系列进行窃取敏感信息等活动。
概述
最近,TA 中出现了一种趋势,他们似乎正在调整自己的策略,以利用特定地区禁止的应用程序的吸引力,从而可能使用户更容易受到网络攻击。这些活动似乎经过巧妙设计,旨在利用用户使用这些受限应用程序的渴望,从而可能使他们容易受到网络攻击。最近的一次活动就是一个例子,其中中国用户通过假冒 Telegram 安装程序成为目标。
Cyble 研究与情报实验室 (CRIL) 最近观察到一场针对俄罗斯用户的活动,其中助教制作了模仿 ExpressVPN、微信和 Skype 等流行应用程序的网络钓鱼网站。由于国家限制,所有这些应用程序在俄罗斯都无法访问。
我们观察到以下正在提供 RMS 的网络钓鱼域。这些网络钓鱼站点假装托管不同操作系统 (OS) 的合法应用程序,但实际上却传播恶意应用程序。
Express-VPN[.] fun。该钓鱼网站克隆了提供 VPN 服务的 ExpressVPN 网站。
图 1 – ExpressVPN 钓鱼网站
we-chat[.]info。该网站冒充微信——一种中国即时通讯和社交媒体应用程序。
图 2 – 微信钓鱼网站
join-skype[.]com。该网络钓鱼网站似乎邀请用户加入名为“Nazi”的群组。这表明 TA 可能通过电子邮件或聊天应用程序传播此链接。
图 3 – Skype 网络钓鱼站点
在所有这些网络钓鱼站点上一致地交付相同的 RMS(远程操纵系统)可执行文件,强烈表明单个威胁参与者 (TA) 或密切协调的组织确实负责策划这些攻击。RMS 是由俄罗斯组织 Tekton Inc. 设计的用于远程管理的合法工具,但过去曾发现一些 TA 利用该工具来获得初始访问权限。
值得注意的是,过去TA505 曾与在网络行动中使用 RMS 相关。TA505 是一个俄语威胁组织,自 2014 年以来一直积极活动,已成为全球网络犯罪领域的重要参与者。TA505 利用 RMS 渗透网络并绕过传统安全措施。他们通过网络钓鱼电子邮件实现这一目标,其中包含受有效社会工程技术支持的恶意 Microsoft Office 文档。
技术分析
Dropper
已识别的网络钓鱼站点分发恶意自解压存档 (SFX) 或直接提供 RMS 二进制文件。SFX 文件通常用于简化从存档中提取文件的过程,从而无需外部软件或实用程序。
SFX 档案提供了提取和安装过程的自定义选项。用户可以设置安装路径、配置选项并控制安装界面的外观。威胁行为者 (TA) 利用此功能,使用 SFX 存档隐藏其恶意负载,使它们看起来像合法的软件安装程序。这种欺骗策略是网络犯罪分子使用的一种众所周知的技术,用于伪装其恶意负载并欺骗用户执行它们,通常是通过使 SFX 文件看起来像正版软件安装。
在此活动中的一个值得注意的实例中,当用户单击“下载 VPN”按钮时,ExpressVPN 网络钓鱼网站会下载 SFX 存档。此 SFX 存档文件旨在模拟合法的 ExpressVPN 安装程序,同时在执行时秘密传递恶意负载。
执行后,SFX 文件(SHA256:0deeb551455cc532832a4f7201fb0f85034f9f3ee1a1320e6b7b300ddaa3bb85)将以下数据写入注册表项“HKCUSoftwareWinRAR SFX”。此注册表项包含与 SFX 存档功能相关的数据,例如存档内容的名称和位置等。
C:UsersUser_nameAppDataLocalTempexpressvpn_windows_12.58.0.4_release下图显示了系统注册表中的条目。
图 4 – 将数据写入注册表项
此 SFX 文件进一步在 %temp% 文件夹中创建一个名为“expressvpn_windows_12.58.0.4_release”的文件夹,并删除以下文件:
expressvpn.exe:此文件是 RMS 可执行文件。
expressvpn_windows_12.58.0.4_release.exe:此文件是一个干净的 ExpressVPN 安装程序。
下图显示了 SFX 存档的内容及其脚本。
图 5 – SFX 存档
将文件放入 %temp% 目录后,SFX 文件会在后台悄悄执行 RMS 可执行文件,以向用户隐藏其存在。它通过在前台执行ExpressVPN安装向导来补充此操作,将其作为诱饵来分散和误导用户,如下图所示。
图 6 – 执行 Clean ExpressVPN 安装程序
下图显示了进程树。
图 7 – 进程树
RMS 可执行文件
RMS 是一种合法的远程管理工具,已在各种活动中得到利用,包括 TA505 开展的活动,以及可能归因于不同 TA 的众多小型活动。该工具不仅可用于商业用途,而且对于非商业目的也是免费的。它支持 Microsoft Windows、Linux、MacOS、iOS 和 Android 设备的远程管理。它支持远程控制、桌面共享、文件传输等功能。下图显示了该活动中使用的 RMS 的版本详细信息。
图 8 – RMS 版本详细信息
执行后,RMS 可执行文件“ expressvpn.exe ”创建一个名为:
MSI_ { 32 个字符的字符串,由字母数字字符和 - 组成}
%temp% 目录中,并在其中放置一个名为“host.msi”的安装程序文件。
现在,它使用带有“-qn”命令行选项的 msiexec.exe 执行安装程序文件,从而以静默方式安装位于指定路径的 MSI 软件包,而不显示任何用户界面对话框,并在“C”目录中删除 RMS 相关文件。 :Program Files (x86)Remote Manipulator System – Host”目录,如下图所示。
图 9 – 删除的文件
随后,它通过在“ HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices ”中添加“RManService”注册表项来创建 Windows 服务,如下所示。
图 10 – 创建服务
图 10 中提到的名为“rutserv.exe”的文件是一个 RMS 实用程序。它进一步创建“rfusclient.exe”和“drvinstaller64.exe”等进程,这有助于建立远程连接。下图显示了 RMS 远程实用程序文件创建的进程。
图 11 – 创建流程
有效值配置
RMS 客户端的配置作为十六进制编码的 XML 数据添加到以下注册表项:
下图显示了十六进制编码的配置数据。该配置数据由数据传输、电子邮件通知、远程访问、屏幕录制等操作所需的数据组成。
图 12 – RMS 配置数据
配置数据分为不同的部分。以下是每个部分中包含的信息的概述:
rms_inet_id_notification:
此部分包含与互联网识别、电子邮件通知和其他相关配置相关的设置。它包括生成新 ID、向电子邮件地址发送通知、SMTP 设置等设置。
图 13 – RMS Internet ID 通知设置
security_settings:
此部分包含安全设置,包括密码哈希、用户访问列表、IP 过滤器设置以及控制远程访问和权限的各种选项等。下图显示了安全设置。
图 14 – 安全设置
general_settings:
此部分包括 RMS 的常规设置,例如端口配置、语言首选项、回调设置和通知首选项。下图显示了常规设置。
图 15 – 常规设置
rms_internet_id_settings:
此部分包含与 Internet ID 设置相关的数据,包括端口配置和 PIN 相关选项。
图 16 – 互联网 ID 设置
certificte_settings:
此部分包含与证书相关的设置,包括证书和私钥。下图显示了证书设置。
图 17 – 证书设置
sreen_record_option:
本节与屏幕录制选项相关,包括间隔、质量、压缩和文件管理的设置。下图显示了屏幕录制选项。
图 18 – 屏幕录制选项
local_settings:
此部分由本地设置组成,包括与 WDDM(Windows 显示驱动程序模型)降级相关的选项。
图 19 – 本地设置
渗漏
RMS 包含“Internet-ID”功能,可与开发人员的服务器建立连接并触发电子邮件通知。通知电子邮件中包含受害者的用户名和设备名称,以及互联网 ID 和远程管理所需的密码。此功能通过简化攻击过程来降低不太复杂的 TA 的障碍。
下图显示了解码后的配置数据,其中包含 TA 的 smtp 设置。
图 20 – SMTP 设置
通知电子邮件使用 SMTP 协议发送。它与 IP 地址“31.31.194.65”建立连接,该地址解析为“mail.hosting.reg.ru”。其他基于 TCP 的命令和控制 (C&C) 通信用于传输受害者的数据。下图显示了 RMS 远程实用程序建立的网络连接。
图 21 – 网络连接
受害者数据以 Base64 编码的 XML 格式传输。该数据通过端口 5655 发送到两个 IP 地址,即 77.223.124.212 和 95.213.205.83。下图显示了发送到 C&C 服务器的编码数据。 
图 22 – 编码网络通信
发送到 C&C 服务器的 XML 数据的结构类似于存储在注册表中的配置数据。该数据由受害者的国家/地区代码、设备名称、操作系统详细信息和标志变量组成,如果 RMS 客户端以管理员权限执行,则该标志变量设置为 true。下图是解码后的数据。
图 23 – 解码后的网络通信
结论
TA 使用合法的远程管理工具已成为网络安全领域的流行趋势。这些工具提供了方便的合法性外衣,允许 TA 融入常规网络流量,同时在不被发现的情况下进行活动。它们提供的优势在于能够绕过传统的安全措施并获得对系统和网络的未经授权的访问。
免费版本和多操作系统支持的结合使 RMS 成为对于寻求远程管理解决方案的合法用户和寻求多种手段来渗透和破坏各种系统的恶意行为者而言极具吸引力的工具。
一旦获得网络的初始访问权限,TA 就可以利用此工具促进横向移动、建立持久性并传播其他恶意软件系列,例如勒索软件和数据擦除器。
我们的建议
实施应用程序白名单以限制端点上未知或未经批准的应用程序的执行,包括远程管理工具。
定期检查系统上运行的服务列表,密切关注名为“RManService”的任何服务。如果您对其真实性有任何疑问,请考虑禁用或删除它。
实施网络流量监控和分析工具来检查出站流量,尤其是端口 5655 上的出站流量。针对异常或可疑流量模式设置警报,这可能表明与 C&C 服务器的通信。
IOCs
转载来源: https://cyble.com/blog/rms-tools-sneaky-comeback-phishing-campaign-mirroring-banned-applications/
图片来源网络侵权可联系删除
