执行摘要:
2023 年 7 月上旬,微软称之为“Storm-0324”的威胁参与者被发现通过 Microsoft Teams 发送网络钓鱼消息。Storm-0324 是一个出于经济动机的威胁行为者组织,此前因分发网络钓鱼电子邮件以通过远程执行代码获得对受感染系统的初始访问权限而闻名。在获得初步立足点后,Storm-0324 经常将访问权限移交给知名勒索软件组织 Sangria Tempest(也称为 FIN7、Carbon Spider)和 TA543,后者经常利用该组织提供的访问权限执行勒索软件攻击。
威胁参与者 Sangria Tempest 和 Storm-0324 此前曾与 Gozi InfoStealer、Nymaim 下载器和储物柜的分发有关,现在 Storm-0324 正在分发 JSSLoader,然后将责任转嫁给其他勒索软件组织。
传送机制:
图 1:JSSLoader感染链——Storm-0324
Storm-0324 的恶意软件分布历史:
从网络钓鱼电子邮件时代开始,Storm-0324 通常会发送钓鱼电子邮件发票主题,例如 DocuSign、Quickbooks 等。用户将被重定向到 SharePoint 站点,其中压缩的 WSF(Windows 脚本文件)/JS 提供恶意 .Net 负载 JSSLoader。到目前为止,威胁行为者使用了各种文件类型,包括 Windows 脚本文件 (WSF)、MS Office Doc 和 VBS。
在此威胁之前,Storm-0324 的有效负载分布范围如下:
- Gozi – V3
- Trickbot
- Gootkit
- Dridex
- Sage, Gandcrab Ransomware
- IcedID
威胁分析:
感染媒介#1:网络钓鱼电子邮件(类型#1)——2019 年初
图 2:网络钓鱼电子邮件
恶意文档作为附件(类型#2)——2019 年初
图 3:诱饵文档:受密码保护
威胁向量:
受害者被重定向到一个 SharePoint 站点,该站点托管一个 ZIP 文件,其中包含已知可传递 JSSLoader 有效负载的恶意脚本。托管文件利用了本地安全功能绕过漏洞 (CVE-2023-21715)。托管文件启动后,它会将 JSSLoader .Net 有效负载放入受害计算机中,随后导致(放手访问)Sangria Tempest 的 RaaS(勒索软件即服务)攻击。
基于团队的网络钓鱼活动(类型#3)——2023 年 7 月上旬
2023 年 7 月上旬,该威胁行为者开始通过 Teams 发送网络钓鱼诱饵文档/恶意链接,这些链接重定向到托管压缩恶意脚本的 SharePoint 链接。GitHub 上有一个由 Red Teamer 编写的工具(TeamsPhisher),可以帮助租户在消息中附加文件以传递网络钓鱼附件。这些网络钓鱼攻击可以被 Teams 识别为“EXTERNAL”用户(如果在可以从 Teams 管理中心访问的设置中启用了对 EXTERNAL 的访问,我们可以在其中选择用户有权访问的域)。
感染媒介#2: 包含 WSF 的 ZIP 存档
一旦受害者点击网络钓鱼诱饵链接,就会重定向到 SharePoint 网站,恶意 ZIP 文件将在该网站下载。
图 4:zip 存档中的压缩 WSF
WSF 文件的实际脚本中散布着一些注释行,这会欺骗用户,让他们相信它们本质上是良性的。让我们进一步深入研究 WSF 脚本文件。
图 5:带注释的 VB 脚本 – 清理
所有编码均以 Char 代码完成,并存储在具有随机变量名称的数组中。解码显示该脚本尝试联系一个网站,该网站下载编码为感染向量 3 的 VB 脚本。
图 6:WSF 联系站点下载下一级有效负载 (VBS)
感染媒介#3: 编码的 VB 脚本
进一步分析下载的 VBS 文件,我们发现了带有一些解密机制以及 XOR 的模糊字符串。此外,泥泞的字符串还有另一个 VB 脚本,它联系另一个下载 JSSLoader .Net 最终有效负载的站点。
图 7:下载的 VB 脚本
我们调查了解密的 VBS 脚本,该脚本尝试联系站点,将名为“Creative_Sound_Update.exe”的恶意 EXE (JSSLoader .Net) 投放到 %Temp% 位置。除此之外,它还使用标题为“Creative Sound Blaster Software”对象创建任务。
图 8:通过 XOR 解码编码的 VB 脚本
图 9:%Temp% 中删除的 EXE
感染媒介 #4: 删除的 EXE (JSSLoader .Net)
JSSLoader 是一个高度复杂的后门,由 FIN7/Sagrid 威胁参与者开发,并包含以下功能:
- 反分析
- 渗漏
- 远程代码执行
- 持续性
图 10.1:文件类型 – DIE
涉及 TickCount 的反分析技巧会返回目标系统处于活动状态的毫秒数。程序使用这个值来确定系统已经运行了多长时间来做出决策。
图 10.2:使用 TickCount 进行反分析
此外,攻击者使用字节值数组,然后将其转换为 UTF-8 字符以生成 C2C 服务器“hxxps[://]monusorge[.]com”。
图10.3:C2C构建
唯一 ID 生成:
为了跟踪受害者/目标,有效负载会根据序列号、域名和计算机名称生成目标的唯一 ID,如下所示。
图 10.4:唯一 ID 生成
渗漏:
作为 RAT(远程访问木马),恶意软件在下一阶段的执行中会收集以下受害者信息:
- 逻辑驱动因素
- 主机名
- 用户名
- 域名
- 系统信息(桌面文件列表、正在运行的进程、已安装的应用程序、PCinfo)
- 知识产权信息
该信息被收集并进行 Base64 编码(图 10.5)。
图10.5:渗透到C2C
持久性:
通过启动文件夹中的创建的快捷方式 Shell LNK 的目标是可执行文件。
图 10.6:持久性
远程代码执行:
持久化之后,RAT 立即等待通过同一 C2C 服务器的命令传递 Base64 编码的命令。将任何信息发送回 C2C 服务器时,唯一的受害者 ID 是请求的一部分,并且 SSL 证书错误将被忽略。
图 10.7:进入 RAT 和远程证书验证
从 C2C 接收到的每个命令字符串都将在持久阶段进行评估,然后再在受害机器上执行。以下是该 RAT 可以支持的高度复杂的命令。每个命令都会用“cmd.ID”来标识
图 10.8:交换机中的命令
执行命令:
威胁向量: RAT 执行
执行命令将被解析为带有新行分隔符的行数组;稍后,命令将根据数组中最长行的引号构建。这些命令将写入目录中,然后作为参数解析到 PowerShell。
图 10.9:RAT 执行
结论:
自 2019 年以来,JSSLoader 不断被修改,这种威胁的传递方式也在不断变化。其中包括一种基于 Teams 的网络钓鱼攻击的新方法,通过 GitHub 中提供的一些脚本进行,这会导致脚本小子动手。该恶意软件从最初的传播到最终的有效负载都使用了一些最有效的技术。作为针对使用 Teams IM 作为主要聊天框的专业人士的最新版本的交付方法,启用了外部用户通信,其中包含一些诱饵网络钓鱼消息以及导致网络中连接设备遭受勒索攻击的附件。随着 JSSLoader 用 C++ 的开发,其目的是逃避当前的检测并使分析变得更加困难。
如何保护自己:
- 在回复发件人之前请仔细检查发件人。
- 单击从外部用户收到的 Teams 消息中的链接时请务必小心。
- 打开附件时要小心,尤其是从 EXTERNAL 租户用户收到的扩展名 zip、doc、html 和 rar。
- 使用强大的网络安全解决方案,确保您免受此类恶意行为的侵害。
国际奥委会:
190dc68bd60cad34692d1d32801d4bc6e13af7c893ee9b61282ff19160c32104
8f0b76c7ea3668d82208ec5389c5a1256fd6a3316c1cc2045d24535c7f971c2f
a062a71a6268af048e474c80133f84494d06a34573c491725599fe62b25be044
2180d0f46ec6f843fa8b1984acfd251371be7d4228d208eb22bc4a87e9b7c59f
8ce1654a1ecc359c10d7e0b5c826e993fd460a96e4b6158e3333305d2b29e34b
e0691e16bad172ef5d8f83f5d4dc67562a4ba9529702c420c42e9cc64c276e37
537f9cd1d79584e8d95b6111eb8c293cb1dd7d60b29e950875ee3f1ad4788895
2373a6a7223154a2e4e3e84e4bdda0d5a9bc22580caf4f418dae5637efec65e5
1f2ab2226f13be64feeece1884eaa46e46c097bb79b703f7d622d8ff1a91b938
33b3a1da684efc2891668eecf883ba7b9768a117956786e4356a27d1dffe0560
c1e7d6ec47169ffb1118c4be5ecb492cd1ea34f3f3dd124500d337af3e980436
148d74e453e49bc21169b7cca683e5764d0f02941b705aaa147977ffd1501376
15f15b643eafcc50777bed33eda25158c7f58f4dbaaaa511072ef913a302a8da
969cfeddc1c90d36478f636ee31326e8f381518e725f88662cc28da439038001
daba93cf353585a67ed893625755077a2d351ba46ec5ea86b5bd0b45b84bc7c5
hxxps[://]neurofit4life[.]com/organizations/team.eml
hxxps[://]trainthecatch[.]com/commercial/development.eml
hxxps[://]pwr4life[.]com/individuals/sepa.eml
hxxp[://]massacreisland[.]com/certifications/acknowledged.eml
hxxps[://]sdidrichsen[.]com/impossible/complex.eml
hxxp[://]startmakingsenseofself[.]com/weekend/productivity.eml
hxxps[://]alphalanding[.]com/successfully/warranty.eml
hxxp[://]myhobbyjapan[.]com/developed/signature.eml
hxxps[://]discreettv[.]com/worldwide/timestamp.eml
hxxps[://]discreettv[.]com/worldwide/margarita
C2C服务器:
spacemetic[.]com
securmeawards[.]com
divorceradio[.]com
weotophoto[.]com
monusorge[.]com
转载来源:https://www.trellix.com/en-us/about/newsroom/stories/research/storm-0324-an-access-for-the-raas-threat-actor.html
图片来源网络侵权可联系删除