迄今为止,BI.ZONE 威胁情报团队已将至少十个活动与 Scaly Wolf 组织联系起来。俄罗斯各行业的组织,包括制造业和物流业,都受到了攻击。
该组织的特点之一是,为了获得初始访问权限,他们代表俄罗斯政府部门发送网络钓鱼电子邮件。犯罪分子的网络钓鱼武器库包括 Roskomnadzor、俄罗斯联邦调查委员会和俄罗斯联邦军事检察官办公室的要求。在极少数情况下,攻击者会将电子邮件伪装成商业报价。值得注意的是,在所有情况下,从法律角度来看,信件的文本都是正确书写的,这使得邮件令人信服,激发了用户的信任,并鼓励他们启动恶意文件。攻击的实施会导致系统被我们之前写过的白蛇窃取者形式的有效负载感染,并窃取公司数据。
主要发现
窃取程序仍然是攻击者分发的最流行的恶意软件类型之一。然而,其中许多现在都具有附加功能,这使得它们能够有效地用于有针对性的复杂攻击。
恶意软件即服务模型使攻击者不必浪费时间开发恶意软件并立即收到成品。此外,商业恶意软件与合法恶意软件一样,通常以“黑客”版本的形式公开提供。
尽管许多恶意软件开发人员被禁止在俄罗斯和独联体国家分发它,但攻击者仍然找到了修改它的方法,有时甚至在这些地区使用它。这再次强调了监控影子资源的重要性,以便在此类恶意软件被用于攻击俄罗斯组织之前识别出此类恶意软件。
使用恶意软件
正如前面提到的,白蛇盗贼是鳞狼武器库中的主要工具,这无疑是该组织的另一个标志。该信息窃取程序于 2023 年 2 月首次出现在互联网的影子部分,作为进行有针对性的攻击的手段。白蛇也通过 Telegram Messenger 中的频道进行分发。
市场上租用窃盗器每月仅需 140 美元。此外,网络犯罪分子甚至不需要有经验,因为该程序并不难处理。因此,为了利用该恶意软件进行攻击,租用它就足够了,这就是为什么暗网上对窃取者的需求相当高的原因。租用或购买此类恶意软件的能力可以显着降低攻击者进行有针对性的攻击所需的技能水平。
White Snake 可以使用 Python 引导加载程序跨平台启动。在Windows平台上,窃取者实现了以下功能:
远程访问木马;
根据 XML 配置进行定制;
键盘记录器用于窃取有关按下的按键的信息。
使用它的成功攻击可以让攻击者同时获得对多个公司资源的访问权限,例如电子邮件和 CRM。该恶意软件能够收集身份验证数据(存储在浏览器和其他应用程序中的密码、来自加密钱包的数据),以及复制文件、记录击键以及远程访问受感染的设备。此外,窃取者还使用 Serveo.net 服务通过 SSH 访问受感染的计算机,这使攻击者能够在受感染的主机上执行命令,包括加载额外的模块来解决利用后的任务。窃取程序的另一个功能是向 Telegram 聊天机器人发送有关新受感染设备的通知。
随着“白蛇”在黑市上的出现,BI.ZONE 网络情报部门专家开始监控该窃取者在网络上的活动及其与各个组织的关系。尽管禁止针对独联体国家的攻击,但还是发现了针对俄罗斯组织的攻击活动。在已识别的攻击中,一套类似的战术、技术和程序(TTP)明显突出,这使得可以将一些使用“白蛇”信息窃取程序的攻击归因于“鳞狼”组织。该组织的典型攻击包括发送以类似方式设计并伪装成政府服务的网络钓鱼电子邮件。另一个显着特征是恶意软件几乎总是包含在受保护的 ZIP 存档中,其密码包含在存档文件名中,例如Требование CK от 08.08.23 ПАРОЛЬ — 123123123.zip.
活动回顾
六月
Scaly Wolf 于 2023 年 6 月首次亮相,以 Roskomnadzor 要求为幌子针对俄罗斯组织。与此同时,BI.ZONE威胁情报团队密切关注白蛇的活动,随后开始追踪该盗窃团伙的行动。作为检测到的活动的一部分,受害者收到一封网络钓鱼电子邮件,其中附加了Требование Роскомнадзор № 02‑12143(пароль‑12121212).rar包含以下文件的存档:
Требование РОСКОМНАДЗОР № 02‑odt;
Приложение к требованию РОСКОМНАДЗОРА о предоставлении пояснений, по факту выявления данных в ходе мониторинга и нанализа списки запрещенн интернет ресурсов, айпи адресов.exe;
РОСКОМНАДЗОР.png。
第一个文件是钓鱼文档(图1),其目的是分散受害者的注意力,让他相信第二个文件是伪装的白蛇窃取者的安全性。
图1. 钓鱼文档正文
七月
7 月,我们发现了一封新的 White Snake 恶意软件网络钓鱼电子邮件,据称是代表俄罗斯联邦调查委员会进行的。信件的主题行(图2)提到了对与逃税有关的刑事案件的调查(“调查委员会的请求,作为逃税调查的一部分”)。它附有一个Запрос ГСУ СК РФ Уклонение от налогов № 7711 от 18.07.2023 пароль 12121313.zip受密码保护的档案。里面有文件:
Права и обязанности и процедура ст. 164, 170, 183 УПК РФ.rtf;
Перечень предприяти, уклонения от уплаты налогов, банковские счета, суммы уклонения, схема.exe。
与六月的活动一样,第二个文件被伪装成无害文档的附件,尽管事实上它是一个信息窃取者。
图2. 网络钓鱼电子邮件文本
八月
8月,袭击者继续向俄罗斯联邦调查委员会使用该主题。8月7日,又发现一封假借侦查委员会要求分发“白蛇盗贼”相关邮件(图3)。受害人收到的信件附有以下档案:
Требование CK от 08.08.23 ПАРОЛЬ — 123123123.zip;
Требование CK от 07.08.23 ПАРОЛЬ — 12312312.zip。
档案中仍然包含文档(例如Требование CK от 07.08.23 ПАРОЛЬ — 12312312ГCУ CK PФ запрос.docx)和可执行文件Перечень юридических лиц и физических лиц в рамках уклонения, сумы уклонения.exe。
图3.其中一份钓鱼文档的内容
九月
9 月 1 日,我们记录了新一波涉及白蛇信息窃取者感染的攻击。袭击者决定(尽管是暂时的)远离与 Roskomnadzor 或俄罗斯联邦调查委员会相关的可怕话题。这一次,这些信件是以商业报价为幌子发出的。潜在受害者收到一封带有受密码保护的存档的网络钓鱼电子邮件,其中可能具有以下命名选项:
КП от 01.09.23 (Пароль к архиву — 121212).zip;
КП от 01.09.23 (пароль к архиву — 121212).rar;
КП 12119- тех.док.rar。
在 9 月 6 日的邮件中,存档仍然包含伪装成文档附件的恶意可执行文件。然而,9 月 12 日,该文件以 CMD 扩展名交付:
C:Windowssystem32cmd.exe /c ""C:UsersadminAppDataLocalTempRar$DIa1872.39116КП 12119- тех.док.cmd" "
十月
10 月,鳞狼组织决定继续散发含有恐吓内容的信件。因此,从10月2日开始,攻击者代表俄罗斯联邦调查委员会进行了网络钓鱼邮件。这些信件涉及刑事案件的调查,主题如下:
“与俄罗斯联邦调查委员会第 11091007706001194 号刑事案件调查有关的请求”;
“与俄罗斯联邦调查委员会第 11091007706001194 号刑事案件调查有关的请求”;
“在俄罗斯联邦调查委员会第 11091007706011194 号刑事案件调查框架内提出的请求”;
“在俄罗斯联邦国家调查委员会刑事案件 N11091007706001194 调查框架内提出请求。”
信中附有一份 PDF 文件Запрос следователя (уклонение от уплаты налогов) — копия.pdf,旨在分散受害者的注意力(图 4)。它指出,在伪造文件的情况下,收件人必须作为证人出庭接受俄罗斯联邦调查委员会的讯问。
与以前一样,恶意可执行文件(图 5)与档案中的无害文档一起定位。
除了这个文件之外,还有一个Трeбoвaниe 19098 СК РФ от 07.09.23 ПАРОЛЬ — 123123123.zip关于白蛇窃取者的档案,名为:
Перечень юридических лиц и физических лиц в рамках уклонения, сумы уклонения.exe;
Перечень юридических лиц и предприятий, уклонение от уплаты налогов, требования и дополнительные материалы.exe。
图4. 一封钓鱼邮件的附件
图5. 钓鱼文档
10月16日,又发现了一封类似的信件,同样包含一个PDF文件和一个档案(图6)。
图6. 带有附件的网络钓鱼电子邮件
十一月
整个 11 月,我们不断发现来自白蛇窃取者的新恶意邮件。因此,从 11 月 2 日起,该组织开始分发带有文字的信件,告知潜在受害者有关法院命令的信息。这次,攻击者决定不使用存档,并立即在信件中附加了一个可执行文件Постановление о производстве выемки и прилагаемые к запросу материалы.exe。
11 月 13 日,攻击者又重新采用了经过验证的网络钓鱼和社会工程方法,或者更准确地说,以俄罗斯联邦调查委员会的请求为幌子发送信件。和以前一样,受害者收到了一个名为Трeбoвaниe 19225 СК РФ от 31.10.2023 ПАРОЛЬ — 11223344.zip(图 7)的受密码保护的存档,其中包含文档和可执行文件Перечень юридических лиц и физических лиц в рамках уклонения, сумы уклонения.exe。
图7. 网络钓鱼电子邮件的附件
同月,即11月20日,我们发现了一封新的信件,该信件以监管文件为幌子散布白蛇盗贼。这次,攻击者要求提供信函所附合同的监管文件。同时,附件中包含一个存档,里面有一个可执行的PE文件(图8)。
图8. 钓鱼邮件的内容
2024 年 1 月
在 12 月短暂休息后,该组织于 2024 年初重新开始分发《白蛇盗贼》。但如果说早些时候攻击者冒充俄罗斯联邦调查委员会和俄罗斯联邦国防调查局,那么在新的行动中,这些信件是代表俄罗斯联邦主要军事检察官办公室发送的。在此活动中,攻击者使用了以下主题:
“在俄罗斯联邦主要军事检察官办公室 UD 第 111801400013001322 号调查框架内扣押”;
“俄罗斯联邦 UD No. 111801400013001322 GVP 调查框架内的要求”;
“在俄罗斯联邦第 111801400013001322 GVP 刑事案件调查框架内扣押。”
与往常一样,该名信函上附有一份档案Постановление о производстве выемки (ЄЦП) — пароль 1628.zip(图9),其中包含一个文档Права и обязанности и процедура ст. 164, 170, 183 УПК РФ.rtf和一个可执行文件Постановление о производстве выемки (электронная цифровая подпись).exe。
图9. 网络钓鱼电子邮件的附件
结论
如今,来自世界各地的各种网络犯罪团伙的威胁持续增长,俄罗斯市场也是如此。与此同时,暗网市场上任何资格的买家都可以使用恶意软件,这只会加剧攻击者的队伍和有针对性的攻击数量的增加。Scaly Wolf 就是这样一个组织,我们的网络情报部门已经跟踪了六个多月。
该组织几乎持续不断地分发白蛇盗贼,开始对俄罗斯商业构成严重威胁。此外,攻击者以政府部门、特别是俄罗斯联邦调查委员会为幌子,一遍又一遍地发送信件,这一事实表明存在有效的计划以及正在进行的活动的成功。从 2024 年 1 月已经发生的攻击来看,Scaly Wolf 将继续尝试危害俄罗斯公司,并且可能在相当长的一段时间内不会离开这一领域。
妥协指标
135.181.98.45
164.132.115.9
18.218.18.183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参考链接: https://bi.zone/expertise/blog/scaly-wolf-primenyaet-stiler-white-snake-protiv-rossiyskoy-promyshlennosti/
图片来源网络目标可联系删除