介绍
2023 年 10 月,一家俄罗斯机械工程企业联系 Doctor Web,怀疑其一台计算机上存在恶意软件。我们的专家对这一事件进行了调查,确定受影响的公司遭遇了有针对性的攻击。在这次攻击中,恶意行为者发送了带有附件的网络钓鱼电子邮件,其中包含负责初始系统感染并在系统中安装其他恶意工具的恶意程序。
这次攻击的目的是收集有关员工的敏感信息以及有关公司基础设施和内部网络的数据。此外,我们检测到数据已从受感染的计算机上传;这包括存储在计算机上的文件以及恶意软件运行时拍摄的屏幕截图。
有关攻击和所涉及工具的一般信息
2023 年 10 月上旬,恶意行为者向受影响公司的电子邮件地址发送了多封网络钓鱼电子邮件。这些信息的主题与对某些逃税刑事案件的“调查”有关。这些电子邮件据称是代表俄罗斯联邦调查委员会的一名调查员发送的,并包含两个附件。第一个是受密码保护的 ZIP 存档。它隐藏了一个恶意程序,该程序在执行时会启动系统感染过程。第二个附件是 PDF 文档,并非恶意。它包含一段网络钓鱼文本,指出有关“刑事案件”的所有信息都在档案中,并鼓励用户从中打开恶意程序。
第一条此类网络钓鱼邮件包含 ZIP 存档Трeбoвaниe 19098 Cлед ком РФ от 02.10.23 ПАРОЛЬ - 123123123.zip。就其本身而言,其中的木马应用程序隐藏在文件Перечень юридических лиц 和 предприятий, уклонение от уплаты налогов, требования 和 дополнительные.exe 中。
最后发送的消息之一如下所示:
网络钓鱼 PDF 文档Требование следователя, уклонение от уплаты налогов (запрос в рамках УД).pdf和 ZIP 存档Трeбoвaниe 19221 СК РФ от 11.10。附有 2023 ПАРОЛЬ - 123123123.zip。档案包含以下项目:
与之前的消息类似,攻击者在其名称和文档名称Пароль для открытия 123123123.odt中指明了从存档中提取文件的密码。本文档本身以及文件Права и обязанности и процедура ст. 164、170、183 УПК РФ.pdf和СК РФ.png不是恶意的。
该档案包含木马应用程序的两个副本:Перечень предприятий、уклонение от уплаты налогов、а также дополнительные материалы.exe和Дополнительные материа лы,перечень вопросов,накладные 和 первичные документы.exe。
在所有情况下,Trojan.Siggen21.39882都是攻击者分发的恶意程序。这种恶意软件也称为 WhiteSnake Stealer,在 DarkNet 上出售,用于从各种软件窃取帐户数据并劫持其他数据。此外,它还可以在受攻击的计算机上下载并安装其他恶意应用程序。在所讨论的有针对性的攻击中,它被分配了启动第一感染阶段的角色。该木马收到相应的命令后,会收集有关在受感染系统中配置 Wi-Fi 网络配置文件的信息以及访问它们的密码,并将其传输给攻击者。然后它启动了 SSH 代理服务器并在系统中安装了第二阶段。
第二阶段,同时也是威胁行为者的主要工具,是JS.BackDoor.60恶意后门程序。它是攻击者与受感染系统之间进行主要交互的工具。该后门的特点之一是它使用自己的 JavaScript 框架。该特洛伊木马由主要的模糊主体和附加模块组成,由于恶意软件架构的特殊性,这些模块同时是特洛伊木马组件及其通过它们共享的 JavaScript 函数执行的任务。该木马从其 C&C 服务器接收新任务,事实上它们将其转变为具有可扩展功能的多组件威胁,这使其可以用作强大的网络间谍工具。
JS.BackDoor.60用于为自身提供自动运行功能的机制也很有趣。除了采用传统方法(对 Windows 注册表添加必要的更改)之外,该木马还以特定方式修改了快捷方式文件 ( .lnk )。为此,它验证了许多系统目录的内容,包括桌面和任务栏目录。对于在其中找到的所有快捷方式文件(不包括Explorer.lnk或Проводник.lnk),它指定程序wscript.exe作为启动的目标应用程序。同时,它为其执行添加了特殊参数,其中之一是备用数据流(或ADS),后门主体就写在其中。作为更改的结果,修改后的快捷方式首先启动 JS.BackDoor.60 ,然后才启动初始程序。
在整个攻击过程中,恶意行为者积极向后门发送各种命令。在它的帮助下,他们从受感染的计算机中窃取了数十个目录的内容,其中包含个人和公司数据。此外,我们还发现了该木马创建屏幕截图的证据。
此次攻击中的另一个间谍工具是 BackDoor.SpyBotNET.79 恶意程序,该程序用于音频监视并通过连接到受感染计算机的麦克风记录对话。该木马仅在检测到特定声音强度(特别是声音的一个特征)时才录制音频。
与此同时,攻击者还尝试使用Trojan.DownLoader46.24755下载器木马感染系统,但由于出现错误而失败。
攻击的时间顺序如下图所示:
JS.BackDoor.60收到的任务的时间顺序:
我们的专家进行的分析并未明确表明任何先前已知的 APT 组织参与了此次攻击。
有关检测到的恶意程序的详细技术描述,请参阅该研究的 PDF 版本或访问 Doctor Web 病毒库。
结论
使用作为商业服务(MaaS——恶意软件即服务)提供的恶意工具,例如Trojan.Siggen21.39882,甚至允许相对缺乏经验的恶意行为者对企业和政府机构进行相当敏感的攻击。就其本身而言,社会工程仍然构成严重威胁。这是绕过内置保护层的相对简单但有效的方法,经验丰富的网络犯罪分子和新手网络犯罪分子都可以使用它。在这方面,确保企业的整个基础设施(包括其工作站和电子邮件网关)受到保护尤为重要。此外,建议定期为员工举办信息安全主题培训课程,让他们熟悉当前的数字威胁。所有这些措施将有助于减少网络事件发生的可能性,并将攻击造成的损害降至最低。
IOC
Samples
All hashes are SHA1
Trojan.Siggen21.39882
9b75ef8a67b412122e03a8209c5d46ea5a8cd957: Дополнительные материалы, перечень вопросов, накладные и первичные документы.exeJS.BackDoor.60
847855b9240afb0b8e1e11de412cc779db51020e: the main backdoor body
5f51e7319c582a8ccdd4971d22515977213b8639: the “task_autorun_lnk” task
d45d42225db3ce5cd1407dff55d88dc5ffa843e2: the “task_autorun_reg” task
940390c98276ceda423574c7357188728ea83074: the “task_autorun_scheduler” task
b3d694a7832cd4f228df9cbeaee10e996b583d18: the “task_fdwd” task
db86d55f3394d82f10f9b17b2250d11bb38149c5: the “task_punto2_diary” tas;
5a17ed042b3209d993cd81b56f420a36bd1f3b3a: the “task_punto_install” task
0d2226f7cf71c8685f52d490586ed63bb3393fc1: the “task_s” taskBackDoor.SpyBotNET.79
c402d069a92bbc552c3ac6497547e10f45aca4f3Trojan.DownLoader46.24755
3f34031b923dc68667859162260b22830cbce521: Проводник.exeNetwork indicators
Domains
rembo[.]solkvize[.]com
ragulya[.]amoibius[.]com
skalioz[.]zenoizen[.]com
zalupakonya[.]clonckure[.]com
kishka[.]vivostark[.]com
pizda[.]eckliptic[.]com
aran[.]quonovap[.]com
barmaley[.]quoonity[.]com
muflon[.]zorroiz[.]comIPs:
213[.]232.255.61:8080
88[.]99.71.225:8080
51[.]178.53.191:8080
78[.]46.66.9:8080
135[.]181.206.12:8080
217[.]145.238.175:80
164[.]90.185.9:443
94[.]156.6.209:80
104[.]248.253.214:80
141[.]94.175.31:8098
34[.]207.71.126:80
192[.]99.44.107:8080
107[.]161.20.142:8080
52[.]86.18.77:8080
192[.]99.196.191:443
216[.]250.190.139:80
205[.]185.123.66:8080
52[.]26.63.10:9999
24[.]199.110.250:8080
45[.]55.65.93:80
139[.]99.123.53:9191
44[.]228.161.50:443
162[.]33.178.113:80
167[.]71.106.175:80
45[.]76.190.214:1024
154[.]31.165.232:80
168[.]138.211.88:8099
52[.]193.176.117:443
52[.]196.241.27:443
54[.]249.142.23:443
121[.]63.250.132:88参考链接: https://news.drweb.com/show/?i=14823&lng=en&c=5
图片来源网络目标可联系删除
