StrelaStealer 恶意软件从知名电子邮件客户端窃取电子邮件登录数据-每日运维

执行摘要

StrelaStealer 恶意软件从知名电子邮件客户端窃取电子邮件登录数据，并将其发送回攻击者的 C2 服务器。攻击成功后，威胁行为者将获得受害者的电子邮件登录信息，然后他们可以使用这些信息来执行进一步的攻击。自 2022 年该恶意软件首次出现以来，StrelaStealer 背后的威胁发起者已经发起了多次大规模电子邮件活动，而且没有任何放缓迹象。

最近，我们的研究人员发现了一波大规模的 StrelaStealer 活动，影响了欧盟和美国的 100 多个组织。这些活动以带有附件的垃圾邮件形式出现，最终启动 StrelaStealer 的 DLL 负载。

为了逃避检测，攻击者将初始电子邮件附件文件格式从一个活动更改为下一个活动，以防止通过先前生成的签名或模式进行检测。恶意软件作者经常使用更好的混淆和反分析技巧来更新 DLL 有效负载，这使得分析师和安全产品的分析变得越来越困难。

本文深入探讨了这些最近的攻击的时间线以及恶意软件所采用的不断演变的策略。

通过Advanced WildFire提供的检测和情报，Palo Alto Networks 客户可以通过以下产品更好地防御 StrelaStealer：

具有 Advanced WildFire 功能的Cortex XDR能够帮助检测 StrelaStealer 的新变体。 Cortex XDR 有助于防止 StrelaStealer 的攻击链。

具有云交付安全服务的下一代防火墙，包括高级野火检测、高级 URL 过滤和DNS 安全，将已知的 C2 域和 IP 归类为恶意。

Prisma Cloud Defender代理应部署在基于云的 Windows 虚拟机上，以确保它们免受这些已知恶意二进制文件的侵害。 Palo Alto Networks 云服务均可使用 WildFire 签名，以确保分析基于云的 Windows VM 运行时操作并保护这些资源。

组织还可以与Unit 42 事件响应团队合作，帮助达成妥协或提供主动评估以降低风。

StrelaStealer 简介

StrelaStealer 恶意软件是一种电子邮件凭据窃取程序，由 DCSO_CyTec 在其于2022 年 11 月 8 日发布的Medium 博客中首次记录。自该恶意软件首次出现以来，StrelaStealer 背后的威胁发起者已发起了多个大规模电子邮件活动，通常在整个欧盟范围内和美国

例如，2023 年发起的最后一次大规模活动是在 11 月左右。我们的研究人员观察到 2024 年 1 月下旬发起的一项针对欧盟和美国多个行业的新活动

StrelaStealer 的基本目标没有太大变化，有效负载 DLL 仍然可以通过strela字符串识别。然而，我们可以看到威胁行为者已经更新了恶意软件以试图逃避检测。

StrelaStealer 的这个新变体现在通过压缩的 JScript 提供，并在 DLL 有效负载中采用了更新的混淆技术。我们将在本文中提供更多技术分析和细节。

2023 年最后一次大规模活动

自 StrelaStealer 出现以来，我们观察到其威胁运营者发起了多次大规模活动。 WildFire 研究人员观察到，2023 年最后一次大规模活动发生在 11 月，目标是美国和欧盟的组织。下图 1 显示了 2023 年 11 月活动的时间表。

图 1. 2023 年 11 月活动

2024年近期大型活动

2024 年一个月后，StrelaStealer 背后的威胁参与者发起了另一场大规模活动，再次针对同一地理区域的组织。下图 2 显示了近期活动的时间线，该活动在 2024 年 1 月 29 日达到顶峰。

图 2. 2024 年 1 月活动

在此活动期间看到的 StrelaStealer 垃圾邮件的语言已本地化，主题行的模式为Factura/Rechnung/invoice####。下面的图 3 是一封德语电子邮件示例。

图 3.垃圾邮件示例

图 4 显示，虽然最近的攻击活动似乎针对许多行业的组织，但高科技行业的组织是最大的目标。

图 4. 前八个行业的 StrelaStealer 样本计数

StrelaStealer 新变种的技术分析

原始 StrelaStealer 感染链和有效负载回顾

正如DCSO 在 Medium 上的博客中所讨论的，早期版本的 StrelaStealer 通过带有附加.iso文件的电子邮件感染系统。 .iso文件包含.lnk文件和超文本标记语言 (HTML)文件。该技术利用多语言文件，这些文件可以根据执行的应用程序进行不同的处理。

当受害者单击.iso文件中包含的.lnk文件时，它会执行 HTML，然后调用rundll32.exe来执行嵌入的 StrelaStealer 有效负载。初始有效负载具有一些加密字符串，这些字符串在执行过程中使用固定的 XOR 密钥进行解密，如图 5 所示。

图 5. 解密密钥

更新的感染链

当前版本的 StrelaStealer 通过包含 ZIP 文件附件的鱼叉式网络钓鱼电子邮件进行传播。用户下载并打开存档后，JScript 文件就会被放入系统中。

然后，JScript 文件会删除一个 Base64 加密文件和一个批处理文件。使用certutil -f 解码命令对 Base64 加密的文件进行解码，从而创建可移植可执行 (PE) DLL 文件。根据用户的权限，该文件会放入本地磁盘上的%appdata%temp或c:temp中。然后使用rundll32.exe通过导出的函数hello执行 DLL 文件。

旧版本和新变种的感染链见图6。

图 6. 感染链

更新了打包机

在 2024 年 1 月活动中看到的 StrelaStealer 的最新变体中，加壳器已经发展并采用了控制流混淆技术，使分析变得更加困难。

图 7 中所示的初始函数包含由大量算术指令组成的过长代码块的示例控制流混淆技术。这是一种反分析技术，可能会导致在沙箱环境中执行样本期间超时。

图 7. 混淆（代码块过大）

原始的和新的 StrelaStealer 有效负载都是 DLL 文件，其中包含被调用以发起攻击的恶意导出函数。图 8 并排显示了有效负载 DLL 的恶意导出函数。

我们可以看到旧版本的 StrelaStealer（图 8 左侧）没有被很好地混淆，因为这些功能块在反汇编时是干净且易于读取的。然而，图 8 右侧的最新版本显示，威胁行为者已采用控制流混淆来逃避分析和检测。

图 8. StrelaStealer 旧版本（左）和新版本（右）的导出函数

根据图 9 所示的配置，使用有效负载大小和解密密钥来解密有效负载。解密的有效负载是一个内存映射 PE 文件，与早期版本的 StrelaStealer 中发现的文件不同。

图 9. 加密的有效负载

解密的有效负载中存在strela、server.php、key4.db和login.json等字符串，表明它与 StrelaStealer 相关。

StrelaStealer 的主要目的是从知名电子邮件客户端窃取电子邮件登录数据，并将其发送回恶意软件配置中定义的 C2 服务器，如图 10 所示。

图 10.StrelaStealer 字符串以及 C2 服务器名称

StrelaStealer 威胁参与者进行了一些值得注意的修改，可能是为了避免被检测到。例如，StrelaStealer 早期版本中存在的 PDB 字符串（编译器内置的调试符号字符串）（如图 11 所示）在最新活动的样本中无法再找到。这使得它不太明显地表明这是一个 StrelaStealer 二进制文件，并且如果依赖于该字符串的存在，可能会使某些简单的静态签名变得无用。

图 11.来自早期 StrelaStealer 示例的 PDB 字符串

图 12 显示导出名称已从StrelaStealer更改为hello。

图 12. 导出名称从Strela更改为hello

结论

StrelaStealer 恶意软件是一种不断发展的活跃电子邮件凭据窃取程序。随着每一波新的电子邮件活动，威胁行为者都会更新启动感染链的电子邮件附件和 DLL 有效负载本身。攻击者这样做是为了逃避安全供应商的检测。

信息窃取者对威胁形势并不陌生。虽然并不完全新颖，但 StrelaStealer 采用的各种规避技术和更新可以有效地规避更具反应性的签名或基于模式的解决方案的检测。

妥协指标

参考链接： https://unit42.paloaltonetworks.com/strelastealer-campaign/

图片来源网络目标可联系删除

StrelaStealer 恶意软件从知名电子邮件客户端窃取电子邮件登录数据

执行摘要

目录