Cisco Talos 发现了一个新的威胁行为者,我们将其称为“CoralRaider”,我们认为该威胁行为者源自越南并具有经济动机。 CoralRaider 至少自 2023 年以来一直在运营,目标是多个亚洲和东南亚国家的受害者。
该组织专注于窃取受害者的凭据、财务数据和社交媒体帐户,包括商业和广告帐户。
他们使用 RotBot(QuasarRAT 的定制变体)和 XClient 窃取程序作为我们分析的活动中的有效负载。
攻击者使用死点技术,滥用合法服务来托管 C2 配置文件和不常见的本地二进制文件 (LoLBins),包括 Windows Forfiles.exe 和 FoDHelper.exe
CoralRaider 运营商可能位于越南
根据 Telegram C2 机器人频道中的参与者消息以及命名机器人的语言偏好、PDB 字符串以及硬编码在有效负载二进制文件中的其他越南语单词,Talos 高度确信 CoralRaider 运营商的总部位于越南。该演员的 IP 地址位于越南河内。
我们的分析显示,攻击者使用 Telegram 机器人作为 C2 来窃取受害者的数据。这使我们能够收集信息并发现有关攻击者的来源和活动的几个宝贵的指标。
攻击者使用了两个 Telegram 机器人:一个用于调试的“调试”机器人,以及一个接收受害者数据的“在线”机器人。然而,“调试”机器人中的桌面图像具有与“在线”机器人类似的桌面和 Telegram。这表明攻击者在测试机器人时可能感染了自己的环境。
通过分析 Telegram 机器人上演员桌面的图像,我们发现了一些名为“Kiém tien tử Facebook”、“Mua Bán Scan MINI”和“Mua Bán Scan Meta”的越南语 Telegram 群组。对这些团体的监控显示,它们是地下市场,除其他活动外,还交易受害者数据。
在“调试机器人”的图像中,我们发现了位于越南河内的 Windows 设备 ID (HWID) 和 IP 地址 (118[.]71[.]64[.]18),这很可能是CoralRaider 的 IP 地址。
Talos 的研究发现了另外两张图像,其中显示了其 OneDrive 上的一些文件夹。其中一个文件夹的越南名称为“Bot Export Chiến”,与其加载器组件的 PDB 字符串中的文件夹之一相同。通过查看 PDB 字符串中的文件夹路径,我们发现了一些其他 PDB 字符串,它们具有相似的路径,但越南语名称不同。我们使用 PDB 字符串分析了发现的样本,发现它们属于同一个加载器家族 RotBot。加载程序二进制文件的 PDB 字符串中的越南名称进一步强化了我们对 CoralRaider 源自越南的评估。
D:ROTROTBuild rot Export2024Bot Export Khuê14.225.210.XX-Khue-Ver 2.0GPTbinDebugspoolsv.pdb
D:ROTROTBuild rot Export2024Bot Export Trứ149.248.79.205 - NetFrame 4.5 Run Dll - 2024ChromeCrashServicesobjDebugFirefoxCrashSevices.pdb
D:ROTROTBuild rot Export2024Bot Export Trứ139.99.23.9-NetFrame4.5-Ver2.0-TrứGPTbinDebugspoolsv.pdb
D:ROTROTBuild rot Export2024Bot Export Chiến14.225.210.XX-Chiến -Ver 2.0GPTbinDebugspoolsv.pdb
D:ROTROTBuild rot Export2024Bot Export Trứ139.99.23.9-NetFrame4.5-Ver2.0-TrứGPTbinDebugSkypeApp.pdb
D:ROTROTBuild rot Export2024Bot Export Chiến14.225.210.XX-Chiến -Ver 2.0GPTbinDebugspoolsv.pdb
D:ROTROTROT Ver 5.5SourceEncryptedVer 4.8 - Client Netframe 4.5XClientbinDebugAI.pdb我们分析的另一张图像是一个 Excel 电子表格,其中可能包含受害者的数据。为了保密,我们对图像进行了编辑。该电子表格有几个越南语选项卡,他们的英文翻译向我们展示了“员工工资电子表格”、“广告费用”、“购买副本的网站”、“PayPal 相关”和“可以使用”选项卡。该电子表格似乎有多个版本 - 第一个版本创建于 2023 年 5 月 10 日。我们还发现,他们在访问电子表格时使用显示名称“daloia krag”登录了 Microsoft Office 365 帐户,而 CoralRaider 可能正在操作该帐户。
CoralRaider 的有效负载、XClient 窃取程序分析向我们展示了更多指标。 CoralRaider 在其有效负载 XClient 窃取器的几个窃取器函数中硬编码了越南语单词。窃取程序功能将被盗受害者的信息映射为硬编码的越南语单词,并在渗漏之前将其写入受害者计算机临时文件夹中的文本文件中。我们观察到的一个示例函数用于窃取受害者的 Facebook 广告帐户,该帐户已用越南语硬编码了帐户权限、阈值、花费、时区和创建日期等信息。
该活动
Talos 观察到,CoralRaider 正在针对亚洲和东南亚多个国家的受害者开展恶意活动,其中包括印度、中国、韩国、孟加拉国、巴基斯坦、印度尼西亚和越南。
该活动的初始载体是 Windows 快捷方式文件。我们不清楚攻击者使用何种技术将 LNK 传送给受害者。我们在分析过程中观察到的一些快捷方式文件名是:
자세한 비디오 및 이미지.lnk
設計內容+我的名片.lnk
run-dwnl-restart.lnk
index-write-upd.lnk
finals.lnk
manual.pdf.lnk
LoanDocs.lnk
DoctorReferral.lnk
your-award.pdf.lnk
Research.pdf.lnk
start-of-proccess.lnk
lan-onlineupd.lnk
refcount.lnk我们还从 Windows 快捷方式文件的元数据中发现了一些值得注意的唯一驱动器序列号:
A0B4-2B36
FA4C-C31D
94AA-CEFB
46F7-AF3B当用户打开恶意 Windows 快捷方式文件时,攻击就会开始,该文件从攻击者控制的下载服务器下载并执行 HTML 应用程序文件 (HTA)。 HTA 文件执行嵌入的模糊 Visual Basic 脚本。恶意 Visual Basic 脚本在内存中执行嵌入的 PowerShell 脚本,该脚本解密并顺序执行其他三个 PowerShell 脚本,这些脚本执行反虚拟机和反分析检查、绕过用户访问控制、禁用受害者计算机上的 Windows 和应用程序通知,最后下载并运行RotBot。
RotBot 是 QuasarRAT 客户端变体,在其初始执行阶段,会对受害计算机执行多次检测规避检查并进行系统侦察。然后,RotBot 连接到可能由威胁参与者控制的合法域上的主机,并下载 RotBot 的配置文件以连接到 C2。 CoralRaider 在本次活动中使用 Telegram 机器人作为 C2 渠道。
连接到 Telegram C2 后,RotBot 将有效负载 XClient 窃取程序从其资源加载到受害者内存上,并运行其插件程序。 XClient 窃取程序插件在受害者的计算机上执行反虚拟机和防病毒软件检查。它执行其功能来收集受害者的浏览器数据,包括 cookie、存储的凭据以及信用卡详细信息等财务信息。它还从社交媒体帐户收集受害者的数据,包括 Facebook、Instagram、TikTok 商业广告和 YouTube。它还从受害者计算机上的 Telegram 桌面和 Discord 应用程序收集应用程序数据。窃取者插件可以捕获受害者桌面的屏幕截图,并将其以 PNG 文件的形式保存在受害者计算机的临时文件夹中。使用 PNG 文件,窃取器插件将从浏览器和社交媒体帐户收集的受害者数据转储到文本文件中,并创建 ZIP 存档。 PNG 和 ZIP 文件被泄露到攻击者的 Telegram 机器人 C2 中。
感染流程图
RotBot 加载并运行有效负载
RotBot 是一种于 2024 年 1 月 9 日编译的远程访问工具 (RAT),它被下载并伪装成打印机子系统应用程序“spoolsv.exe”在受害者计算机上运行。 RotBot 是 QuasarRAT 客户端的变体,威胁行为者为此活动定制并编译了该客户端。
在初始执行过程中,RotBot 会对受害者的计算机执行多项检查以逃避检测,包括受害者计算机的 IP 地址、ASN 号和正在运行的进程。它在受害计算机上执行系统数据侦察。它还通过修改注册表项在受害计算机上配置互联网代理:
SoftwareMicrosoftWindowsCurrentVersionInternet 设置值:
代理服务器 = 127.0.0.1:80
代理启用 = 1
我们观察到,在此活动中发现的 RotBot 使用二进制文件中的硬编码字符串在受害者计算机中创建互斥体作为感染标记。
RotBot 从其资源加载并运行 XClient 窃取器模块,并使用下载的配置文件中的 Telegram C2 机器人的配置参数。
XClient 窃取者的目标是受害者的社交媒体帐户。
我们在此活动中分析的 XClient 窃取程序样本是一个于 2024 年 1 月 7 日编译的 .Net 可执行文件。它通过其插件模块和用于执行远程管理任务的各种模块具有广泛的信息窃取功能。
XClient 窃取程序具有三个主要功能来帮助它避开雷达。首先,如果受害者的计算机在 VMware 或 VirtualBox 中运行,它将进行虚拟环境规避。它还检查受害计算机文件系统中是否存在名为 sbieDll.dll 的 DLL,以检测它是否在 Sandboxie 环境中运行。 XClient 窃取程序还会检查受害者计算机上是否正在运行防病毒软件,包括 AVG、Avast 和 Kaspersky。
在绕过所有检查功能后,XClient窃取者捕获受害者的机器屏幕截图,以“.png”扩展名将其保存在受害者的临时用户配置文件文件夹中,并通过URL“/sendPhoto”将其发送到C2。
XClient 窃取者窃取受害者的社交媒体 Web 应用程序凭据、浏览器数据以及信用卡详细信息等财务信息。它通过各个浏览器安装路径的绝对路径来针对 Chrome、Microsoft Edge、Opera、Brave、CocCoc 和 Firefox 浏览器数据文件。它将浏览器数据库的内容提取到受害者个人资料本地临时文件夹中的文本文件中。
XClient 窃取者劫持并窃取受害者 Facebook 帐户中的各种 Facebook 数据。它设置自定义 HTTP 标头元数据以及受害者被盗的 Facebook cookie,并且用户名通过以下 URL 向 Facebook API 发送请求。
它检查受害者的 Facebook 是否是企业帐户或广告帐户,并使用正则表达式搜索 access_token、assetID 和 paymentAccountID。使用 Facebook 图形 API,XClient 尝试从受害者的帐户收集大量信息,如下表所示。
XClient 窃取者还从受害者的 Facebook 业务和广告帐户收集财务信息。
XClient 窃取程序使用图形 API 检索受害者的帐户好友列表详细信息和图片。
XClient 窃取程序还通过 URL 瞄准受害者的 Instagram 帐户和 YouTube 帐户,并收集各种信息,包括用户名、徽章计数、appID、accountSectionListRenderer、内容、标题、数据、操作、getMultiPageMenuAction、菜单、multiPageMenuRenderer、部分和 hasChannel。它从受害者计算机上的 Telegram 桌面和 Discord 应用程序收集应用程序数据。 XClient 还从受害者的 TikTok 商业帐户收集数据并检查商业广告。
Talos 编译了 XClient 窃取者在此次活动中使用的硬编码 HTTP 请求标头元数据,同时从 Facebook、Instagram 和 YouTube 帐户检索受害者的信息。
最后,XClient 窃取程序存储受害者的社交媒体数据,这些数据被收集到本地用户配置文件临时文件夹中的文本文件中,并创建 ZIP 存档。 ZIP 文件通过 URL“/sendDocument”泄露到 Telegram C2。
sec-ch-ua-mobile: ?0
sec-ch-ua-platform: "Windows"
sec-fetch-dest: document
sec-fetch-mode: navigate
sec-fetch-site: none
sec-fetch-user: ?1
upgrade-insecure-requests: 1
user-agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/108.0.0.0 Safari/537.36
sec-ch-ua: "Not?A_Brand";v="8", "Chromium";v="108", "Google Chrome";v="108"
sec-ch-ua-mobile: ?0Sec-Ch-Prefers-Color-Scheme: light
Sec-Ch-Ua: "Google Chrome"; v = "113", "Chromium"; v = "113", "Not-A.Brand"; v = "24"
Sec-Ch-Ua-Full-Version-List: "Google Chrome"; v = "113.0.5672.127", "Chromium"; v = "113.0.5672.127", "Not-A.Brand"; v = "24.0.0.0"
Sec-Ch-Ua-Mobile: ?0
Sec-Ch-Ua-Platform: "Windows"
Sec-Ch-Ua-Platform-Version: "10.0.0"
Sec-Fetch-Dest: document
Sec-Fetch-Mode: navigate
Sec-Fetch-Site: none
Sec-Fetch-User: ?1
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit / 537.36(KHTML, like Gecko) Chrome / 113.0.0.0 Safari / 537.36Youtube
content-type: application/json
sec-ch-ua: "Google Chrome";v="113", "Chromium";v="113", "Not-A.Brand";v="24"
sec-ch-ua-arch: "x86"
sec-ch-ua-bitness: "64"
sec-ch-ua-full-version: "113.0.5672.127"
sec-ch-ua-full-version-list: "Google Chrome";v="113.0.5672.127", "Chromium";v="113.0.5672.127", "Not-A.Brand";v="24.0.0.0"
sec-ch-ua-mobile: ?0
sec-ch-ua-model: ""
sec-ch-ua-platform: "Windows"
sec-ch-ua-platform-version: "10.0.0
sec-ch-ua-wow64: ?0
sec-fetch-dest: empty
sec-fetch-mode: same-origin
user-agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/113.0.0.0 Safari/537.36
x-goog-authuser: 0
x-origin: https://www.youtube.com
x-youtube-bootstrap-logged-in: true
x-youtube-client-name: 1
Talos 对此次活动的研究重点是发现和披露源自越南的新威胁行为者及其有效负载。有关该活动攻击链组件的更多技术细节,请参阅奇安信威胁情报中心研究人员发布的 报告。
覆盖范围
IOC
IP
51[.]79[.]208[.]192
199[.]34[.]27[.]196
139[.]99[.]23[.]9
14[.]225[.]210[.]98
14[.]225[.]210[.]97
14[.]225[.]210[.]209
14[.]225[.]210[.]222域名
doc-0s-44-docstext[.]googleusercontent[.]com
doc-10-44-docstext[.]googleusercontent[.]comSHA-256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参考链接: https://blog.talosintelligence.com/coralraider-targets-socialmedia-accounts/
图片来源网络侵权可联系删除
