黑客大曝光 | 某恶意软件即服务(MaaS)平台的黑客网络ID曝光

Original 猎影安恒信息 2022-05-12

近期，安恒猎影威胁分析团队监测发现多个伪装为“DHL快递中国”的钓鱼邮件在展开网络钓鱼活动。

钓鱼邮件会携带恶意程序或打包恶意程序的压缩包，点击运行用户电脑就可被远程控制。

经过一系列关联分析，发现了诸多隐匿在网络中的个人黑客或组织，这些个人黑客或组织通常会购买兜售的恶意软件工具包、漏洞利用工具套件、租用恶意软件服务或使用开放使用的恶意软件或漏洞利用工具进行网络攻击行为。

分析

通过对DHL-#AWB130501923096.exe（MD5:5689e31d76ba60638baaab883acdba28）进行分析，其C2地址为160[.]202[.]163[.]240，通过对该C2进行关联分析

可以关联到许多样本，如

17DHL-AWB130501923096PDF.exe（MD5：83fb9c6982ce166e81bafa08489cf11c）这个样本，

其PDB信息为

C:\xampp\htdocs\Aspire\files\nonsookeke84@yahoo.com_vHLZjekrLVcyESFU\vHLZjekrLVcyESFUma.pdb

这条PDB信息非常奇特，中间包含nonsookeke84@yahoo[.]com这样一个邮箱，猜测这是一个用户名，通过威胁分析平台关联性搜索，可以发现更多这类PDB信息，如:

C:\xampp\htdocs\Aspire\files\dabadaba212_CVIJdSiEDSQpnQFw\CVIJdSiEDSQpnQFwma.pdb
c:\xampp\htdocs\Aspire\files\pololoco_mFSLvkLxNEHAeFEK\mFSLvkLxNEHAeFEK.pdb
C:\xampp\htdocs\Aspire\files\syscore_NKvQFClSbBXRkAev\NKvQFClSbBXRkAev_packed.pdb
C:\xampp\htdocs\Aspire\files\shadowmeks_APuZCGYlJzutgjph\APuZCGYlJzutgjph_packed.pdb
C:\xampp\htdocs\Aspire\files\johnclark_aKaTItYbxxnMASPn\aKaTItYbxxnMASPn_packed.pdb
c:\xampp\htdocs\Aspire\files\kentex_DGqqhzYgETxGvxhk\DGqqhzYgETxGvxhk.pdb
C:\xampp\htdocs\Aspire\files\Banditoclassic_PPGrLQesaHUzaMiX\PPGrLQesaHUzaMiXma.pdb
C:\xampp\htdocs\Aspire\files\Aspeedp_ufsZwpcZstbRUHOG\ufsZwpcZstbRUHOGma.pdb
……

具体可以看下文“附1：PDB泄露不完全统计表”，已统计出50多个不同用户名ID,其可视化效果如下：

C:\xampp\htdocs\Aspire\files看上去疑似一个网络化的服务，这非常像一个MaaS（恶意软件即服务），然后会根据注册用户生成相应的PDB，显而易见的是用户名被泄露了。

怎么得知中间这部分就是用户名呢，其实我们可以在各大黑客论坛找到这些用户名ID，如Aspeedp：

拥有这类PDB的恶意软件大多数为.net平台的Nanobot恶意软件，也包含有AgentTesla、Azorult、Zegost、Quasar等恶意软件。

另外通过这些样本可以获取更多关联信息如挂马地址、C2地址，如

tfvn [.] com [.] vn
这个挂马地址，曾被披露为HawkEye新版本和漏洞利用文档的挂马地址，这里也有许多样本关联向该地址，如
hxxps://tfvn[.]com[.]vn/nno/btj[.]exe（MD5：35a0dadf0a2686266ac9a52358edfb15）
PDB为C:\xampp\htdocs\Aspire\files\tony82_TVVYbnesNRrpxChy\TVVYbnesNRrpxChyma.pdb
hxxps://tfvn[.]com[.]vn/dmi/jm/dj[.]exe（MD5：355308d961f1b4f8366544881b342b11）
PDB为c:\xampp\htdocs\Aspire\files\gloria1303_ILteYagMoPpTqwtD\ILteYagMoPpTqwtDma.pdb

这两个用户名为tony82、gloria1303的黑客使用该域名进行网络攻击活动，该域名下还关联有非常多的漏洞利用文档和恶意软件，可以猜测和以上两位黑客有极强的关联性。

同理可以应用于其他样本关联的挂马地址和C2地址。这类地址所进行的网络攻击活动很大程度上和泄露出的这些用户ID有关。

这一类的恶意文件和文档，被用在监控的威胁中非常常见的到处都在投递的钓鱼邮件，如：

防御建议与总结

企业应当注重培养人员安全意识，不轻易打开未知来源的邮件及附件，不随意点击未知链接，不随意打开未验证可靠来源的文档，及时为信息系统打好补丁。

部署安恒APT预警平台，发现已知或未知的威胁。APT预警平台的实时监控能力能够捕获并分析邮件附件投递文档或程序的威胁性，并能够对邮件投递、漏洞利用、安装植入、回连控制等各个阶段做强有力的监测。结合安恒威胁情报系统，可将国内外的威胁数据进行汇总，并分析整个攻击演进和联合预警。

猎影威胁分析团队将持续关注网络安全动态。

附1：PDB泄露不完全统计表

往期精选

围观

热文

热文