黑客组织使用间谍软件发起攻击,俄罗斯多处相关企业人员已中招
背景
近期,安恒猎影实验室监测到多个Excel文件,通过分析发现,攻击者定向投递诱饵文档,疑似窃取数据或商业信息,目标大多和俄罗斯相关。
诱饵文件内容包含俄罗斯的一些人员信息,包括姓名、所在地、联系方式、出生年月以及性别等内容。文件带有恶意宏代码,攻击成功后会释放恶意载荷。恶意载荷似为一款间谍软件,通过获取远程配置,将所需收集的内容通过配置信息进行处理,并将收集的内容发送到远程配置信息中获得的邮箱地址。通过已知的发送邮件信息,可以观察到已有几个目标沦陷,都和俄罗斯人员相关。
分析
样本的宏代码由一个模板代码进行修改而成,在威胁情报平台上进行相关查询,发现使用这类宏的样本并不多见,
执行后会释放EXE程序并执行,EXE程序使用EXCEL图标,伪装命名为EXCEL程序,并且还会创建vbs和bat脚本用以删除自身。
该程序使用Clever Internet Suite实现各类网络操作,Clever网络套件支持HTTP、FTP、SMTP、POP3、IMAP、NNTP等多种服务端和客户端功能。
程序硬编码了远程回连地址,回连域名为2月下旬新注册的,并且域名名称具有一定隐蔽性。
程序运行后会回连该远程地址获取内容,获得的内容为加密的配置文件,
解密后可以获得SMTP Host,邮箱账号密码,转发邮箱地址。
从配置信息中可以看出,攻击者对xlsx及ods文件感兴趣。
通过技术方法获取到了一些邮件内容,发现已有部分人员失陷,从失陷人员看都为俄罗斯人。
失陷人员分析
l 某能源或工业制造企业职员
其中一位失陷者,从捕捉的多个文档名称来看可能为俄罗斯一家比较有实力的能源或工业制造企业的工程师。
文件名中还出现了多个“ГПС”相关的内容,
“ГПС”是一个多意词,这里通过一些结合内容的搜索,解释为“Головная перекачивающая станция”(泵站)可能比较合适,那么这些可理解为各个地区的电力泵站站点。
l 疑似为某大型电商网站职员
来看看另一个失陷者。从邮件内容中发现同一个IP出口的两台PC同期失陷,两台PC的用户名分别为“men05-PC”和“men19-PC”,这两个PC用户名是有序的,说明该企业或单位比较系统化。两台获取的文件名都只有“lamoda.xlsx”一条,对lamoda进行关联,发现其极有可能是大型电商网站Lamoda,
并且发现已有lamoda.xlsx的信息泄露在论坛网站上,而且不只一次。此次为2020年2月25日在论坛上发布。
l 和哈萨克斯坦企业有业务往来人员
还有一位失陷者为美国IP,也许目前在美国,但可能仍是俄罗斯人,用户名为Lucky8kz,根据文件名可能发现有许多和哈萨克斯坦相关的内容,而且和很多企业都有业务往来。如“Мегастрой”一家大型连锁超市,“Тойота”丰田汽车。
根据用户ID及相关内容,与一位人物比较匹配,
此人目前正在哈萨克斯坦从事一些相关业务。
关于攻击者
攻击者会将获取的数据最终转发到artshults@yandex[.]ru邮箱,通过“artshults”能够获得的信息并不多,可以找到一位俄罗斯叶卡捷琳堡人员“Артём Шульц”,相关性需要进一步佐证。
关于上文提到的和lamoda.xlsx相关的ID“XBOPOCT”,可以看到该用户与2020年2月25日发布了Lamoda.ru超过一百万数据记录的主题,并且2020年2月26日在MEGA上就出现了公开下载地址,
这份文档从平台记录来看于2015年就已经出现在公众视野。也许是认为这份文档并没有过多价值所以将之转发到论坛上。
同时从论坛发表与回复内容来看该用户对数据泄露的相关内容十分感兴趣。
虽然从目前可获得的邮件时间点以及样本文档修改时间等因素来看,晚于lamoda.xlsx发布于论坛的时间,但从域名记录上看,在2020-02-22就已经有初次域名活动记录,可能在这次样本攻击活动前已经有过攻击活动。
另外,从目标看,这可能是一个窃取数据或商业信息为目的的黑客或团伙。
小结
企业应当注重培养人员安全意识,不轻易打开未知来源的邮件及附件,不随意点击未知链接,不随意打开未验证可靠来源的文档,及时为信息系统打好补丁。
部署安恒APT预警平台,安恒APT预警平台能够发现已知或未知的威胁,APT预警平台的实时监控能力能够捕获并分析邮件附件投递文档或程序的威胁性,并能够对邮件投递,漏洞利用、安装植入、回连控制等各个阶段做强有力的监测。结合安恒威胁情报系统,可将国内外的威胁数据进行汇总,并分析整个攻击演进和联合预警。
猎影实验室将持续关注网络安全动态。
团队招聘
招聘二进制安全研究员
职位描述:
1、在日常可疑文件分析的基础,进行数据挖掘,寻找APT攻击事件;
2、分析客户反馈的可疑文件,编写分析报告,提供解决方案等;
3、负责热门安全事件、最新漏洞的分析,编写分析报告或poc代码等
4、研究新的检测方法,维护和完善APT检测等产品策略
5、协助内部威胁分析平台建设等
职位要求:
1、熟悉windows、Linux上调试手段,能够熟练使用常用逆向分析工具(IDA、WinDbg、OD等);
2、熟悉C/C++、汇编语言,至少熟悉一门脚本编程语言,能快速完成POC代码编写;
3、熟悉病毒、木马通信原理和常用技术以及常见加密算法等;
4、熟悉安全漏洞原理,有独立文档漏洞分析能力;
5、至少1年以上逆向分析、安全研究相关工作经验,能力优先不受工作年限限制;
6、具备大数据挖掘能力,对数据极度敏感,能够快速对数据进行关联分析;
7、思路清晰,善于主动思考,有创新、能独立分析和解决问题,具有良好的沟通能力和团队合作精神;
8、有漏洞分析、病毒木马分析、Web攻防、威胁情报挖掘、反APT攻击、机器学习相关、IOT、ICS等工作经验的优先。
联系方式:
xiaoyi.tu@dbappsecurity.com.cn
声明
本文仅限技术研究与讨论,严禁用于非法用途。由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,安恒信息以及文章作者不为此承担任何责任。安恒信息拥有对此文章的修改和解释权,未经允许不得修改、增减内容,不得以任何方式将其用于商业目的。
往期精选
围观
Win7停服,如何亮剑?安恒信息范渊:构建自主创新的网络安全产品和生态
热文
热文
金融机构如何避免安全管理“盲人摸象”的尴尬?您可能需要这个策略