越南黑客组织海莲花攻击过程中进行加密货币挖矿
具备国家背景的APT组织,一般给人带来的感觉便是拥有国家资助,但自从接连曝出朝鲜、伊朗的网军投放勒索软件,甚至进行信用卡诈骗来获取资金后,对于界定是APT攻击还是网络犯罪活动的难度开始上升。
在这个前提下,又有一个具备国家背景的APT组织被曝迈入这个国家级资金获取的领域。微软365威胁分析和MSTIC发布博客称,具备越南背景的黑客组织海莲花,近期在攻击过程中布下了门罗币挖矿软件,其中每个软件都有一个唯一的钱包地址,在攻击过程中总共赚了1000多美元。
攻击发生于2020年7月至2020年8月的竞选活动中,该组织将Monero(门罗币)挖矿软件部署到针对法国和越南的私营部门以及政府机构中。
完整攻击流程图如下:
具体步骤如下:
首先海莲花会注册一个特定的Gmail账户,并制作精心设计钓鱼邮件,每封邮件针对目标组织不同的收件人,这表明已经提前进行过目标信息搜集,内容也与目标息息相关,从而引到目标打开邮件附件。
钓鱼邮件主题如商务合同和简历,都是量身订做的诱饵。其中有的邮件还会出现攻击者和受害者的交流记录,主要为攻击者回复邮件引诱受害者打开恶意文档。
Dựthảhợpđồng(草稿合同)
Ứngtuyển–Trưởngbannghiêncứuthịtrường(申请表–市场研究负责人)
恶意文档主要会下载恶意软件,其中恶意软件会通过DLL side-loading(白加黑技术)打开从而试图绕过查杀,例如MsMpEng.exe + MpSvc.dll,其中还利用了Microsoft Defender Antivirus、Sysinternals DebugView tool, the McAfee on-demand scanner,和Microsoft Word 2007的白利用。
成功运行恶意软件后,海莲花组织会下载7z压缩包,压缩包还是一套白加黑利用:winword+wwlib.dll(KerrDown家族),该恶意软件主要用于远程通信,同时海莲花还会创建一个计划任务,该任务每小时启动一次恶意软件,从而维持持久性。
当计划任务设定完毕后,刚启动的Word 2007白利用进程就会释放网络扫描工具 NbtScan.exe,进行内网IP地址范围探测,探测完毕后会通过rundll32.exe运行恶意脚本,该脚本会进行端口扫描,扫描端口21、22、389、139和1433,并最后会将扫描结果存储在csv文件中。
在进行网络扫描的同时,该组织还进行了其他侦察活动。他们收集有关域和本地管理员的信息,检查用户是否具有本地管理员权限,并收集设备信息,将结果汇总为.csv 以进行渗透。此外,该组织再次将MsMpEng.exe 与恶意加载的DLL一起使用 ,以连接到另一台攻击目标内网的设备,该设备似乎在攻击过程中的某个时候被海莲花指定为内部C2立足点和渗透中转设备。
在被感染的设备上持续工作一个月后,海莲花开始在服务器中横向移动,使用SMB远程文件复制,将恶意软件通过伪装成系统文件mpr.dll 和Sysinternals DebugView Tools的恶意DLL文件的形式进行活动。攻击者随后多次注册并启动了恶意服务,并启动DebugView工具以连接到多个Yahoo网站确认Internet连接,然后再连接到其C2服务器。
此时,海莲花切换为使用PowerShell攻击,从而快速启动多个cmdlet脚本。首先,他们使用Empire PowerDump命令从安全帐户管理器(SAM)数据库中转储了凭据,然后迅速删除了PowerShell事件日志以擦除由脚本块日志记录生成的记录。然后,他们继续使用PowerShell脚本进行信息探测搜集,该脚本收集用户和组信息,并将收集的数据发送到 .csv 文件。
该脚本收集了有关每个用户的以下信息:
description,distinguishedname,lastlogontimestamp,logoncount,mail,name,primarygroupid,pwdlastset, samaccountname, userprincipalname, whenchanged, whencreated
以及有关每个域组的以下信息:
adspath,description, distinguishedname, groupType, instancetype, mail, member,memberof, name, objectsid, samaccountname,whenchanged, whencreated
接下来,该组导出目录树和域组织单位(OU)信息。然后,他们开始使用WMI连接到数十个设备。之后,他们通过在事件ID 680下转储安全日志来收集凭据,可能是针对与NTLM回退相关的日志。最后,该小组使用系统工具 Nltest.exe 来收集域信任信息,并对在侦察过程中按名称标识的多个服务器执行ping操作。这些服务器中有些似乎是数据库和文件服务器,可能包含用于海莲花需要的攻击目标的高价值信息。
然后海莲花安装了CobaltStrike beacon,通过释放了一个 .rar 文件,并将rar压缩包中又是一个白加黑两文件:McOds.exe(McAfee扫描程序)+恶意DLL解压到 SysWOW64 文件夹中。然后,海莲花创建了一个计划任务,该任务以SYSTEM特权启动了McAfee扫描程序,并加载了恶意DLL。这种持久性机制建立了与其CobaltStrike服务器持续连接。为了清理证据,他们删除了McOds.exe。
如前所述,海莲花在这些攻击期间部署了加密货币挖矿软件。为此,他们首先释放了一个 .dat 文件,并使用rundll32.exe加载了该文件,该文件又下载了名为7za.exe的7-zip工具和一个ZIP文件。然后,他们使用7-Zip从ZIP文件中提取了Monero挖矿软件,并将该矿工注册为以通用虚拟机进程命名的服务。他们部署的每个挖矿软件都有一个唯一的钱包地址,在攻击过程中总共赚了1000多美元。
在部署挖矿软件后,海莲花随后将其大部分精力集中在凭证盗窃上。他们注册了多个恶意服务,使用%COMSPEC%环境变量用于启动加载恶意DLL。
此外海莲花还使用以下Windows进程启动Base64编码后的Mimikatz命令:makecab.exe,systray.exe,w32tm.exe,bootcfg.exe,diskperf.exe,esentutl.exe和typeperf.exe。
他们运行了以下需要系统或Debug特权的Mimikatz命令:
§ sekurlsa::logonpasswords full:列出所有帐户和用户密码哈希,通常是最近登录用户的用户和计算机凭据
§ lsadump::lsa / inject :注入LSASS以检索凭据,并请求LSA服务器从安全帐户管理器(SAM)数据库和Active Directory(AD)中获取凭据。
运行这些命令后,使用DebugView工具连接到多个由攻击者控制的域,很可能会窃取被盗的凭据。
此次活动的攻击目标方面,微软评估认为目标之间存在一些共性,这与之前海莲花针对国有企业(SOE)的攻击有关。组织包括:以前由越南政府经营的前国有企业,已收购前国有企业很大一部分的实体以及与越南政府机构进行交易的实体。
虽说微软认为海莲花投放挖矿软件的行为,是为了降低被发现是国家级网军的一种手段。但从实际意义看来,当今国际形势,搞钱才是第一要义。
参考链接:
https://www.microsoft.com/security/blog/2020/11/30/threat-actor-leverages-coin-miner-techniques-to-stay-under-the-radar-heres-how-to-spot-them/
另外:没升级IOS系统的该升级了,有一个大型漏洞被曝光,通过无线电设备,靠近苹果手机可执行敏感操作。
点击下面视频号可以观看演示demo以及漏洞分析链接: