Operation EICAR（APT-Q-28）：针对证券金融行业的定向猎杀活动

概述

与之前的文章类似，本文内容也仅仅是对在过去一段时间内攻击手法做一个分享，不讨论受害单位。

样本分析

f.exe通过外部传参从远程服务器下载加密的shellcode输出到本地文件。

接着攻击者调用fl.exe，读取目录的文件解密并内存加载。

解密出来的shellcode如下，msf生成的payload：

核心逻辑如下：

核心逻辑如下，C2硬编码。

带有签名，混淆版的downloader。

被窃取的签名信息如下：

功能与上述一致。Msf在后续会下发一些如SharpChromium等开源的浏览器窃密器和键盘记录工具，获取目标机器上的敏感数据。

攻击者在释放VC编写的持久化模块时，会先执行wmic获取第三方软件的进程ID、文件路径、名称

在对应软件的目录下释放名为Version.dll的后门模块用于持久化。

签名如下：

样本带有反沙箱的操作，解密执行msf payload

该团伙所用的msf payload中均出现了字符串:"$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*"。

经过查询我们发现该字符串的含义是反病毒软件测试文件，可能是国外友商之间的约定。

很显然该字符串是攻击者手动植入进shellcode中的，这引起了我们的兴趣。

测试文件滥用

2021年上半年我们内部跟踪某团伙时，发现样本后续解密的msf payload中也出现了这些字串， 我们暂且将该团伙命名为Group A，该团伙投递的样本均为SFX打包文件，样本如下：

SFX信息如下：

诱饵内容与新冠疫情、经费有关，txt诱饵如下：

jpg诱饵如下：

样本会判断当前语言，排除英文并检测虚拟机

解密payload。

最后进行内存加载。

解密后的msf payload如下：

我们并没有十足的把握确认Group A与EICAR Group存在强关联，无论是解密算法、攻击目标还是攻击手法均与EICAR Group不同。这意味着不止一个团伙喜欢在shellcode中插入测试文件字符串，也可能这些团伙向相同的供应商购买的木马，无论如何，这都值得我们对这种现象进行持续跟踪。

总结

目前，基于奇安信威胁情报中心的威胁情报数据的全线产品，包括奇安信威胁情报平台（TIP）、天擎、天眼高级威胁检测系统、奇安信NGSOC、奇安信态势感知等，都已经支持对此类攻击的精确检测。

IOC

EICAR Group

MD5：

01cc52333c576d36849cb0f118f04877

a65d0d869958ce0d23ff9e466193ac59

9dc8cc19242c1f68de9690823ebbf1da

c813095a9314be9ab40f4013459c85de

c813095a9314be9ab40f4013459c85de

406af6c315bc156d217ed4bd413132ea

98b34aded523537bf017af4611d823b0

ef2d17efa530c40fac08b04e66781a03

CC:

www.yf*****fd.com

www.u****dg.com

www.h********fi.com

www.y*********ng.com

www.mic********ing.com

4*.**.**.2*0:80

4*.2**.1**.10*:80

4*.**.2**.14*:80

GroupA

CC:

1*0.*1*.2*.*52:3333

4*.2*6.1*7.1*9:5656

1*5.*4.1*3.*0*:5656

9*.2**.1*9.5*:5555