TA505黑产团伙更新诱饵:使用进度条迷惑受害者
2019-11-09 10:00:29 Author: www.freebuf.com(查看原文) 阅读量:121 收藏

背景

TA505为proofpoint披露的网络犯罪组织,其相关活动可以追溯到2014年。该组织攻击目标为全球金融机构,采用大规模发送恶意邮件的方式进行攻击,曾经大范围传播Dridex,Locky等恶意程序。近年来各国执法机构已针对该组织采取了多次打击行动,比如通过打击Dridex等僵尸网络来削弱其影响,但都没有起到明显效果,直至今日,TA505仍然在网络上非常活跃。

近日,奇安信威胁情报中心在日常样本监测中发现了TA505新的一轮攻击活动,本轮攻击中TA505仍然使用恶意邮件作为入口,诱使受害者通过邮件中的短链接下载恶意excel文档并启用宏,通过宏代码执行恶意功能,有趣的是恶意宏执行后会弹出一个进度条图片用于迷惑用户。

奇安信威胁情报中心将会对TA505攻击组织历史活动进行简单回顾,之后对本次活动进行详细分析。

TA505历史活动回顾

2014-2015年,传播Dridex僵尸网络,期间也分发了Shifu银行木马。2016年开始同时分发Locky勒索病毒与Dridex僵尸网络,之后主要以Locky为主。2017年还出现了传播Globelmposter勒索病毒的行为。

2018年通过大规模发送恶意邮件传播FlawedAmmyy恶意软件,邮件附件为内嵌SettingContent-ms文件的恶意PDF文档,文档被打开后SettingContent-ms文件中的PowerShell命令会下载并执行FlawedAmmyy恶意软件。

2019年开始传播ServHelper后门,并且利用了当时刚公开不久的Excel4.0宏来加载恶意程序。

2019年9月,TA505开始使用新的下载者木马用于分发恶意软件,同时提升了攻击文档的迷惑性,本次攻击活动中分发了FlawedGrace,FlawedAmmyy,Snatch等多种恶意软件。

本次攻击流程图

整体流程图如下:

样本分析

Excel样本分析

文件名 schedule_Oct-Dec(1).xls
MD5 d68f7ad8bb1358b15924c4b51398135b
SHA1 b1fec6a4dc7471fdc0e4bdef27c647dc449c9b34
文件大小/Byte 746,496

样本名为schedule_Oct-Dec(1).xls,意为”10月到12月的时间表”,样本打开后会提示受保护的文档,要求用户启用宏,如果用户点击启用宏,文档中的恶意宏代码就会被执行。

宏代码入口在Excel对象Sem中。

样本将路径信息存储在UserForm3窗体中两个TextBox控件的Tag属性中。

宏代码执行过程中会弹出一个进度条图片迷惑用户,并通过窗体的触发函数执行下一阶段恶意宏代码,其中ReplaceCurrentModule函数为主要功能函数。

ReplaceCurrentModule函数会将样本表格中部分内容另存为临时路径下dependence.xls,之后将dependence.xls中oleObject1.bin提取到临时路径并从中解密出恶意dll,dll路径为C:\Documents and Settings\Administrator\Templates\hadstop1.dll,最后使用LoadLibraryW加载hadstop1.dl。

释放的dependence.xls截图如下,可见与样本本身完全一致。

hadstop1.dll样本分析

文件名 hadstop1.dll
Dll导出名 fixup.dll
MD5 176a96a5338004245869bf82ed55f0b4
SHA1 69257644953428c5d85ae2977cf43c1e1e0e4131
文件大小/Byte 286,720
编译时间 2019/10/13 20:06:56 (5DA383E0)

Hadstop1.dll作用为shellcodeloader,负责解密并执行下一阶段shellcode。

Shellcode会在内存中解密出下一阶段dll文件。

在内存中执行PE加载操作后执行DllEntryPoint,此dll负责执行恶意功能。

恶意功能dll分析

Dll导出名 getandgodll_Win32.dll
MD5 3ce1c7e77bd3a4af2c94c57f8ad0eb3e
SHA1 3a26f8c4abe9d12fb6ae512dd8df2822a5b44865
文件大小/Byte 278,528
编译时间 2019/10/13 19:28:26 (5DA37ADA)

Dll的恶意功能主要在导出函数Keio中实现,样本会搜集系统的计算机名,用户名,系统版本等信息,之后通过POST的方式上传到C2地址”https://office365-eu-update.com/2023”,C2地址为硬编码在样本中。

C2会返回给样本下一阶段恶意代码下载地址以及运行参数,如果返回数据含有参数”RD86”,说明返回的下载地址为dll文件,样本会将dll注入到自身进程并运行,如果没有”RD86”参数,说明返回下载地址为exe文件,样本会通过CreateProcessW直接执行。样本也会判断”RD64”参数,但是没有对应行为。

总结

TA505组织从被发现到今天已有近5年的时间,伴随着针对该组织的打击行动,其技术手段也在不断变化,从攻击的复杂度,演化路径及该组织曾使用的其他多类样本来看,TA505组织持续不断的在改进恶意程序以保证其攻击的有效性,而且从近几次攻击可以发现,TA505开始使用更具针对性的邮件内容和更具迷惑性的文档信息,从而提高受害者中招的概率,在此奇安信威胁情报中心提醒各位用户慎重点击来源不明的文档,防止受到恶意软件的攻击。

目前奇安信集团全线产品,包括天眼、SOC、态势感知、威胁情报平台,支持对涉及该报告相关的攻击活动检测,通过奇安信威胁情报平台对C2域名进行查询,可见已被标记为TA505组织。

IOC

MD5

d68f7ad8bb1358b15924c4b51398135b

176a96a5338004245869bf82ed55f0b4

C2

office365-eu-update.com

文件名

getandgodll_Win32.dll

fixup.dll

参考链接

[1]https://www.proofpoint.com/us/threat-insight/post/ta505-distributes-new-sdbbot-remote-access-trojan-get2-downloader

[2]https://ti.qianxin.com/blog/articles/excel-4.0-macro-utilized-by-ta505-to-target-financial-institutions-recently/

[3]https://ti.qianxin.com/blog/articles/excel-4.0-macro-utilized-by-ta505-to-target-financial-institutions-recently/

*本文作者:奇安信威胁情报中心,转载请注明来自FreeBuf.COM


文章来源: https://www.freebuf.com/articles/system/217908.html
如有侵权请联系:admin#unsafe.sh