更多安全资讯和分析文章请关注启明星辰ADLab微信公众号及官方网站(adlab.venustech.com.cn)
01
分析简述
在过去几个月里,启明星辰ADLab陆续发现一批利用商业木马remcosRAT攻击全球多个大型企业的网络攻击活动,这些攻击活动试图将窃取的敏感数据回传至美国的多台C2服务器上,这其中被攻击的企业还包含一家中国央企控股的外运企业,通过组织溯源发现这批攻击活动并不属于已知的任何黑客组织(包括APT组织),因此,为了进一步掌握该黑客组织的活动情况,我们从4月份开始对该黑客相关的活动进行特别关注和追踪,直到本文完成时仍未有该攻击活动的披露报告。
通过长时间的攻击样本收集,最后我们获得了跨度5个月时间的190多个攻击样本,这些攻击样本中有140多个都试图回连到位于美国地区的控制命令服务器上。其中服务器主要集中在173.255.204.62、107.173.4.18和107.175.229.143。通过溯源分析确定这批攻击活动从2024年3月份就已经开始了对目标企业进行攻击,在接下来的几个月里攻击活动变得越来越活跃,直到7月份达到活跃高峰后,8月份攻击活动渐渐变少。
通过基础设施和样本分析发现,这是一个自动化程度非常高的黑客组织,其甚至可能将整个攻击周期都进行了自动化,我们发现攻击组织将黑客邮箱注册、域名注册、漏洞利用代码、loader即时编译、木马生成、攻击投放等过程都进行了自动化。当然除了自动化外,黑客组织也会根据自身掌握目标的程度而选择进行定制化的攻击。
从攻击目标来看,这批攻击活动除了攻击我国某外运企业外,还包含一些全球性的国际贸易企业以及化学制品、机械制造、金融保险等领域相关企业。我们追踪到的攻击活动主要以鱼叉邮件和早期office漏洞为主,大量样本的文件特征表现为高度自动化生产与自动化投放的特点,同时一些攻击邮件也表现出与目标产品和客户关系细节相关的高度定制化的特性。投放的窃密木马主要为5.1.0 Pro版本的remcosRAT,相较于我们之前分析的remcosRAT版本,新版本允许黑客通过Telegram机器人与木马端交互,如此一来,黑客可以使用手机、平板电脑等移动设备随时随地进行木马控制,攻击场景更加灵活。
从对抗手法上来看,该未知黑客组织利用了多阶段远程加载技术、混淆技术、AD技术和进程镂空技术来躲避流量监测和杀毒软件的查杀,其中AD(ADD-TYPE)技术是一种较为少见的技术,在混淆的powershell代码中,其常常被用来实现隐蔽的.net程序集的调用,黑客在本攻击活动中用来实现远程恶意代码的隐蔽下载。
02
攻击活动分析
我们在追踪这批攻击活动的过程中,总共收集了190多份攻击样本,从每个攻击样本的入侵路径上分析,发现黑客主要有两种攻击手段。
第一种是通过投递恶意的带有漏洞利用代码的office文档(xls和doc文档)来进行,其中的漏洞利用程序会从黑客服务器上下载一个带有JS脚本的hta文件并加载执行,此时JS脚本内一段被混淆的VBS脚本便会被启用,而这段VBS执行后最终会调用一段被混淆的powershell代码。这段powershell脚本采用了AD技术,其为当前程序添加了一个新的 .NET 类型,该类型包含一个从 urlmon.dll 动态链接库中导入的 URLDownloadToFile 函数,powershell利用该函数从黑客服务器上下载一个被二进制混淆过的loader程序并执行,该loader最终会解密并执行窃密木马remcosRAT。
第二种攻击手法就是直接将混淆过的hta文件(或其链接)和loader程序伪装成为正常文件/链接附在钓鱼邮件中,诱使目标执行诱饵文档。
我们先以7月25日的一起鱼叉钓鱼邮件攻击开始来简单分析黑客的攻击过程,在整个攻击周期中,有大量类似的攻击邮件,如图1这样。这个案例里黑客将发件人伪装成了印度高档面料制造商“Raymond”相关工作人员,将一个恶意文件投递到我国某外运公司的工作人员。邮件主题为 “RFQ”(报价请求),邮件附件为“Quotation.xls”(报价.xls),正文翻译成中文是“请查收附件所需项目的报价单,并以报价单确认,请确认收据”。
这种以报价为诱饵的攻击邮件主要通过某些模板自动化生成,其适用范围较广,成功率也较高。这种类似的攻击大概流程如图2所示:
黑客首先将木马存放于自己建立的文件服务器上,在配置好邮件payload后,通过自动化程序(以邮件模板库与情报库中目标信息为依据)生成攻击邮件,并向目标企业投放木马。当受害者不慎打开邮件的附件文档,其中被精心构建的漏洞利用程序便会被触发,获得执行权限的shellcode接下来会通过多级级联下载(为了便于躲避查杀),最后成功投放木马remcosRAT。黑客利用该木马可完全接管和控制目标主机,且可以对目标所在的网络进行下一步的入侵,以寻求更具价值的数据。其他类似攻击如图3所示。
这一系列攻击活动中,黑客的伪装对象还包括我国某海运服务集团、我国某国际物流公司、美国物流公司“Expeditors”、新加坡物流航运公司“Interion Pte Ltd” 等实体。
时间(utc) | 邮件主题 | 发件人 | 收件人 |
2024/6/27
4:45 | Inquiry
- Pumps & Accessories - (Oasis Pump Indusry LLC) | Linda
Parker <[email protected]> | |
2024/6/18
14:29 | RV:
Solicitud de presupuesto | Comunicandonos
<[email protected]> | |
2024/6/13
7:49 | Request
for Quotation | ||
2024/5/30
15:36 | Request
for Quotation | ||
2024/4/18
5:52 | RFQ | Aditi
Parikh <[email protected]> | |
2024/4/18
3:31 | RFQ | Aditi
Parikh <[email protected]> | |
2024/4/9
0:16 | Request
for Quotation | Terri
Rinetti <[email protected]> | |
2024/4/8
20:58 | *****SPAM*****
Request for Quotation | Terri
Rinetti <[email protected]> | |
2024/4/8
15:46 | Request
for Quotation | Terri
Rinetti <[email protected]> | |
2023/3/31
2:33 | New
Enquiry | Jojo-JHT
<janice@****.com> | undisclosed-recipients: |
2023/3/30
13:14 | RE:
Freight | Brokerage-SIN
<[email protected]> | |
2023/3/30
8:35 | RE:
New Items order | Holiday-TJ-RMS-FOOD
SALES <food-ae@****.com> | |
2023/3/22
11:54 | PAYMENT | Rena
Ng <[email protected]> | |
2023/3/21
18:12 | RE:
NEW PO-23101 |
攻击目标还包含韩国“船舶燃油系统、推进系统和操纵系统等系统”代理商“Boema Hi-Tec Ltd”、智利网络信息中心“Network
Information Center Chile(NIC Chile)”、 捷克气动元件、机床、食品加工设备公司“Stransky a Petrzik”以及墨西哥“称重、识别和检测系统”制造商“Grupo
IPC”等企业,部分受害企业相关信息如图4。
而对于一些特定的目标,黑客会根据这些目标的不同业务内容和企业情况进行邮件定制。如图5所示:黑客声称自己来自一个泵工业企业,向韩国船舶加工、轮船推进相关代理商“Boema
Hi-Tec Ltd”发送了主题为“Inquiry - Pumps & Accessories -
(Oasis Pump Indusry LLC)(查询-泵和配件-绿洲泵业有限责任公司)”的邮件,正文中声称是要从该企业购买水泵和配件产品,附件为“Pumps
Product List & Drawing Dimensions.xls(泵产品清单及图纸尺寸)”是其需要的产品规格和图纸尺寸。类似的主题和内容还有“New Enquiry”(新询盘)、“New Items order”(新项目订单)和“PAYMENT”(付款)等。
03
基础设施分析
在我们持续的追踪和分析后,总共得到了194个攻击样本,这些样本分别出现在黑客攻击的不同阶段,我们把这些样本大致分为四大类,其中第一类是利用office漏洞的xls和word恶意文档;第二类是内嵌有js脚本的hta文件;第三类是存储在黑客文件托管服务器上的remcosRAT木马的loader;第四类是用于直接通过邮件进行木马投递的压缩包文件。
通过最终分析确认,黑客窃密木马的控制命令服务器为“bossnacarpet.com”和“vegetachcnc.com”,目前这两个域名都解析到位于美国73.255.204.62服务器上,回传端口为2556。除了用于控制目标主机的控制命令服务器外,黑客还有一些用于存储hta和remcosRAT木马loader的托管服务器,大部分的样本托管服务器都位于美国境内。这些托管服务器相关信息如下。
托管服务器服务器ip | 托管的恶意样本数 | 托管服务器归属国家 |
107.173.143.46 | 13 | 美国 |
172.245.135.155 | 24 | 美国 |
192.3.95.135 | 16 | 美国 |
192.3.118.15 | 8 | 美国 |
192.3.176.131 | 14 | 美国 |
91.92.245.100 | 8 | 荷兰 |
91.92.120.127 | 20 | 保加利亚 |
103.67.162.213 | 23 | 越南 |
当然除了域名注册存在自动化的痕迹外,该黑客组织的攻击样本看起来也具有很强的自动化特性。部分文件信息如表4所示,在我们收集到的样本中存在大量8字节十六进制名称的漏洞利用文档如“A5570000”和“00870000”类似的形式,这些攻击文档无疑是黑客通过自己的攻防平台自动化生成的恶意文件。这类文件的出现时间主要集中在2024年3月份到8月份。
文件名 | 文件类型 | 最早发现时间(UTC) | MD5 |
FF770000 | Xls | 2024-08-01
12:42:14 | 0c8ee6c0cbf2182285a1c6c38748f518 |
88070000 | xls | 2024-07-25
04:24:07 | b06d8bfa821fa5593ac2ba7ad0edc7d3 |
A2970000 | xls | 2024-07-24
06:25:55 | 6b2b204dbc5a807bb6fd0eef32448a33 |
5CA70000 | xls | 2024-07-17
05:54:01 | 8c620da9b73df86d33957e7a8e83ae89 |
57270000 | xls | 2024-07-16
07:42:23 | 67f1db2184a214f146189e1b66324a32 |
B1770000 | xls | 2024-07-01
07:41:28 | 6bc960e28b5f15db4c6eb81be32bb905 |
87970000 | xls | 2024-06-27
02:07:06 | 71b9276dc19e8e95bb6e95408fe0f9ac |
1B770000 | Xls | 2024-06-26
13:12:17 | cf896ea8b812a392ee2f1488135ddfa4 |
C8B70000 | xls | 2024-06-25
04:55:38 | 9577e342a776ee82982f05a75cb26022 |
C1D70000 | xls | 2024-06-25
01:01:12 | 46f23a7db98759d7d8b2021958ba148f |
38080000 | Xls | 2024-06-21
00:54:22 | d217bb5277a59b5ab0c9a21e1536eb17 |
AA470000 | xls | 2024-06-19
00:57:18 | c6a534ce296e6cdf0a2eeca480f396ae |
4C870000 | Xls | 2024-06-18
08:38:58 | e1716595fd0f969b32ce2b7f5e9a920c |
12A70000 | Xls | 2024-06-12
10:04:14 | e52c25f3153170e27bf9a836fb1256c6 |
00870000 | xls | 2024-04-22
08:05:22 | 9ea8cb0e5a0d9e44e50f0f0e67150e27 |
37170000 | xls | 2024-04-17
13:08:52 | 13b75900703bca0efcb8bac0ecd86e3f |
7D370000 | xls | 2024-04-17
12:24:36 | 77bfacbe5363ddb8a9bee3665bf7e1c5 |
A5570000 | xls | 2024-04-16
06:07:59 | 365a99677725a7f22e20601349cd765b |
81B80000 | xls | 2024-04-09
14:05:59 | 4e6a56da7a363affa0470bd18fc24e82 |
28870000 | xls | 2024-03-26
00:32:04 | 0a0e56afc68c9eaf7c524ba2e443f1b5 |
…… |
文件名 | 文件类型 | 最早发现时间(UTC) | MD5 |
mewillthinkaboutthegoodthingstogetinbacktheprojecttointernationalideatoseehowitswillbekissing___lovertogetmebackthetruthfeel.doc | doc | 2024-04-22
08:05:22 | 524722cd8d4be3abb16529cf7d6f0c33 |
iwanttosxwithudeeolybecauseitrulylovesxwithoumygirlireallymissingu__nowiwantsxwithou.doc | doc | 2024-04-16
06:07:59 | 1626a8bd20e14d78a9eed883017016ec |
ibelieveitsagreatideatoenjoythelovertokissherlipswithouthavinganythingbecausesheislovemetrulyalot____itspurelovewithoutkissingandall.doc | doc | 2024-04-11
03:23:28 | 83bfd4345304237618b51536358bdb5c |
heisbestgirlieeverseeninmylifeiwanttokissherbadlytheniwillfuckherbadlysheismywife___ilovehertrulyfromtheheartsheismygirllover.doc | doc | 2024-04-09
14:05:59 | c4785b8b112ecee3de38b826d9b7ee82 |
weareverybeautifulgirlsxygirlwantokissmeharderthanbeforetogetmeback___sheisverybeeautifulgirlforme.doc | doc | 2024-04-09
13:48:18 | f8b201556d3c349d0fce9702c424c556 |
wecontactedloverstounderstandhowhotgirlchickessheisbutshesaidiamveryhotgirltokiss____whatabeautifulgirlsheistokissandenjoytheday.doc | doc | 2024-04-08
07:43:58 | 3d9950539df8ffe5a6ad65a287dd1abe |
greatwaytounderstandhowimporantthingsitisgreatgoodtounderstandlover____ireallywantthenewloversinthelineto.doc | doc | 2024-03-26
04:44:03 | 8b48d774bf6e4937f73026c9a35c9e64 |
shewantihavetohughimtigtlyandshewillfeelgoodbeausesheisverybeautifulgirl___undestandhowmuchilovehretwith.doc | doc | 2024-03-25
12:28:52 | 0e02c559c765b23be23017f984e1d5df |
hyperloversknowthathowmuchiamfeelingonthelovewhichumadeformeireallykiissmyloverfrmtheheart____becauseshelovedmetrulyalot.doc | doc | 2024-03-21
04:56:50 | 62763ea99a08c8de0139281ea02be501 |
ilovehimtrulyfrommediafxpixelhandtreatedbymediapixelnetworkstilleverythinggodd____sweetkissigivenheronneckandfacetoget.doc | doc | 2024-03-20
17:46:23 | e7b1dab5d64b8e37ab2c8b0a05fd486c |
kissingagirlissoeasyrecentlyireallyfeelsheismygirlineverwanttohurtherweneverwantotkissher_______ilovehertrulyfromtheheartiloveyou.doc | doc | 2024-03-19
12:54:54 | 6e0935d0e6c119b346c499f2d8ec171e |
…… |
对于前面提到的第二类文件并不多,如表6所示。这是黑客攻击路径中的一类中间文件,一部分攻击将此类文件的链接附着在钓鱼邮件中,诱使目标点击;一部分通过漏洞利用文档从远程下载执行。这些文件实际上是一些包含多层混淆和编码的JavaScript脚本文件,JavaScript脚本文件中再嵌套混淆的VBScript和混淆的PowerShell命令,最后利用PowerShell命令从黑客服务器上下载被二进制混淆过的loader程序并执行。
文件名 | 文件类型 | 最早发现时间(UTC) | MD5 |
browserEdge.hta | hta | 2024-07-31
08:19:15 | 09a3afb87212a72facb6b2fae875425e |
gdfc.hta | hta | 2024-07-24
11:31:32 | 38a6a104600db0a1f4be52e6d456783a |
gmo.hta | hta | 2024-07-19
01:47:30 | 06538ec5e3bb8ed07933e829cace74ae |
IEnetCache.hta | hta | 2024-07-03
15:42:59 | 22fcf581f5b10ceda9fa0610e42c8d85 |
gdfvr.hta | hta | 2024-07-01
10:06:01 | a0cf81c7d9ee5987b418fa6bf46ce1ed |
gdfvr.hta | hta | 2024-06-25
05:03:38 | 5947bc33bbccaa5c37872e3e612c8719 |
InetCache.hta | hta | 2024-06-18
10:24:56 | 5ff8d84e5a1c5839ffc6cbf174a3cc6a |
恶意hta文件执行后,会从黑客服务器上下载被二进制混淆过的loader程序并执行,这些loader最终会解密并执行窃密木马remcosRAT。
文件名 | 类型 | 最早发现时间(UTC) | 编译时间(UTC) | MD5 |
winiti.exe csrss.exe | exe | 2024-07-24
06:20:47 | 2024-07-23
02:19:53 | f6bf8ada032d17192526ffebb48aed79 |
Quotation.exe | exe | 2024-07-24
10:40:50 | 2024-07-23
02:19:53 | 3dc93db22f80681d7d49143038d8ff8a |
Quotation.exe | exe | 2024-07-23
07:11:14 | 2024-07-22
11:39:08 | df3a32a59e276774a045fd80fa2b53db |
name.exe csrss.exe | exe | 2024-07-17
17:33:40 | 2024-07-17
11:03:44 | 350dbaf45daa47766afc3eaef7b38f86 |
csrss.exe chrome.exe | exe | 2024-07-17
05:47:59 | 2024-07-17
05:18:02 | 2fa05aa214a3f718d4bac19aa282266e |
csrss.exe igccu.exe | exe | 2024-07-03
15:45:44 | 2024-07-02
19:41:53 | a2dcc2e9dd81e3a5f6440ed7027a86da |
exe | 2024-07-03
23:30:37 | 2024-06-29
08:17:25 | a6811199672d0cae053f475a52b1c74c | |
csrss.exe igccu.exe | exe | 2024-07-01
07:33:24 | 2024-06-27
17:36:50 | a273d142217177ab8013d6ebeafbc22f |
csrss.exe igccu.exe | exe | 2024-06-18
08:35:13 | 2024-06-14
14:11:56 | 08475c0ab2386f3353d1c2f254a839c3 |
program.exe csrss.exe | exe | 2024-06-12
03:00:52 | 2024-06-03
21:36:23 | 8e89966ab41edae5077f3fec85407273 |
Quotation.exe | exe | 2024-05-28
06:14:09 | 2024-05-27
22:14:51 | b408a3e79df21addbf0430a0d9737dd4 |
exe | 2024-06-04
14:39:17 | 2024-05-24
14:14:53 | 95626a1bca4871e5d3fd14604d688c71 | |
Quotation.exe file.exe | exe | 2024-05-27
07:03:35 | 2024-05-24
14:14:53 | 9fdbdf0d36096938ce99cb83d35729ca |
Qotation.exe | exe | 2024-05-21
09:07:53 | 2024-05-21
08:28:59 | becda418348d1e2326d6e4e96f4d360e |
Quotation.pdf.exe | exe | 2024-05-14
07:26:53 | 2024-05-14
06:18:33 | 416a4e202f3164d4c9c37bd162aa66fb |
Shipping
Document.P.df.exe | exe | 2024-05-13
04:52:46 | 2024-05-13
03:40:13 | 43832ccc8ceca159daa9c54f73d0874c |
RFQ.exe | exe | 2024-05-09
11:36:50 | 2024-05-09
09:17:32 | 40f0b9dc3aa0c66a2eacd624e48b9b7e |
RFQ.PDF.exe | exe | 2024-04-23
14:12:28 | 2024-04-23
12:30:02 | d97247a8713bbfa67764e6dfef1dc154 |
wininit.exe cnn.exe | exe | 2024-04-22
07:59:12 | 2024-04-22
07:32:00 | e5767608d3a2d83625b16c4666f14485 |
wininit.exe cnn.exe | exe | 2024-04-16
04:54:54 | 2024-04-16
04:09:03 | ee0f619c36e219d029614aaaa9699200 |
...... | ...... | ...... | ...... | ...... |
文件名 | 文件类型 | 最早发现时间(UTC) | MD5 |
Quotation.txz | rar | 2024-07-24
10:40:29 | 7cad5fe29e9c6ec840ffa59e1605797c |
Quotation.txz.rar | rar | 2024-07-23
07:24:36 | 9c48437f190dfb0958e0293000882802 |
Quotation.txz | rar | 2024-05-28
06:12:48 | 4b4234292c8e0df9b9eb647583a3daa3 |
Quotation.txz | rar | 2024-05-27
07:02:54 | d5fb4332295a69e781290eef563a589a |
Qotation.lzh | rar | 2024-05-21
09:04:39 | 2978a02292bf45b1cdab805d6a56c73f |
Quotation.pdf.gz | rar | 2024-05-14
07:26:33 | 5e73e0126999d8d4930015eb854c19e1 |
Shipping
Document.Pdf.gz | rar | 2024-05-13
04:52:16 | 7f22877e37036b3685e1a05567ee501f |
rar | 2024-05-09
11:36:15 | 0e390313084f6d356057ed21a43f2c85 | |
RFQ.PDF.lzh | rar | 2024-04-23
21:13:49 | bfd11c09d12e016a72838e3368da964a |
04
攻击案例分析
图7 攻击流程图
4.1 诱饵邮件投递
图13 PowerShell要执行的命令
4.2 恶意程序分析
图19 恢复傀儡线程
4.3 remcosRAT木马
05
总 结
启明星辰积极防御实验室(ADLab)
ADLab成立于1999年,是中国安全行业最早成立的攻防技术研究实验室之一,微软MAPP计划核心成员,“黑雀攻击”概念首推者。截至目前,ADLab已通过 CNVD/CNNVD/NVDB/CVE累计发布安全漏洞5000余个,持续保持国际网络安全领域一流水准。实验室研究方向涵盖基础安全研究、数据安全研究、5G安全研究、人工智能安全研究、移动安全研究、物联网安全研究、车联网安全研究、工控安全研究、信创安全研究、云安全研究、无线安全研究、高级威胁研究、攻防体系建设。研究成果应用于产品核心技术研究、国家重点科技项目攻关、专业安全服务等。
如有侵权请联系:admin#unsafe.sh