近期,绿盟科技伏影实验室捕获到一系列互相关联的钓鱼攻击活动。经过分析,伏影实验室确认这些活动来自APT组织Evilnum,是该组织近期网络攻击行动DarkCasino的延续。
本轮网络攻击活动发生在7月下旬至8月上旬。Evilnum攻击者在活动中继续使用其常用的攻击思路,包括pif类型和压缩包类型的诱饵文件、围绕自研木马程序DarkMe构建的攻击链、以及各式第三方工具等。
DarkCasino是由伏影实验室发现的一起APT行动。该行动主要针对地中海沿岸的西欧诸国,以线上交易现金流为目标。对DarkCasino行动的分析详见已发布报告《DARKCASINO行动:APT组织EVILNUM近期攻击事件深入分析》(http://blog.nsfocus.net/darkcasino-apt-evilnum/)。
Evilnum是一个出于经济动机的威胁组织,自 2018 年以来一直活跃于英国和欧盟国家。该组织的主要攻击目标为各类线上交易平台,通过窃取交易凭证,盗取交易双方账户中的现金。
Evilnum的名称来自一种同名的木马程序,组织别名为DeathStalker。
Evilnum的代表性攻击手段是将恶意程序伪装成客户的身份证明文件,欺骗交易平台的工作人员运行这些程序,进而通过植入间谍木马获得受害者主机上的高价值信息。
Evilnum有较强的开发能力,能够设计复杂的攻击流程和攻击组件。绿盟科技伏影实验室曾捕获和披露该组织多种具有高完成度的攻击流程和多种自研木马程序。
本轮行动中,Evilnum攻击者仍然将目标瞄向线上交易。
伏影实验室捕获的诱饵文档名称显示了Evilnum攻击者的攻击倾向。
表3.1 本轮行动中出现的诱饵名称
诱饵文件名 | 翻译 |
Proforma Invoice july25.pdf.xz | 形式发票 7 月 25 日 |
Remittance $45,520_180522.r00 | 汇款$45,520 |
SDKM556281573893_2638255392.PDF.rar | |
statement (74002425).Pdf.rar | 声明74002425 |
New Order _Specification -Itemlist.pdf.z | 新订单 规格 物品清单 |
TRADE UPDATE TRAFFIC WRONG LIST.pif | 交易更新通信错误列表 |
UNIGLOBAL TRANSACTION TRON BLOCKCHAIN ADDRESS.pif | 全球交易TRON区块链地址 |
New Payments Method Account.pdf.pif | 新的付款方式帐户 |
ECONOMIX LIST BILLING SERVICE PAYMENTS.pdf.pif | 经费清单 计费服务付款 |
OTC DEPOSIT TRANSFER LIST.pdf.pif | 场外存款转账清单 |
ROI TRANSACTION LIST.pdf.pif | 投资回报交易清单 |
EU Payment.pdf | EU支付 |
可以看到,Evilnum将诱饵伪装成账单、清单、发票等常见的交易类文件,以此攻击负责相关事务的人员。部分关键词显示,Evilnum的攻击目标具备使用加密货币收款的能力。
这些特征与Evilnum组织的既往行动类似。Evilnum通常使用此类诱饵攻击各种线上服务中的交易系统,期望窃取交易双方账户中的现金。Evilnum此类攻击的目标行业涵盖线上银行、互联网金融、加密货币平台、线上娱乐等行业。
Evilnum在本轮行动使用的一种典型攻击流程与DarkCasino行动中的攻击流程B相似,在其基础上进行了一些调整。
图 4.1 本轮行动中出现的攻击流程A
上图所示是Evilnum攻击者在7月下旬活动中使用的典型攻击流程。带有双重扩展名的下载者木马被包装在压缩包中投递给受害者,诱使受害者运行该木马。木马运行后下载位于远程位置http[:]//102.37.220[.]234/htdocs/bCMLm.exe的下一阶段木马并运行。
bCMLm.exe是一种dropper木马,将内置的三个文件释放至系统%TEMP%目录中并运行其中的UI.exe文件。
lddAw.exe运行后加载库文件E.ocx,进而通过该库文件读取隐写图片文件bump.bmp中隐藏的数据。图片中隐藏的数据是库文件ShellRunDllVb.dll,被E.ocx加载执行。
ShellRunDllVb.dll是Evilnum组织近期频繁使用的DarkMe木马程序,具有文件操作、CMD命令执行等功能。该DarkMe木马连接CnC为c9spus[.]com:333。
八月上旬的活动中,Evilnum攻击者进一步调整了其攻击流程,简化了远程文件下载部分,直接以快捷方式的形式下发dropper木马。
图 4.2 本轮行动中出现的攻击流程B
如上图所示,初始阶段载荷被伪装成pif快捷方式,通过双重扩展名让受害者误认为该文件是pdf文件。该载荷是dropper木马程序,将内置的三个文件释放至系统%TEMP%目录中并运行其中的lddAw.exe文件,后续运行流程与7月下旬流程基本一致。
此外,Evilnum攻击者在本轮行动中大量使用了AgentTesla、FormBook等第三方木马程序,使用与上述流程相似的方法进行投放。这些第三方木马程序具备强大的窃密能力,可以帮助Evilnum攻击者获取更多凭证类高价值信息。
本次发现的一系列攻击活动表明,Evilnum是一个内部分工明确,具有旺盛生命力的APT组织。Evilnum开发者不断迭代各类攻击工具,加强工具性能和对抗能力;Evilnum攻击者会积极尝试使用各种方式投递木马程序,并快速调整执行流程来实现更好的攻击效果。随着Evilnum不断扩大其目标范围,进行线上交易的一般用户也要注意防范此类攻击,避免个人信息被泄露,造成财产损失。
附录 IOC
74329f3585df9b4ac4a0bc4476369dc08975201d7fc326d2b0f7b7a4c1eab22b
15f3d7a366a7101d8be528683a223aa6831f2697d118f72c2de85f7467d1cd89
21269d54395a1c7949c5919819b8533bfc2508318ec625ec8ee57654a39b698e
22548aaf2ca74dabb3fe50b274c08a71e72a31ecc79f53416007f7332d2ce19e
25605ccb0d3bf15f9e496dcc4d5a035a432a0226828cbb49230208bb5873c935
4d6da7db85da305cca557c4e3e3e909f0e7e706f68592845dfee0ee7e220d11f
6d5a01dedfcea8fed1d6df29d4c72a592176bc9214fe1cfd8aadcc2a6a21c31b
7005e6d9b81a8392bef6e6667f49adf342d4bcfff339d1337b5caf620061959a
818f1f455b20d34ff17bf88cac0f4d02f5aaad46af2d7a0e81459793931fb20a
85bb47acf3e9e3bd5d677eda5e9383a80bf7d9e424113f1b4d6f2cef7c7476af
c3ca57ce8c9b2804038525ac16b4e73af857a6b9eede7ef06d3c836bdeec0973
d787b403e7447e1851336a2655a1c8f911c302ccdc5bc63cfc8bfac1e1d4f77c
ef2c54b2ebfcd6daa2c9a96e15f206ab07b62a5c4ab2244ee70ae18f3aba7dff
1dd764b819ac194712c5269c886b71883a3182b1e488a69f9cf032fbcb258076
d1ab76d6fb30e774089214c14319c10273a6361da9890ec5cb0c6b19a231a0d0
258fde5161a07b89ff33142fb57a2fe176f7e0ea58f46acf9d7c6cf834f83731
015b823d7a91f30d1a2ad1ffad9cf5b62a3191181d4c8c1631716014eb2ad51f
05ad34f00a06df222f2a8179bddf6a55367d498763cbe65be341bcc6a7e28415
09d8451dc6facfe27b63b3daf89f47d9f70820a87a68bd630188958b40edf928
0c743bec2ded9ea3b10f973288cfe0f410ef680d89e52bd14d1073c385fc92b4
0cb3a4e2a6e1767356066266c709da67605096daa7a6dd9d7d58cf94606726c3
0cff04be7f720460b2915fc0e21f13de7fb0d918731c526c3407503f96a3c76d
0f236ff44394b314a8981b03c6b6ca8c57c901476a4146f7dd1a1efd81b2a1e8
1040403a9928dafe952ee43667cb725d3d9e26e73c6083dc5ed2cda437b4bf5e
107f75a8523a90c34426d144c6631d51f9406280ff117ef4fc1ec25afc97bf29
116ab974ec6c1db53b7d8254ca564e55b94d1597290c979892b034b29bb09898
11928d2b9537fe5f9eaad05aaf1ebf4adf93ed68417e9ca60081ecb061ef74c7
14d62b9dd87150bad3eafda51b5c2bd4639bd1e830fcde6254e4fe72a81b6a46
15c4fcf8498ad3f9b06af006d1e5f672b387ef57de435b3a9389089565851a17
1e1b9a014fb18c544e5f451171cd228e416e9d2ade1b2cf9ed90f7606a0b18e0
2d0307e4156c1e31ceb006e8f5d6c76e3b18899d15682697a3ba3dd49a759ab7
2f4077171ac081126a98982e2fe84bca197b6f9d56627f2904a6de48557af244
3a3d40045c5f673d5914b2e057e69d5f05e3fe15da282bc0687f43dccace7f08
db482bcdfac9d5b1201cd4576f1cf6885dd93b783c4f7f6150666a2f142dd8dc
5eff810e68fc0cf97346c4797a04bc4bbe98069f584973e8e9f0466c2ed1af3d
088a6db1ccfe330c113ce56ac485b83f36a04e1ded3a2b5736799c03382f50be
616c3026c24426706adab5487891137a925e6d3056e190231612ff55a685d374
fd8b80db189d9ffff96d8aed16d55406fd94b72c1cad092c782342036c0b01d2
c2a3958006dd5cb31ce7c7e4e145616aa0dd6734ebe0065f1daf810d630d391c
ad98934c2116a8c1b2eb4122d5d4b7232ebc1ebf7eeefcd46762dbbae73ed7ad
3d6c67e7bdc1b12664da2709b0aea624f0a3104cbbb7fb9bbf3d671c8ccd8d3f
677601caaef09a9bd8c8c7298674e8cbd728021ad284352978881028b0720e69
355c5eb559447a7d0c1aa8ba08db12b8b252db0377429d602b9b71e1e0f97046
4b37a07624ffb4f6a132ba315f96cce2559793cf7c71204b1bbdb00e35e49c2d
caee51524d1e97152f5c6b98401c9d553fbfa976def5517aed4114cc3da58d6d
950328ed53e05d2ff7b069a4418da326898ba11a874a549660d16b30407a0f22
c6384b86f18b6a78ab0283bed6a11472e4e9d266d210be8aae9a10708433c786
c9spus[.]com
aacfdhr34wgr[.]com
http[:]//102.37.220[.]234/htdocs/
关于绿盟科技伏影实验室
研究目标包括Botnet、APT高级威胁,DDoS对抗,WEB对抗,流行服务系统脆弱利用威胁、身份认证威胁,数字资产威胁,黑色产业威胁及新兴威胁。通过掌控现网威胁来识别风险,缓解威胁伤害,为威胁对抗提供决策支撑。
绿盟威胁情报中心
绿盟威胁情报中心(NSFOCUS Threat Intelligence center, NTI)是绿盟科技为落实智慧安全3.0战略,促进网络空间安全生态建设和威胁情报应用,增强客户攻防对抗能力而组建的专业性安全研究组织。其依托公司专业的安全团队和强大的安全研究能力,对全球网络安全威胁和态势进行持续观察和分析,以威胁情报的生产、运营、应用等能力及关键技术作为核心研究内容,推出了绿盟威胁情报平台以及一系列集成威胁情报的新一代安全产品,为用户提供可操作的情报数据、专业的情报服务和高效的威胁防护能力,帮助用户更好地了解和应对各类网络威胁。
绿盟威胁情报中心官网:https://nti.nsfocus.com/
绿盟威胁情报云:https://ti.nsfocus.com/
扫码关注我们
公众号 | 绿盟科技威胁情报