手机上怎么买彩票双色球 微信上有人推荐买彩票 能合买彩票的平台 夫妻买彩票狂中30亿 买彩票心态 买彩票就买大乐透开奖结果 哪个平台买彩票安全吗 买彩票有买一个号的吗 怎么看走势图买彩票 如何在电脑上买彩票 美国几岁可以买彩票? 福彩工作人员买彩票 彩客网买彩票 能在微信上买彩票吗 怎么买彩票容易中

利用木马化TeamViewer针对多个国家政府机构的攻击行动

来源本站整理 作者佚名 时间2019-04-26 TAG 我要投稿

近日Check Point的研究人员发现了几起网络攻击事件主要是针对美国财政部门的官员以及几位欧洲大?#26500;?#20195;表此次攻击以伪装成机密文件的恶意附件开始通过将TeamViewer一个流行的远程访问和桌面共享软件武器化来完全控制受感染的电脑
在研究了此次攻击的感染链和基础设施后我们将其比对了先前的攻击案例并将攻击者锁定在了一位俄语黑客身上
在本文中我们将讨论感染链攻击目标攻击者使用的工具以及攻击背后的可能原因
感染链
感染始于一个带有恶意宏的XLSM文档该文档以“军事融?#22987;?#21010;”Military Financing Program为主题通过电子邮件发送给潜在目标:
电子邮件主题:军事融?#22987;?#21010;
文?#24471;?#31216;:“Military Financing Program.xlsm”
sha – 256:efe51c2453821310c7a34dca3054021 d0f6d453b7133c381d75e3140901efd12

图1:恶意文件
这份仿制精良的Excel文件不光背景印上了美国标志还在文档底部写上了“最高机密”虽然攻击者努力使文档看起来具有说服力但他们似乎忽略了文档中遗留的一些西里尔语的成分(比如工作簿的名称)而这可能会帮助我们揭示攻击源的更多信息

图2感染链
一旦宏启用有两个文件将从XLSM文档中的十六进制编码单元格中被提取第一个文件是一个合法的AutoHotkeyU32.exe程序另一个则是AutoHotkeyU32.ahk它是一个AHK脚本负责向CC服务器发送POST请求并可以接收其他AHK脚本URL用以?#30053;?#21644;执行
另外有三个不同的AHK脚本在服务器?#31995;?#24453;响应以开启下一阶段
· hscreen.ahk负责截取受害者PC的屏幕截图并将其上传到CC服务器
· hinfo.ahk将受害者的用户名和计算机信息发送到CC服务器
· htv.ahk?#21512;略?#24182;执行TeamViewer的恶意版本并将登?#35745;?#25454;发送到CC服务器
恶意TeamViewer DLLTV.DLL通过DLL side-loading技术加载用于通过钩住程序调用的Windows API为TeamViewer添加更多“功能”
修改的功能包括:
· 隐藏TeamViewer的接口这样用户就不会知道它正在运行
· 将当前TeamViewer会话凭据保存到文本文件中
· 允许传输和执行额外的EXE或DLL文件

图3:MoveFileW函数钩子:添加payload“执行”和“注入”功能
攻击目标
如上一节所述AutoHotKey脚本的首要用途之一是从受感染的PC上传屏幕截图
这些截图上传到的目录是暴露的可以通过浏览特定的URL查看:

图4:打开带有受害者截图的目录
但是这些截屏文件会定期从服务器中删除并且最终“open directory”视图会被禁用
在那之前我们能够?#33539;?#27492;次攻击的部分受害者因为大多数截屏?#21450;?#21547;了身份信息
根据我们在自己的遥测中观察到的目标以及从服务器上收集到的信息我们能够列出部分目标国家的名单:
· 尼泊尔
· 圭亚那
· 肯尼亚
· 意大利
· 利比里亚
· 百慕大
· 黎巴嫩
仅仅?#27492;?#38024;对的国家名单很难判断这场运动背后是否有地缘政治动机因为它针对的不是某个特定地区而且受害者来?#20801;?#30028;各地
不过观察到的受害者名单显示攻击者对公共金融部门特别?#34892;?#36259;因为他们似乎都是攻击者“精心挑选”的税务部门官员
行动溯源
我们观察到该攻击者在其以往的攻击行动中都用到了TeamViewer的木马化版本但恶意DLL的特性以及感染的第一阶段都随着时间的推移发生了变化
传播
威胁行为者使用的初?#20960;?#26579;载体也随着时间的推移而发生变化在2018年我们曾在他制造的多起攻击案例中看到过自解压档案的多种用途而不是使用AutoHotKey向用户显示诱饵图像的恶意文档
例如自解压档案“ݧا֧ߧڧ֧ܧ?#23398;֧xէѣӏܧ学٧ާܧ学ܧ学_25.12.2018.DOC.exe”翻译成“市检察官办公室条例”按区域检察官的命令_25.12.2018.DOC.exe”显示图像如下

图6:诱饵?#35745;?br/> 这张照片显示的是哈萨克斯坦的官员发布于哈萨克斯坦外交部网站该可执行文件的原始名称及其显示的内容似乎都表明它的目标是俄语受害者
还有其他一些行动也是针对俄语人群的其中就有一份武器化的Excel文档中提到了需要启用宏才能显示文件完整的俄语内容

图7:诱饵文件
SHA-256: 67d70754c13f4ae3832a5d655ff8ec2c0fb3caa3e50ac9e61ffb1557ef35d6ee
启用宏后文件将显示金融相关内容:

[1] [2] [3]  下一页

声明:黑吧安全网(http://www.rliwo.live)登载此文出于传递更多信息之目的并不代表本站赞同其观点和对其真实性负责仅适于网络安全技术爱好者学习研究使用学习中请遵循国家相关法律法规如有问题请联系我们联系邮箱[email protected]我们会在最短的时间内进行处理
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近?#30053;?/li>
        ƱȨַ
        手机上怎么买彩票双色球 微信上有人推荐买彩票 能合买彩票的平台 夫妻买彩票狂中30亿 买彩票心态 买彩票就买大乐透开奖结果 哪个平台买彩票安全吗 买彩票有买一个号的吗 怎么看走势图买彩票 如何在电脑上买彩票 美国几岁可以买彩票? 福彩工作人员买彩票 彩客网买彩票 能在微信上买彩票吗 怎么买彩票容易中