“蛛”聯璧合?LUNAR SPIDER活動中發現WIZARD SPIDER的TrickBot定製模組
2019年2月7日,CrowdStrike Intelligence發現了一個對WIZARD SPIDER惡意組織的TrickBot惡意軟體進行分發的新活動,此次活動來自LUNAR SPIDER惡意組織,其特殊之處在於,這是迄今為止首次在LUNAR SPIDER的活動中發現此類TrickBot模組的變體。
WIZARD SPIDER是TrickBot銀行惡意軟體的俄羅斯運營商,迄今為止一直處於不斷髮展的階段,GRIM SPIDER疑似為WIZARD SPIDER威脅組織的所屬小組。而LUNAR SPIDER惡意組織則是東歐商品銀行惡意軟體的開發和運營商,其名下的惡意軟體BokBot(又名IcedID)於2017年4月首次出現。BokBot惡意軟體通過使用webinjects和惡意軟體分發功能,讓LUNAR SPIDER在憑證盜竊和電信欺詐上大展拳腳。
2017年7月,CrowdStrike Intelligence首次確認了涉及BokBot和TrickBot的活動。在這些活動中,受BokBot感染的機器發出了下載和執行TrickBot有效載荷的命令。自那時起,BokBot和TrickBot之間的關係便一直斷斷續續,而最近的這次活動可能標誌著兩者關係進入了一個更為“親密”的階段。
TrickBot的分發
2019年2月7日,LUNAR SPIDER的BokBot(專案ID C610DF9A)被觀測到從http://tfulf[.]host/ sw9hjxzq.exe處下載並執行了一個載入器,該定製的載入器隨後從http://185.68.93[.]30/sin.png處下載了一個TrickBot載入器。此樣本的配置檔案表明它是TrickBot的1000351版本並且屬於組標(gtag)為sin2的組。字首為sin的組標是先前字首為mom的組標的繼任,與此次LUNAR SPIDER活動相關。
完整的TrickBot配置檔案,包括命令和控制(C2)伺服器,如下所示。
<mcconf> <ver>1000351</ver> <gtag>sin2</gtag> <servs> <srv>185.246.64[.]237:443</srv> <srv>68.119.85[.]138:449</srv> <srv>65.184.200[.]184:449</srv> <srv>185.62.188[.]30:443</srv> <srv>96.36.253[.]146:449</srv> <srv>92.38.135[.]33:443</srv> <srv>24.247.181[.]155:449</srv> <srv>31.131.22[.]212:443</srv> <srv>208.79.106[.]155:449</srv> <srv>192.227.204[.]224:443</srv> <srv>124.29.213[.]74:449</srv> <srv>46.100.14[.]215:449</srv> <srv>190.109.178[.]222:449</srv> <srv>103.47.168[.]172:449</srv> <srv>208.79.110[.]201:449</srv> <srv>204.14.154[.]126:449</srv> <srv>103.47.168[.]72:449</srv> <srv>103.47.168[.]91:449</srv> <srv>46.21.249[.]220:443</srv> <srv>107.146.147[.]235:449</srv> <srv>185.62.188[.]30:443</srv> <srv>68.111.123[.]100:449</srv> <srv>103.47.169[.]27:449</srv> <srv>24.247.182[.]240:449</srv> <srv>36.91.74[.]138:449</srv> <srv>125.209.82[.]158:449</srv> <srv>76.107.90[.]235:449</srv> <srv>47.224.98[.]123:449</srv> <srv>185.222.202[.]79:443</srv> <srv>24.247.182[.]253:449</srv> <srv>216.17.92[.]138:449</srv> <srv>199.21.106[.]189:449</srv> <srv>208.79.106[.]213:449</srv> <srv>24.247.182[.]253:449</srv> <srv>136.25.2[.]43:449</srv> <srv>181.129.93[.]226:449</srv> <srv>170.79.176[.]242:449</srv> </servs> <autorun> <module name="systeminfo" ctl="GetSystemInfo"/> <module name="injectDll"/> <module name="pwgrab"/> </autorun> </mcconf>
修改後的TrickBot模組
此次活動遵循了先前的模式,利用BokBot協助傳播TrickBot。不過,最有趣的部分是定製載入器是嵌入式base64編碼的可移植可執行(PE)檔案,如圖1所示。
圖1. Base64編碼的PE檔案
嵌入的PE檔案由定製載入器提取,然後解碼並執行。分析表明,解碼後的PE檔案實際上是TrickBot橫向移動模組shareDll的修改版本。通常,TrickBot模組以動態連結庫(DLL)的形式下載,並提供一組名為Start、Control和Release的匯出標準集。然後此DLL將被注入到一個TrickBot模組化框架內的子svcho .exe程序中。但是,在沒有此框架的情況下,BokBot分發的shareDll模組是一個PE檔案。
此外,標準的TrickBot模組中的字串不以任何方式進行混淆或保護。但是,由BokBot分發的模組中的字串,都用256位AES、派生金鑰和初始化向量(IV)進行加密,以及使用自定義字母表terKSDozBw1l24IyCL6AHh / + 5WRiGnj3xJQ8YkEbcgOZVNPamMsuUTpd0q9vFfX7進行Base64編碼。字串以與主TrickBot載入器完全相同的方式儲存在加密的字串表(如圖2所示)中,並在需要時進行解密。
圖2.加密字串表
下面的表1概述了shareDll模組的兩個變體之間的關鍵區別。
表1.比較兩種ShareDLL變體之間的主要差異
在這兩種情況下,shareDll模組的主要功能是通過在受害者網路內橫向移動以到達當前登入使用者可訪問的機器。在BokBot分散式例項中,一旦找到了可訪問的機器,修改後的spreader模組將嘗試下載位於http://185.68.93[.]30/sin.png或http://185.68.93[.]30/win.png中的TrickBot載入器,並在可訪問的網路計算機上安裝TrickBot。
BokBot在本地機器上安裝TrickBot並在網路中橫向移動的整個過程如圖3所示。
圖3.使用ShareDll安裝TrickBot和橫向移動的BokBot
該模組被重新命名
從2019年2月8日開始,CrowdStrike Intelligence觀察到了此種重新命名的TrickBot模組被傳遞給組標為sin2和sin4的受害者。LUNAR SPIDER的活動與這些組標密切相關。重新命名的模組及其各自的SHA256雜湊值如表2所示,包含字串sin,tin和win。
表2.重新命名的模組和關聯的SHA256雜湊值
與由BokBot分發的TrickBot模組——shareDll中的變化的不同之處在於,模組sharesinDll,tabtinDll和wormwinDll分別在功能上等同於TrickBot部署的模組shareDll,tabDll和wormDll,並保留TrickBot模組的典型特徵。更明確地說,模組是DLL,不包含加密字串,並且具有Start,Control和Release的標準TrickBot匯出。
結論
目前還不清楚模組重新命名的目的是什麼,但它可能是一種方法,能夠跟蹤前面提到的組標其相關模組的活動。此外,CrowdStrike Intelligence正在探索一種可能性,即運營組標字首為sin的TrickBot的子公司與運營ID為C610DF9A的BokBot子公司之間的聯絡。值得注意的是,其他專案ID的BokBot在幫助分發TrickBot上已經有一段時間了。
關於這一最新進展的另一個關鍵點是銀行惡意軟體家族Dyre(又名Dyreza)和Neverquest(又名Vawtrak)的開發運營商之間存在的歷史關係。這種關係很關鍵,因為:
·WIZARD SPIDER中有成員曾開發和運營過Dyre。
· LUNAR SPIDER中有成員曾開發和運營過Neverquest。
儘管曾在威脅行動中屢次取得成功,Dyre和Neverquest卻分別於2015年11月和2017年5月突然停止運營(圖4)。在Neverquest停止運營時,LUNAR SPIDER卻將BokBot引入了市場。這表明,這種變更,可能是早已計劃好的。
與之相反,Dyre在俄羅斯採取強制措施後停止了行動,其中一家名為25th Floor的莫斯科電影和製作公司的辦公室於2015年11月遭到搜查。雖然俄羅斯執法部門沒有公佈任何細節,但據推測,此辦公室涉及到Dyre的運作。從Dyre停止運營,到TrickBot釋出之前,有一年的時間間隔,TrickBot與Dyre也有許多類似的地方,但TrickBot的發展之路卻比Dyre要順暢許多。
圖4.惡意軟體操作日期的時間表
雖然自2017年以來,BokBot一直在幫助傳播TrickBot,但之前沒有觀察到有為某項活動特意開發的定製TrickBot模組的舉動。這一重大進展表明了LUNAR SPIDER和WIZARD SPIDER成員之間的密切關係。CrowdStrike Intelligence預計Dyre和Neverquest運營期間建立的歷史關係已得到重振和鞏固,而WIZARD SPIDER和LUNAR SPIDER已然建立了成功的惡意軟體操作體系。