俄語垃圾郵件推送Redaman銀行惡意軟體

摘要： Redaman於2015年首次被發現，它是針對使用俄羅斯金融機構進行交易的客戶的惡意軟體。最初它被報告為RTM銀行木馬，2017年 Symantec 和 Microsoft 等廠商將該惡意軟體的更新版本描述為Redaman。2018年的最後四個月，我們發現了多個俄語版本Redaman的大規模...

Redaman於2015年首次被發現，它是針對使用俄羅斯金融機構進行交易的客戶的惡意軟體。最初它被報告為RTM銀行木馬，2017年 Symantec 和 Microsoft 等廠商將該惡意軟體的更新版本描述為Redaman。2018年的最後四個月，我們發現了多個俄語版本Redaman的大規模分發活動。本部落格追蹤了2018年9月至12月期間分發此銀行惡意軟體的惡意垃圾郵件（malspam）活動的發展情況。包括以下主題：

·感染向量

· 電子郵件特徵

· 收件人

· 分析Redaman樣本

· 感染流量

一、感染向量

自2018年9月開始，Redaman銀行惡意軟體通過惡意垃圾郵件活動進行分發。在此活動中，俄語malspam傳送給俄羅斯電子郵件收件人，通常這些電子郵件地址以.ru結尾，均包含檔案附件。這些檔案附件是偽裝成PDF文件的Windows可執行檔案壓縮包。 2018年9月，附件是zip壓縮包。 2018年10月，附件是zip，7-zip和rar壓縮包。在2018年11月，附件是rar壓縮包。在2018年12月，附件更改為gzip壓縮，檔名以.gz結尾。

圖1：2018年9月至12月Redaman銀行惡意軟體感染流程圖

二、電子郵件

此malspam中的主題行，訊息文字和附件名不斷更改。但這些訊息都有一個共同的主題：收件人需要解決的涉嫌財務問題的文件或檔案。這些資訊通常含糊不清，並且包含有關所謂財務問題的細節。他們唯一的目標是欺騙收件人開啟附加的存檔並雙擊其中包含的可執行檔案。

在2018年9月到12月期間看到的幾十個例子中，有10個比較常見的主題：

·Subject: Акт сверки сентябрь-октябрь

·Subject: Весь пакет док-ов за прошлый месяц

·Subject: Все док-ты за август-сентябрь

·Subject: Деб.задолженность среда

· Subject: Документы, сверка 02.10

·Subject: Заявка на возврат за ноябрь

·Subject: Необходимо свериться среда

· Subject: Отправка на за прошлую неделю

· Subject: Пакет документов для оплаты 1е октября

·Subject: Сверка на оплату

以下是谷歌翻譯的上述主題：

·主題：9月至10月的和解法案

·主題：上個月檔案的壓縮包

·主題：8月至9月的所有文件

·主題：週三到期的債務

·主題：2018年10月的檔案驗證

·主題：申請返回

·主題：檢查環境

·主題：上週傳送

·主題：10月1日付款的檔案包

·主題：付款驗證

圖2：2018年9月的Redaman malspam示例

圖3：2018年10月的Redaman malspam示例

圖4：2018年11月Redaman malspam示例

圖5：2018年12月Redaman malspam示例

三、目標收件人

來自我們的 AutoFocus 智慧平臺的這些電子郵件和資料的內容確認此惡意行動主要針對俄羅斯收件人。2010年9月至12月期間，我們在AutoFocus中發現了3,845封電子郵件，其附件標記為Redaman銀行惡意軟體。此malspam的前10位發件人和收件人的資料如下：

前10名發件人的郵件伺服器：

·俄羅斯 –  3,456

·白俄羅斯 –  98

·烏克蘭 –  93

·愛沙尼亞 –  29

·德國 –  30

·美國 –  21

·荷蘭 –  12

·英國 –  7

·瑞士 –  7

·拉脫維亞 –  2

前10位收件人的郵件伺服器：

·俄羅斯 –  2,894

·荷蘭 –  195

·美國 –  55

·瑞典 –  24

·日本 –  16

·哈薩克 –  12

·西班牙 –  12

·芬蘭 –  11

·德國 –  6

·奧地利 –  4

圖6：2018年9月至12月期間用於分發電子郵件收件人的視覺化AutoFocus地圖

四、分析一個Redaman樣本

我們分析了2018年11月13日的Redaman惡意軟體樣本。

來自malspam的rar包的SHA256雜湊：

·f6fb51809caec2be6164863b5773a7ee3ea13a449701a1f678f0655b6e8720df

從rar存檔中提取的Redaman可執行檔案的SHA256雜湊值：

·cd961e81366c8d9756799ec8df14edaac5e3ae4432c3dbf8e3dd390e90c3e22f

由上述可執行檔案建立的Redaman DLL的SHA256雜湊：

·cd961e81366c8d9756799ec8df14edaac5e3ae4432c3dbf8e3dd390e90c3e22f

首次執行Redaman的Windows可執行檔案時，它會檢查本地主機上的以下檔案或目錄（C盤或D盤）：

·C:\cuckoo

·C:\fake_drive

·C:\perl

·C:\strawberry

·C:\targets.xls

· C:\tsl

·C:\wget.exe

·C:\*python*

如果存在上述任何檔案或目錄，則Windows可執行檔案將引發異常並退出。這表明Redaman檢查它是否在沙箱或類似的分析環境中執行。

如果沒有異常發生，Windows可執行檔案會在使用者的AppData\Local\Temp\目錄中釋放DLL檔案，在C:\ProgramData\目錄下建立一個隨機命名的資料夾，並將DLL隨機命名並移動到該資料夾下。通過具有以下屬性的Windows計劃任務使此Redaman DLL保持永續性：

·Name：Windows Update

·Description：更新Windows元件。

·Triggers：使用者登入時執行

·Action：rundll32.exe “C:\ProgramData\%random value%\%random value.random 3-character extension%“,DllGetClassObject host

建立計劃任務並載入DLL後，初始Redaman可執行檔案將自行刪除。

圖7：通過計劃任務持久化的Redaman DLL示例

圖 8 ： Process Hacker 使用 rundll32.exe 顯示 Redaman DLL

Redaman使用應用程式定義的鉤子程式來監控瀏覽器活動，特別是Chrome，Firefox和Internet Explorer。然後，它會在本地主機上搜索與金融部門相關的資訊。 Redaman的其他功能包括：

·將檔案下載到受感染的主機

·鍵盤記錄

·捕獲Windows桌面的螢幕截圖並錄製視訊

·收集和提取財務資料，專門針對俄羅斯銀行

·智慧卡監控

·關閉受感染的主機

·通過Windows host檔案更改DNS配置

·獲取剪貼簿資料

·確認正在執行的程序

·將證書新增到Windows儲存庫

五、感染流量

我們使用2018年11月14日SHA256 hash cd961e81366c8d9756799ec8df14edaac5e3ae4432c3dbf8e3dd390e90c3e22f的可執行檔案生成了如下感染流量：

·104.28.16[.]33 port 443 – namecha[.]in – GET /name/d/stat-counter-3-1

·185.141.61[.]246 port 80 – 185.141.61[.]246 – POST /index.php

·193.37.213[.]28 port 80 – 193.37.213[.]28 – POST /p/g_3453456jawd346.php

圖9：在Wireshark中過濾的Redaman感染流量

網路活動以namecha[.]in的HTTPS URL開始，這是一個替代的namecoin塊資源管理器。 Namecoin 是一種加密貨幣系統，可用於分散式DNS。這證明是屬於該情況，因為URL返回了用於後續感染後流量的IP地址，如圖10所示。

圖10：從namecha[.]in返回的用於後續感染流量的資料

在感染期間，回撥流量定期傳送到命令和控制（C2）伺服器185.141.61 [.] 246。感染後不久，從C2伺服器返回的流量將Pony變種DLL傳送到受感染的Windows客戶端。

圖11：使用Wireshark在185.141.61 [.] 246查詢從C2返回的58 kB編碼資料

Pony變體DLL的資料是使用多個XOR金鑰和RTL壓縮排行編碼的。這個Pony變種DLL的SHA256是b4701d95219d465e978c4a815fcce89787916da33ae2a49d0e76d4445fd39ada，它在感染期間產生了193.37.213 [.] 28/p/g_3453456jawd346.php的流量。

六、總結

自2015年首次發現以來，該系列銀行惡意軟體繼續針對使用俄羅斯金融機構進行交易的客戶。在2018年的最後四個月裡，我們發現了100多個malspam的例子，本部落格在這段時間內對Redaman進行了仔細研究。

我們期望在2019年發現新的Redaman樣本。

Palo Alto Networks的客戶可以免受此威脅。通過本地分析識別這些檔案，Wildfire將其歸類為惡意檔案。我們的威脅防禦平臺會檢測此惡意軟體，請參閱下面的附錄，瞭解我們在2018年9月至12月期間發現的Redaman惡意軟體的詳細資訊。

附錄A

從2018年9月到12月發現的119個malspam附件的SHA256檔案雜湊值，30個提取的Redaman可執行檔案和釋放的Redaman DLL檔案。可從以下位置獲取相關資訊：

https://github.com/pan-unit42/iocs/blob/master/Redaman_banking_malware/2018-09-thru-2018-12-file-hashes-for-Redaman-banking-malware.txt

附錄B

2018年9月發現的Redaman銀行惡意軟體的SHA256檔案雜湊，存檔檔名和解壓縮檔名。資訊位於：

https://github.com/pan-unit42/iocs/blob/master/Redaman_banking_malware/2018-09-file-hashes-for-Redaman-banking-malware.txt

附錄C

2018年10月發現的Redaman銀行惡意軟體的SHA256檔案雜湊，存檔檔名和解壓縮檔名。資訊位於：

https://github.com/pan-unit42/iocs/blob/master/Redaman_banking_malware/2018-10-file-hashes-for-Redaman-banking-malware.txt

附錄D

2018年11月發現的Redaman銀行惡意軟體的SHA256檔案雜湊，存檔檔名和解壓縮檔名。資訊位於：

https://github.com/pan-unit42/iocs/blob/master/Redaman_banking_malware/2018-11-file-hashes-for-Redaman-banking-malware.txt

附錄E

2018年12月發現的Redaman銀行惡意軟體的SHA256檔案雜湊，存檔檔名和解壓縮檔名。資訊位於：

https://github.com/pan-unit42/iocs/blob/master/Redaman_banking_malware/2018-12-file-hashes-for-Redaman-banking-malware.txt