TA505組織利用Excel 4.0巨集針對銀行機構的最新攻擊活動分析
背景
2018年12月,360威脅情報中心捕獲到多個利用Excel 4.0巨集針對銀行機構的攻擊樣本。釣魚文件為攜帶惡意Excel 4.0巨集的Office Excel文件,並通過它下載執行最終的後門程式。採用Excel 4.0巨集有利於躲避安全軟體的檢測,對此我們曾做過相關的詳細研究,相關報告可以參考:https://ti.360.net/blog/articles/excel-macro-technology-to-evade-detection。
360威脅情報中心經過溯源和關聯後確認,這是TA505組織針對銀行機構最新的攻擊行動。並且基於對攻擊者的畫像,我們猜測TA505組織可能來自東歐地區以俄語為主要語言的國家。TA505組織由Proofpoint[1]在2017年9月首次命名,其相關活動可以追溯到2014年。該組織主要針對銀行金融機構,採用大規模傳送惡意郵件的方式進行攻擊,並以傳播Dridex、Locky等惡意樣本而臭名昭著。這些年來,儘管已針對該組織採取了多次行動,比如通過打擊Dridex[2][3]和Necurs等殭屍網路來削弱其影響,但都只起到了暫時性的效果[5][6][7]。
2018年3月,TA505組織被發現使用Necurs殭屍網路來傳播FlawedAmmyy[8]遠控後門程式。本月初,Proofpoint發表的另外一篇文章指出該組織使用的全新惡意軟體,並將其命名為ServHelper[9]。360威脅情報中心此次捕獲的後門與ServHelper非常相似,不過在入侵的過程中採用了更加難以檢測的Excel 4.0巨集。
樣本在VirusTotal上的檢測情況
時間線
360威脅情報中心整理了與TA505組織相關的時間線如下:
攻擊過程
360威脅情報中心捕獲到多個攻擊不同銀行機構的惡意郵件,包括標準銀行(南非)、智利銀行、Bank of Maharashtra(印度)、Banca Fideuram私人銀行(義大利)、Kotak Mahindra私人銀行(印度)和RMB Private Bank(南非)。通過對這些郵件的分析,我們發現攻擊者使用通過VPS服務搭建的或疑似被攻陷的郵件伺服器來發送惡意郵件。根據公開資料查詢結果表明,其中部分郵件伺服器疑似位於烏克蘭、摩爾多瓦和俄羅斯。這裡以發往標準銀行的郵件為例,還原攻擊的過程。
含有惡意Excel 4.0巨集的文件作為附件被髮送到目標郵箱。樣例中的郵件看似來自光纖網路供應商(Hiawatha Broadband Communications),其正文催促目標必須在當日內處理完畢那些未完成的支付交易。由於正文與目標的日常工作有較高的相關性,因此惡意附件容易被誘使開啟:
Excel文件被開啟後,其展示的迷惑性內容將誤導使用者啟用巨集功能,從而執行惡意的Excel 4.0巨集程式碼:
惡意的Excel 4.0巨集程式碼位於隱藏的表單中,以避免引起受害使用者的注意。該隱藏表單的名字由俄語組成:
惡意的巨集程式碼從hxxp://office365advance.com/update下載樣本並執行,並同時試圖開啟記事本程式,以掩蓋其背後的惡意行為:
樣本分析
Dropper(Update)
從office365advance.com下載的Update(MD5:53F7BE945D5755BB628DEECB71CDCBF2)是一個MSI檔案,內含一個Nullsoft安裝包。該檔案有數字簽名,不過目前該簽名已被吊銷:
Nullsoft安裝包內含有兩個檔案,分別是後門程式(htpd.dat)和啟動該後門的VBS指令碼:
Nullsoft安裝指令碼在執行時,會把htpd.dat和rds.vbs釋放到%temp% 目錄,隨後建立help.bat檔案並寫入“rundll32.exe $TEMP\htpd.dat, bogus”:
隨後執行rds.vbs 指令碼,該指令碼會執行help.bat 從而載入後門程式(htpd.dat)。
Backdoor(htpd.dat)
htpd.dat(MD5:272C036924BC9B8F44D6158220303A23)是一個動態連結庫檔案,主要功能在匯出函式“bogus”中實現:
當匯出函式“bogus”被執行時,它會建立兩個執行緒。其中一個用於同C&C伺服器通訊,另外一個負責處理從該伺服器獲取的遠端指令。在通訊的過程中該後門採用HTTPS,並硬編碼“asdgdgYss455”到引數key中:
攻擊者可以通過遠端指令執行以下操作:
命令 |
功能 |
shell |
開啟遠端shell |
nop |
保持同C&C伺服器的連線 |
slp |
設定睡眠時間 |
load |
下載並執行EXE檔案 |
loaddll |
下載並執行DLL檔案 |
selfkill |
自刪除 |
溯源與關聯
360威脅情報中心通過對樣本的詳細分析後發現,此次攻擊的幕後團伙是TA505組織,部分關聯依據如下。
在捕獲的相似後門中,樣本回連的C&C伺服器包括pointsoft[.]pw,這與Proofpoint[9]對TA505的描述一致。通過360威脅情報中心資料平臺對C&C伺服器進行查詢,也成功關聯到了TA505組織:
該後門採用HTTPS與C2通訊,並設定引數key的值為“asdgdgYss455”,該特殊值同樣被TA505組織使用過。另外,通訊過程中引數名稱和順序也是相同的:
最後,後門指令和功能也與TA505使用的ServHelper RAT匹配。
攻擊者畫像
由於根據公開資料查詢到的結果表明相關郵件伺服器疑似位於烏克蘭、摩爾多瓦和俄羅斯境內,郵件附件內隱藏的巨集表單語言說明這些文件由俄語的Office軟體建立,且該組織曾使用的Dridex惡意軟體被溯源到東歐地區,因此我們猜測TA505組織可能來自東歐地區以俄語為主要語言的國家。
總結
TA505組織從被發現到現在已有近5年的時間,期間雖有多次針對該組織的打擊行動,但可惜均未達到斬草除根的效果。儘管其傳送的惡意郵件數量已有大幅下滑,但仍有一定的規模。另外這也不排除是其主動為之的策略,以避免被過度關注從而成為首要打擊的物件。從捕獲的樣本來看,TA505的攻擊目標不再侷限於歐洲的銀行機構,其重心似乎轉向了南非、印度等發展中國家,而私人銀行也成為其主要攻擊物件。
從Dridex的複雜度、演化路徑[7]及該組織曾使用的其它多類樣本來看,TA505組織持續不斷的在技術上投入以保證其攻擊的有效性。本次捕獲的後門更像是用於甄別受害者目標環境,併為後續攻擊提供條件基礎。隨著攻擊面的收斂,後續樣本的捕獲難度會不斷加大。
相對於使用Office 0day,利用Excel 4.0巨集需要更多的使用者互動以完成攻擊。雖然這會降低其攻擊的成功率,但可以通過更有針對性的郵件內容和更具迷惑性的文件資訊來彌補。此外,這類攻擊具有很好的成本優勢,因此仍被許多攻擊組織大量採用。企業使用者應儘可能小心開啟來源不明的文件,如有需要可通過開啟Office文件中的:檔案-選項-信任中心-信任中心設定-巨集設定,來禁用一切巨集程式碼執行:
目前,基於360威脅情報中心的威脅情報資料的全線產品,包括360威脅情報平臺(TIP)、天眼高階威脅檢測系統、360 NGSOC等,都已經支援對此類攻擊的精確檢測。
IOC
Key String |
| aSDGsdgo445 |
| asdgdgYss455 |
C2 |
| vesecase.com |
| afsssdrfrm.pw |
| pointsoft.pw |
Download URL |
| hxxp://office365advance.com/update |
| hxxp://office365homepod.com/genhost |
| hxxp://add3565office.com/rstr |
Excel and eml samples |
| 9c35e9aa9255aa2214d704668b039ef6 |
| 44dad70d844f6696fc148a7330df4b21 |
| fee0b31cc956f083221cb6e80735fcc5 |
| 4c400910031ee3f12d9958d749fa54d5 |
| 2e0d13266b45024153396f002e882f15 |
| 26f09267d0ec0d339e70561a610fb1fd |
| 09e4f724e73fccc1f659b8a46bfa7184 |
| 18c2adfc214c5b20baf483d09c1e1824 |
| 8cd3b60b167de2897aa6abf75b643d48 |
| 2cb8e5d871f5d6c1a8d88b1fb7372eb0 |
| e9130a2551dd030e3c0d7bb48544aaea |
| 9b0cc257a245f04bcd3766750335ad0c |
| 9888d1109d6d52e971a3a3177773efaa |
| be021b903653aa4b2d4b99f3dbc986f0 |
| 2036a9e088d16e8ac35614946034b1a5 |
| ef5741c4b96ef9498357dc4d33498163 |
| e84f6742f566ccaa285c4f2b8d20a77c |
Backdoor |
| 53F7BE945D5755BB628DEECB71CDCBF2 |
| 5B7244C47104F169B0840440CDEDE788 |
| E00499E21F9DCF77FC990400B8B3C2B5 |
| 272C036924BC9B8F44D6158220303A23 |
| C6774C1417BE2E8B7D14BAD13911D04B |
| cc29adb5b78300b0f17e566ad461b2c7 |
Digital signature |
| Name: "VAL TRADEMARK TWO LIMITED" |
| Serial number:6e 91 95 0d d1 1f df 27 96 83 df b2 b4 9b 2f 47 |
| Thumbprint:39 ca 0e 49 d4 01 77 4b 2b bf ea 16 27 60 7e 6e 6b dc 07 6f |
| Name: MASTER LIM LTD |
| Serial number:00 8e 3e 9a 2f e7 3c 91 98 5b 4f 90 d5 95 77 cd 6c |
| Thumbprint:26 0c 8d 47 00 3c a3 8a f0 54 53 f5 96 7a 8e 03 85 7f 04 88 |
參考連結
[1]. https://www.proofpoint.com/us/threat-insight/post/threat-actor-profile-ta505-dridex-globeimposter
[2]. https://www.secureworks.com/research/dridex-bugat-v5-botnet-takeover-operation
[3]. https://www.justice.gov/opa/pr/bugat-botnet-administrator-arrested-and-malware-disabled
[4]. https://www.proofpoint.com/us/threat-insight/post/necurs-botnet-outage-crimps-dridex-and-locky-distribution
[5]. https://www.symantec.com/connect/blogs/dridex-financial-trojan-aggressively-spread-millions-spam-emails-each-day
[6]. https://www.symantec.com/connect/blogs/necurs-mass-mailing-botnet-returns-new-wave-spam-campaigns
[7]. https://securelist.com/dridex-a-history-of-evolution/78531/
[8]. https://www.proofpoint.com/us/threat-insight/post/leaked-ammyy-admin-source-code-turned-malware
[9]. https://www.proofpoint.com/us/threat-insight/post/servhelper-and-flawedgrace-new-malware-introduced-ta505
[10]. https://ti.360.net/
宣告:本文來自360威脅情報中心,版權歸作者所有。文章內容僅代表作者獨立觀點,不代表安全內參立場,轉載目的在於傳遞更多資訊。如需轉載,請聯絡原作者獲取授權。