網路犯罪團伙Silence利用惡意CHM檔案瞄準俄羅斯銀行
在2018年11月份,網路安全公司ReaQta發現了這樣一條推文,它提到了一場利用CHM(微軟於 1998 年推出的基於HTML檔案特性的幫助檔案系統)檔案來傳播惡意程式碼的攻擊活動。經過初步分析,ReaQta的研究人員發現這場攻擊活動針對的是金融機構的工作人員,尤其是俄羅斯聯邦和白俄羅斯的金融機構工作人員。
研究人員還得出結論,這場攻擊活動的發起者很可能是Silence組織。這是一個相對“年輕”的網路犯罪團伙,自2016年年中以來一直處於活躍狀態。到目前為止,由ReaQta確認的目標組織包括:
- Emirates NBD Bank(阿聯酋國民銀行):中東地區資產規模最大的銀行集團之一,俄羅斯辦事處。
- Zapsibkombank(Zapadno-Sibirskiy Kommercheskiy Bank):西西伯利亞商業銀行(WSCB),俄羅斯。
- FPB(Finprombank):俄羅斯。
- MSP Bank(МСП Банк):俄羅斯聯邦國家銀行,專注於為中小企業提供融資。
- MT Bank(МТБанк): 子午線貿易銀行,是唯一一家在這場攻擊活動中被列為攻擊目標的白俄羅斯銀行。
圖1.攻擊目標分佈圖
如上所述,這場攻擊活動基於一個惡意的CHM檔案。儘管CHM是一種“過時”的檔案格式,但它的確曾在過去被有效地用於執行惡意程式碼。在此次攻擊活動中,除了利用本機作業系統二進位制檔案來收集與攻擊目標相關的資訊之外,惡意CHM檔案還被用於下載其他惡意元件。
傳播策略
攻擊從一封採用俄語編寫的魚叉式釣魚電子郵件開始,附件是一個名為“Contract_12112018.Z”的壓縮檔案。
解壓縮後,會得到一個名為“Contract_12112018.chm”的CHM檔案。從其內容來看,似乎與銀行開戶決議有關。執行它,則會進入感染鏈的第一階段。
圖2.以惡意CHM檔案作為附件的魚叉式網路釣魚電子郵件(左)和“Contract_12112018.chm”所包含的內容(右)
從發件人地址來看,這些魚叉式網路釣魚電子郵件全都是從分屬不同俄羅斯銀行的官方電子郵箱地址傳送的,且其中大多數都屬於俄羅斯聯邦央行,而電子郵件的內容都與所謂的“關於統一俄羅斯銀行電子銀行電文格式的規定”有關。
惡意元件
在下圖中,研究人員重建了Silence組織使用的完整CHM感染鏈,它主要分為三個階段:
- 下載啟動感染鏈所需的初始payload(VBScript)。
- 初始payload開始執行,並下載其他惡意元件。
- 收集資訊並上傳到命令和控制(C2)伺服器。
圖3.CHM感染鏈
編譯的HTML幫助檔案(contract_12112018.chm)的檔案結構類似於一個超文字網頁,通過本機Microsoft Windows程式“hh.exe”開啟。這個CHM檔案包含一個名為“start.htm”的HTM檔案,而該檔案則包含用於啟動cmd.exe和mshta.exe的惡意payload。一旦CHM檔案被開啟,start.htm就會開始執行,並通過cmd.exe和mshta.exe從IP 146.0.72.139下載一個惡意VBscript(被命名為“li”)。這也就是整個感染鏈的第一階段。
下圖展示的是用於啟動mshta.exe的命令列:
圖4.惡意CHM檔案所包含的HTM檔案的內容
感染鏈的第二階段是繼續執行“li”檔案中包含的指令,涉及如下內容:
- 複製cmd.exe和PowerShell,並將副本分別重新命名為ejpejpff.com和ejpejpf.com,然後將它們儲存到%TEMP%資料夾中。
- 使用引數“-nop -W hidden -noninteractive –c”呼叫ejpejpf.com(Powershell.exe的副本):
- 下載Base64編碼的“flk”payload,並將其儲存到%TEMP%資料夾中,儲存為“ejpej .txt”;
- 解碼ejpej .txt,並將其儲存為“ejpejp.com”;
- 執行“ejpejp.com”。
圖5.“li”檔案所包含的內容
感染鏈的第三階段,也是最後一個階段,是繼續執行“ ejpejp.com”,涉及如下內容:
- 將自身複製到\AppData\Roaming\下,儲存為“conhost.exe”。需要說明的是,這個檔名通常由合法的“Console Windows Host ”使用,用在這裡很可能是為了逃避安全檢測;
- 將“conhost.exe”新增到登錄檔HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run開機啟動項中,作為一種實現永續性的方法;
- 執行系統資訊收集。
研究人員認為,conhost.exe 應該就是Silence組織所使用木馬的變種,用於與受害者計算機相關的資訊,而資訊收集的實現則涉及到利用如下四個Windows系統二進位制檔案:
- system.exe :執行“System Information”,以收集與受害者計算機配置和作業系統相關的詳細資訊。例如,產品ID、硬體效能和安全資訊。
- net.exe :利用“Net View”收集與區域網相關的資訊,以及啟動/停止IPv6協議服務。
- whoami.exe :用於獲取使用者的當前域名和使用者名稱
- ipconfig.exe :用於收集TCP/IP網路配置設定。
所有這些資訊都將被儲存在“INFOCONTENT.TXT”檔案中,儲存在%ProgramData%資料夾中,並在隨後被上傳到託管在IP 146.0.72.188上的Silence組織的命令和控制(C2)伺服器。
網路基礎設施
如上所述,Silence組織在這場攻擊活動中利用了多個本機二進位制檔案來收集對其有用的資訊,進而生成與目標銀行機構基礎設施有關的情報。
在這場攻擊活動中,Silence組織為惡意軟體通訊使用了兩個IP地址。第一個是146.0.72.139 ,它是下載惡意元件的直接通道。第二個是146.0.72.188,用於與命令和控制(C2)進行通訊,以上傳收集到的資訊。值得一提的是,這兩個IP都託管在荷蘭。
圖6.惡意網路請求流程
歸因
與往常一樣,歸因向來都不是一件很容易的事。在這裡,ReaQta的研究人員為分享了幾個導致他們認為這場攻擊活動背後的發起者是Silence組織的因素:
- 操作模式和感染載體(CHM)在Silence組織的近期活動中十分常見;
- CHM的內部結構是Silence活動中常見的結構;
- 下載的二進位制檔案與Silence組織使用的二進位制檔案(Truebot變種)相匹配;
- 用來編寫魚叉式網路釣魚電子郵件的語言與Silence組織的活動相匹配;
- 目標位於東歐和俄羅斯;
- 目標型別(金融機構)與Silence組織通常選擇的攻擊目標相匹配;
- 在這場攻擊活動中識別出來的TTP與Silence此前的活動相匹配。
正是基於這些因素讓研究人員得出結論,這場攻擊活動的發起者很可能就是Silence組織(或該組織的一個分支)。
結論
根據ReaQta收集到的情報顯示,這場攻擊活動只是一場更大規模攻擊活動的一小部分,其攻擊目標主要是在俄羅斯境內運作的金融機構。從整個感染過程、攻擊鏈和操作模式來看,Silence組織雖然是一個相對“年輕”的網路犯罪團伙,但它正在逐步發展成為一個越來越具有組織性和危險性的銀行惡意軟體分發團伙。
宣告:本文來自黑客視界,版權歸作者所有。文章內容僅代表作者獨立觀點,不代表安全內參立場,轉載目的在於傳遞更多資訊。如需轉載,請聯絡原作者獲取授權。