攻防最前線：黑客團伙TA505利用垃圾郵件散佈遠控木馬tRat

摘要： TA505是Proofpoint網路安全公司所追蹤的最多產的黑客組織之一。從2014年開始，該組織發起了數百起Dridex活動，並在2016年和2017年期間發起了大規模的Locky活動，其中許多活動都涉及到在全球範圍內傳播數億條惡意資訊。最近，該組織一直在分發各種遠端訪問木馬（RA...

TA505是Proofpoint網路安全公司所追蹤的最多產的黑客組織之一。從2014年開始，該組織發起了數百起Dridex活動，並在2016年和2017年期間發起了大規模的Locky活動，其中許多活動都涉及到在全球範圍內傳播數億條惡意資訊。最近，該組織一直在分發各種遠端訪問木馬（RAT），以及其他資訊竊取、載入和偵察工具，包括一個被Proofpoint稱為“tRat”的之前未被報道過的惡意軟體。tRat是一種採用Delphi編寫的模組化RAT，於今年9月和10月出現在各種活動中（TA505是參與者之一）。在上週四發表的博文中，Proofpoint對這些這些活動進行了討論，並對該惡意軟體進行簡要分析。

活動分析

2018年9月27日，Proofpoint發現了一起垃圾電子郵件活動，其中的惡意Microsoft Word文件使用巨集下載了一種此前未被報道過的RAT。這些檔案濫用了諾頓（Norton）的品牌，文件的名稱和內嵌的影象都想要體現出它們受到了安全產品的保護。電子郵件的主題行強化了社會工程，宣告“我已經安全地與您共享了檔案”，而啟用內嵌的巨集就會導致tRat被安裝。這起活動是由一個未知黑客組織發起的，而在9月29日再次出現了一起與之明視訊記憶體在關聯的活動，濫用了貓途鷹（TripAdvisor）的品牌（圖2）。

圖1：來自2018年9月27日活動的誘餌文件，濫用品牌和社會工程來誘騙收件人啟用惡意巨集

圖2：在2018年9月29日活動中使用的TripAdvisor誘餌文件，再次濫用品牌和社會工程誘騙使用者啟用巨集

在10月11日，Proofpoint觀察到了另一起分發tRAT的垃圾電子郵件活動，它的發起者是TA505。這起活動更加複雜，使用了Microsoft Word和Microsoft Publisher檔案，以及不同的主題行和發件人，似乎針對的是商業銀行機構的使用者。

在這起活動中，攜帶惡意Microsoft Publisher文件的電子郵件聲稱與“發票”有關，並涉及到各種發件地址。電子郵件的主題行採用了“Inovice（sic）[隨機數字] - [隨機數字]”這樣的格式，並且攜帶了名為“inv-399503-03948.pub”的附件。在另一種情況下，攜帶惡意Microsoft Word附件的電子郵件聲稱來自“Vanessa Brito”，同樣涉及到各種發件地址。附件在這些電子郵件中被命名為“Report.doc”，電子郵件主題行採用了“Call Notification -[隨機數字] - [隨機數字]”這樣的格式。

圖3展示了其中一封電子郵件樣本：

圖3：2018年10月11日活動的電子郵件樣本

對於所有電子郵件而言，附件都包含巨集，當啟用時，會下載tRat。

圖4：2018年10月11日的誘餌文件樣本

tRat分析

在Proofpoint繼續分析該惡意軟體的同時，他們也明確了它的一些功能。在他們所分析的樣本中，tRat通過將二進位制檔案複製到以下位置來實現永續性：

C:\Users\ \AppData\Roaming\Adobe\Flash Player\Services\Frame Host\fhost.exe

接下來，tRat會在Startup目錄下建立一個LNK檔案，用於在啟動時執行二進位制檔案：

C:\Users\ \AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\bfhost.lnk

tRat的大多數重要字串都是在經過十六進位制編碼和加密後儲存的。在Proofpoint的Github頁面上，有一個Python指令碼可用來解密這些字串。

tRat使用TCP埠80來進行命令和控制（C＆C）通訊， 資料同樣在經過十六進位制編碼和加密後進行傳輸。為了生成解密金鑰，tRat連線到三個字串，而結果是大寫的十六進位制編碼。在Proofpoint所分析樣本中的字串如下所示：

1. "Fx@%gJ_2oK"
2. "AC8FFF33D07229BF84E7A429CADC33BFEAE7AC4A87AE33ACEAAC8192A68C55A6"
3. "&LmcF#7R2m"

目前尚不清楚這些字串是否因樣本不同而存在差異。除了生成金鑰之外，tRat還在解密過程中使用了一個1536位元組的表。在撰寫博文時，Proofpoint還沒有能夠確定表中所有元素的含義，也無法確定其是否會發生更改。但能夠確定的是，解密過程涉及到使用被加密的資料與表中的值進行異或運算。來自分析樣本的表和Python指令碼都可以Proofpoint的Github頁面上找到，可用於解密通訊。

tRat的初始phone-home network請求稱為“AUTH_INF”。解密後的樣本如下所示：

MfB5aV1dybxQNLfg:D29A79D6CD2F47389A66BB5F2891D64C8A87F05AE3E1C6C5CBA4A79AA5ECA29F8E8C8FFCA6A2892B8B6E

這個字串由一個“：”分隔為兩個子字串。第一個子字串是是作為加密字串儲存的硬編碼識別符號。第二個子字串包含加密的系統資料，如下所示：

FASHYEOHAL/nXAiDQWdGwORzt:3A176D130C266A4D

這些資料包含受感染主機的計算機名稱、系統使用者名稱和tRat bot ID，但Proofpoint表示他們尚未確定bot ID是如何生成的。

對於phone-home network請求，C＆C將使用“[P]”或命令列表進行響應。如果tRat收到“[P]”，它將“[G]” 作為響應。雖然這看起來像命令輪詢，但命令列表、命令和模組資料的準確格式是未知的。目前，Proofpoint認為loader中唯一支援的命令是“MODULE”，它至少包含一個模組名和匯出名。為了接收模組，tRat需要執行以下步驟：

• 傳送“[GET_MODULE]”
• 如果收到“[WAIT_FOR_AUTH_INF]”，則傳送AUTH_INF資料
• 如果收到“[WAIT_FOR_MODULE_NAME]”，則傳送模組名
• 響應可能是以下之一：
  • “[ERR_MODULE_NOT_FOUND]”
  • “[[ACCESS_DENIED]]”
  • 模組長度
• 如果收到的是模組長度，則傳送一個“[READY]”
• 接收模組
• 模組本身的加密方式與C＆C通訊類似，但似乎使用了隨模組一起傳送的不同金鑰
• 解密後，模組將作為DLL載入，並使用收到的匯出名執行

Proofpoint表示，目前還沒有觀察到C＆C提供的任何模組，因此他們無法確定有哪些功能可能會被新增。

總結

鑑於TA505所發起活動的數量、頻率和複雜程度，該組織往往會在電子郵件威脅領域掀起波瀾。對於該組織而言，開始測試新的惡意軟體並不是什麼稀罕事，因為他們在過去的活動中已經使用了BackNet、Cobalt Strike、Marap、Dreamsmasher和 ofollow,noindex" target="_blank">Bart 。另外，他們也曾使用過類似 Locky 這樣的新型惡意軟體，以及一些分佈並不廣泛的惡意軟體，如 FlawedAmmyy 。此外，他們在今年對RAT的使用反映了出一種更為廣泛的向loader、竊取程式和其他惡意軟體的轉變。這些惡意軟體被設計用於駐留在受感染裝置上，併為威脅行為者提供長期的投資回報。

宣告：本文來自黑客視界，版權歸作者所有。文章內容僅代表作者獨立觀點，不代表安全內參立場，轉載目的在於傳遞更多資訊。如需轉載，請聯絡原作者獲取授權。