攻防最前線:黑客團伙TA505利用垃圾郵件散佈遠控木馬tRat
TA505是Proofpoint網路安全公司所追蹤的最多產的黑客組織之一。從2014年開始,該組織發起了數百起Dridex活動,並在2016年和2017年期間發起了大規模的Locky活動,其中許多活動都涉及到在全球範圍內傳播數億條惡意資訊。最近,該組織一直在分發各種遠端訪問木馬(RAT),以及其他資訊竊取、載入和偵察工具,包括一個被Proofpoint稱為“tRat”的之前未被報道過的惡意軟體。tRat是一種採用Delphi編寫的模組化RAT,於今年9月和10月出現在各種活動中(TA505是參與者之一)。在上週四發表的博文中,Proofpoint對這些這些活動進行了討論,並對該惡意軟體進行簡要分析。
活動分析
2018年9月27日,Proofpoint發現了一起垃圾電子郵件活動,其中的惡意Microsoft Word文件使用巨集下載了一種此前未被報道過的RAT。這些檔案濫用了諾頓(Norton)的品牌,文件的名稱和內嵌的影象都想要體現出它們受到了安全產品的保護。電子郵件的主題行強化了社會工程,宣告“我已經安全地與您共享了檔案”,而啟用內嵌的巨集就會導致tRat被安裝。這起活動是由一個未知黑客組織發起的,而在9月29日再次出現了一起與之明視訊記憶體在關聯的活動,濫用了貓途鷹(TripAdvisor)的品牌(圖2)。
圖1:來自2018年9月27日活動的誘餌文件,濫用品牌和社會工程來誘騙收件人啟用惡意巨集
圖2:在2018年9月29日活動中使用的TripAdvisor誘餌文件,再次濫用品牌和社會工程誘騙使用者啟用巨集
在10月11日,Proofpoint觀察到了另一起分發tRAT的垃圾電子郵件活動,它的發起者是TA505。這起活動更加複雜,使用了Microsoft Word和Microsoft Publisher檔案,以及不同的主題行和發件人,似乎針對的是商業銀行機構的使用者。
在這起活動中,攜帶惡意Microsoft Publisher文件的電子郵件聲稱與“發票”有關,並涉及到各種發件地址。電子郵件的主題行採用了“Inovice(sic)[隨機數字] - [隨機數字]”這樣的格式,並且攜帶了名為“inv-399503-03948.pub”的附件。在另一種情況下,攜帶惡意Microsoft Word附件的電子郵件聲稱來自“Vanessa Brito”,同樣涉及到各種發件地址。附件在這些電子郵件中被命名為“Report.doc”,電子郵件主題行採用了“Call Notification -[隨機數字] - [隨機數字]”這樣的格式。
圖3展示了其中一封電子郵件樣本:
圖3:2018年10月11日活動的電子郵件樣本
對於所有電子郵件而言,附件都包含巨集,當啟用時,會下載tRat。
圖4:2018年10月11日的誘餌文件樣本
tRat分析
在Proofpoint繼續分析該惡意軟體的同時,他們也明確了它的一些功能。在他們所分析的樣本中,tRat通過將二進位制檔案複製到以下位置來實現永續性:
C:\Users\
接下來,tRat會在Startup目錄下建立一個LNK檔案,用於在啟動時執行二進位制檔案:
C:\Users\
tRat的大多數重要字串都是在經過十六進位制編碼和加密後儲存的。在Proofpoint的Github頁面上,有一個Python指令碼可用來解密這些字串。
tRat使用TCP埠80來進行命令和控制(C&C)通訊, 資料同樣在經過十六進位制編碼和加密後進行傳輸。為了生成解密金鑰,tRat連線到三個字串,而結果是大寫的十六進位制編碼。在Proofpoint所分析樣本中的字串如下所示:
目前尚不清楚這些字串是否因樣本不同而存在差異。除了生成金鑰之外,tRat還在解密過程中使用了一個1536位元組的表。在撰寫博文時,Proofpoint還沒有能夠確定表中所有元素的含義,也無法確定其是否會發生更改。但能夠確定的是,解密過程涉及到使用被加密的資料與表中的值進行異或運算。來自分析樣本的表和Python指令碼都可以Proofpoint的Github頁面上找到,可用於解密通訊。
tRat的初始phone-home network請求稱為“AUTH_INF”。解密後的樣本如下所示:
MfB5aV1dybxQNLfg:D29A79D6CD2F47389A66BB5F2891D64C8A87F05AE3E1C6C5CBA4A79AA5ECA29F8E8C8FFCA6A2892B8B6E
這個字串由一個“:”分隔為兩個子字串。第一個子字串是是作為加密字串儲存的硬編碼識別符號。第二個子字串包含加密的系統資料,如下所示:
FASHYEOHAL/nXAiDQWdGwORzt:3A176D130C266A4D
這些資料包含受感染主機的計算機名稱、系統使用者名稱和tRat bot ID,但Proofpoint表示他們尚未確定bot ID是如何生成的。
對於phone-home network請求,C&C將使用“[P]”或命令列表進行響應。如果tRat收到“[P]”,它將“[G]” 作為響應。雖然這看起來像命令輪詢,但命令列表、命令和模組資料的準確格式是未知的。目前,Proofpoint認為loader中唯一支援的命令是“MODULE”,它至少包含一個模組名和匯出名。為了接收模組,tRat需要執行以下步驟:
- 傳送“[GET_MODULE]”
- 如果收到“[WAIT_FOR_AUTH_INF]”,則傳送AUTH_INF資料
- 如果收到“[WAIT_FOR_MODULE_NAME]”,則傳送模組名
- 響應可能是以下之一:
- “[ERR_MODULE_NOT_FOUND]”
- “[[ACCESS_DENIED]]”
- 模組長度
- 如果收到的是模組長度,則傳送一個“[READY]”
- 接收模組
- 模組本身的加密方式與C&C通訊類似,但似乎使用了隨模組一起傳送的不同金鑰
- 解密後,模組將作為DLL載入,並使用收到的匯出名執行
Proofpoint表示,目前還沒有觀察到C&C提供的任何模組,因此他們無法確定有哪些功能可能會被新增。
總結
鑑於TA505所發起活動的數量、頻率和複雜程度,該組織往往會在電子郵件威脅領域掀起波瀾。對於該組織而言,開始測試新的惡意軟體並不是什麼稀罕事,因為他們在過去的活動中已經使用了BackNet、Cobalt Strike、Marap、Dreamsmasher和 ofollow,noindex" target="_blank">Bart 。另外,他們也曾使用過類似 Locky 這樣的新型惡意軟體,以及一些分佈並不廣泛的惡意軟體,如 FlawedAmmyy 。此外,他們在今年對RAT的使用反映了出一種更為廣泛的向loader、竊取程式和其他惡意軟體的轉變。這些惡意軟體被設計用於駐留在受感染裝置上,併為威脅行為者提供長期的投資回報。
宣告:本文來自黑客視界,版權歸作者所有。文章內容僅代表作者獨立觀點,不代表安全內參立場,轉載目的在於傳遞更多資訊。如需轉載,請聯絡原作者獲取授權。