UTG-Q-003：微软应用商店7ZIP供应链投毒事件始末

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户，每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序把安全装进口袋

安全报告

UTG-Q-003：微软应用商店7ZIP供应链投毒事件始末

2023-12-12 15:41:08

概述

奇安信威胁情报中心在日常终端运营过程中发现了一个异常的行为，一个名为WindowsPackageManagerServer的进程经过复杂的操作最终启动了免杀的Lumma Stealer，我们随即展开了调查，并最终在微软应用商店找到了对应的恶意安装包，内容为俄语版的7Zip软件。经过我们的测试微软应用商店并没有上架官方的7ZIP安装程序，如果用户搜索“7z”相关的关键词则会展示该恶意安装包。

1702366557_65780d5d183398cbff1dc.png!small?1702366557536

我们第一时间将该情况上报给了微软，目前该恶意软件已经从微软应用商店下架, 上报时间线如下：

1702366564_65780d64e546f0eb9b303.png!small?1702366565851

通过溯源发现该安装包最早出现于2023年一月份，几乎免杀了一整年。我们内部将该团伙命名为UTG-Q-003，并将该事件细节和IOC公开给开源社区，供友商分析排查。

1702366572_65780d6c3e4d7b167553a.png!small?1702366572909

攻击链

我们不清楚攻击者是如何将恶意的安装包上架到微软应用商店的，基于奇安信大数据平台7z-soft软件最早的下载时间是2023年3月17。执行链如下：

1702366581_65780d75b982ab8484af2.png!small?1702366582553

JPHP是使用java的虚拟机执行PHP代码的一款开源项目，将php的源代码编译成java字节码，并在JVM里面运行，故免杀效果非常好，攻击者使用JPHP的库函数jurl从远程服务器下载后续payload。

1702366593_65780d81ad60eccd81bce.png!small?1702366594370

攻击者为了保持长时间的免杀在其C2服务器上频繁更新payload，我们一天能请求到2-3个MD5不同的soft.exe，主要目的是窃取受害机器上的txt、doc、rdp、key、wallet、seed、lnk等类型的文件，所涉及的家族为redline malware、Lumma Stealer、Amadey。

基于VT数据我们观察到7z-soft.exe除了微软应用商店投递外还有别的下载方式

1702366601_65780d8993df6d970ee5c.png!small?1702366602018

上述URL目前已经无法访问，但是基于历史的数据我们发现在请求域名（deputadojoaodaniel[.]com.br）后跳转到cdn.discordapp[.]com托管的链接上

1702366609_65780d91aee478faecaf6.png!small?1702366610238

查看两个域名历史的html页面发现均为wordpress网站，这就意味着UTG-Q-003极有可能入侵了wordpress的网站并将其作为跳板，用于存放payload和实现网页重定向。这种攻击手法对于俄语系的团伙非常常见。

1702366616_65780d9884f11a49f3e64.png!small?1702366617129

在十月份时我们检测到在访问analiticaderetail[.]com时直接跳转到了browserneedupdate[.]com页面，经过我们的分析，这是攻击者另一套攻击链，基于chrome浏览器消息推送机制的社工攻击链，攻击流程如下：

1702366625_65780da1ba894984955a3.png!small?1702366626493

攻击者制作了一个较为逼真的cloudflare DDOS防护页面，并提示你该域名正在处于DDOS攻击中，接着弹出一个仿冒人机验证的框诱导受害者进行点击，

1702366635_65780dab5e5759476ce6b.png!small?1702366636462

点击后会新启动一个页面并跳转到brolink2s[.]site域并加载一个JS，JS主要功能弹出显示通知并且诱导受害者点击允许按钮。

1702366644_65780db4d74e761ebe96b.png!small?1702366645670

受害者一旦点击允许，那么该网站就会加入chrome的消息推送列表，并且通知推送适用于任何平台（MAC、windows、Android）。

1702366654_65780dbe0244da73220e1.png!small?1702366654587

即使受害者的浏览器处于关闭状态，攻击者依然可以通过windows通知推送相关链接，推送效果图如下：

1702366659_65780dc3cccdd0e65beb2.png!small?1702366660398

我们统计从十月至今一共有十个域名重定向到browserneedupdate[.]com，域名类型也都为电影资源网、软件开发等，这就意味着攻击者完全可以在攻击的第一阶段只投递带有诱导受害者开启消息通知链接的钓鱼邮件，并且通过入侵合法网站设置跳转的方式绕过邮件网关检测，第二阶段攻击者根据目标主机的平台可以推送定制化的钓鱼链接，诱导受害者下载并运行诱饵文件，这种社工方式的可信度要比钓鱼邮件提示用户软件更新要高很多，并且非常隐蔽。

Domain
analiticaderetail[.]com
creatologics[.]com
www.50kmovie[.]com
linta[.]software
captionhost[.]net
www.bcca[.]kr
opwer[.]top
fms[.]net.br
leanbiome-leanbioome[.]com
zuripvp[.]tk
creatologics[.]com

除此之外，UTG-Q-003还投递过如下类型的安装包，仍然是基于JPHP框架的下载者。

1702366673_65780dd1a75c9501c99b7.png!small?1702366675478

1702366684_65780ddc6dd998fda0637.png!small?1702366685476

1702366692_65780de4297b15ab51a66.png!small?1702366693404

归因和影响

基于奇安信威胁情报中心遥测数据，从8月份开始，从微软应用商店下载该安装包的数量明显增多，我们认为可能与winrar漏洞有关，在CVE-2023-38831的EXP公布后四五天就有东亚地区的APT组织对中国大陆发起钓鱼攻击活动，各单位可能要求员工更换压缩软件，外加国内搜索引擎已经被SEO黑产团伙搞得乌烟瘴气，根本无法找到7zip官方下载网站，所以部分用户只能去微软应用商店去下载7zip从而导致中招。

1702366705_65780df1b7824db9b8ed8.png!small?1702366706377