freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

    疑似Gorgon组织使用Azorult远控木马针对中国外贸行业的定向攻击活动
    2019-01-04 16:26:04

    一、事件背景

    腾讯御见威胁情报中心近期监测到一批针对中国外贸行业相关人士的定向攻击活动,本次攻击使用钓鱼邮件发送给目标收件人,最终释放Azorult远控木马,窃取被攻击者相关的隐私信息。经过关联分析,本次攻击疑似来自南亚某国的Gorgon组织。

    Gorgon组织在8月份由Palo Alto的Unit42团队进行了披露。和其他组织不同的是,该组织最常见的攻击是针对全球的外贸人士进行攻击,行为类似于腾讯御见威胁情报中心多次披露的"商贸信"。Gorgon组织还被发现有针对英国、西班牙、俄罗斯、美国等目标发起过攻击。

    二、技术分析

    1、攻击手段

    使用鱼叉攻击,往目标邮箱发送钓鱼邮件,如下:

    1.png

    2.png

    事实上,攻击者在邮件上也做了一定的手脚,实际看到的发件人跟回复的收件人并不是一个:

    3.png

    4.png

    并且根据不同的攻击对象,变换名字。

    此外,还有多个攻击邮件的发件人,都采用了伪造的邮箱或者盗用了他人的邮箱进行发件。

    如:yiwu@mu*****nel.com.cn

    5.png

    2、payload分析

    该rtf打开后会调用嵌入的excel表格的宏代码(多个Excel,但宏代码一致)

    6.png

    7.png

    8.png

    宏代码解密后执行下载恶意脚本指令:

    mshta.exe  https://tinytech997.blogspot.com/p/jason.html

    9.png

    该下载链接则会去访问存放恶意代码地址:http://tinytech997.blogspot.com/feeds/posts/default

    这主要使用了blogspot的订阅功能来保存恶意代码:

    10.png

    11.png


    首先,会检测相关的进程,并关闭,如windows defender、office软件等:

    12.png

    忽略执行宏警告、禁用MS Office的受保护视图等功能:

    13.png


    最后写入vbs并运行:

    14.png

    具体的vbs内容如下:

    15.png

    此外我们还看见了另一个下载地址:

    16.png

    VBS执行后会下载jason.exe并重命名为AVASTINT.EXE,AVASTINT.EXE为进过混淆的.net程序,其功能是资源解密释放恶意木马tmp.exe到%appdata%目录下,并执行。

    3、RAT分析

    经过分析,释放的RAT为Azorult远控木马。 

    收集本地MachineGuid,ProductName,ComputerName,UserName信息,通过内置异或函数生成字符串用于创建互斥量:

    17.png

    然后将“G”添加到字符串中,再通过内置硬编码key进行xor。

    异或的key 0x0D,0x0A,0xC8:

    18.png

    然后再将异或得到的数据通过post发送给解密得到的c2 hxxp://30bil.us/jason/index.php

    19.png

    通过服务器会返回大量数据包:

    20.png

    然后再通过相同的key去解密获取解密内容:

    21.png

    解密后的内容如下:

    <c></c>经过base64编码后的本机IP信息:

    22.png

    <n></n>为要存放到“%temp%\\2fda\\”下的dll文件:

    23.png

    <d></d>则为要窃取的应用数据路径名,同样经过base64编码:

    24.png

    Base64解码后:

    25.png

    26.png

    27.png

    28.png

    29.png

    在解密完数据后,会将<n><\n>中的内容写入硬编码的文件夹下,分析发现大多为各种浏览器的插件dll,可用来获取浏览器信息。

    30.png

    随后开始遍历进程进行窃取信息,同时由于样本自身带有窃密配置,同样也会针对自带的窃密配置信息进行窃密。

    31.png

    部分内置窃密信息配置:

    32.png

    窃取到信息后,样本会访问hxxp://ip-api.com/json获取本地公共IP。然后将所有信息打包通过内置xor key进行异或发送给服务器。

    33.png

    服务器接受到后,会返回字符串“ok”

    34.png

    三、关联分析

    经过关联分析,发现该团伙的TTPs等与南亚某图的Gorgon组织基本相符:

    1、 Gorgon组织的诱饵文件,都喜欢在rtf中嵌入多个带有宏的Excel;

    2、 下载执行的脚本代码相似度极高

    但是此次发现的攻击样本可以看到Gorgon组织在躲避溯源跟踪上有了较大的进步,通过在社交网站上投放恶意脚本,并且对宏脚本做了混淆处理。 

    四、安全建议

    1、企业员工要提升安全意识,不要打开来历不明的邮件的附件;

    2、使用杀毒软件防御可能得病毒木马攻击,对于企业用户,推荐使用腾讯御点终端安全管理系统。腾讯御点内置全网漏洞修复和病毒防御功能,可帮助企业用户降低病毒木马入侵风险;

    35.png

    3、使用腾讯御界高级威胁检测系统。御界高级威胁检测系统,是基于腾讯反病毒实验室的安全能力、依托腾讯在云和端的海量数据,研发出的独特威胁情报和恶意检测模型系统。

    36.png

    五、IOCs

    MD5:

    1e309647f51dd353b97cdb200aab10b1

    53467016ba1a5e57247ced5e2f321442

    003783c29074ede8dbe273ac53cfceff


    URL

    hxxp://104.232.39.151/downloads/jason.exe

    hxxp://30bil.us/jason/index.php

    hxxps://tinytech997.blogspot.com/p/updatewindow_20.html

    hxxps://tinytech997.blogspot.com/p/jason.html

    hxxp://tinytech997.blogspot.com/feeds/posts/default 

    六、参考链接

    1、     https://unit42.paloaltonetworks.com/unit42-gorgon-group-slithering-nation-state-cybercrime/

    2、     https://ti.360.net/blog/articles/analysis-of-office-ole-sample/

    3、     https://paper.tuisec.win/detail/eaff0936fcdaaa6

    本文作者:, 转载请注明来自FreeBuf.COM

    # apt分析 # 腾讯御见威胁情报 # Azorult远控木马 # Gorgon组织
    被以下专辑收录,发现更多精彩内容
    + 收入我的专辑
    评论 按时间排序

    登录/注册后在FreeBuf发布内容哦

    相关推荐
    • 0 文章数
    • 0 评论数
    • 0 关注者
    登录 / 注册后在FreeBuf发布内容哦
    收入专辑