近日,奇安信威胁情报中心通过日常分析运营发现多款二次打包并携带木马后门的恶意安装包样本,恶意安装包内包含“向日葵远控”、“钉钉”、“WPS”等常用工具软件,攻击者伪造官网界面网页诱使用户下载,上述木马化安装包样本与之前奇安信威胁情报中心2023年4月上旬发现的被恶意重新打包加入了木马的“企业微信”安装包样本恶意代码逻辑、恶意行为高度相似,判断攻击者属于同一个黑产组织。上述三个恶意安装包样本与被重新打包加入木马的“企业微信”样本恶意行为如下:搭建阿里云服务器提供下载、伪造官网诱使用户下载。用户安装过程中会释放多个恶意文件并在内存中加载BigWolf RAT,实现对受害主机窃取浏览器记录、聊天软件记录、窃取按键记录等窃密行为。由于之前奇安信病毒响应中心已披露名为“企业微信”的恶意安装包水坑攻击恶意行为,因此此次报告着重阐述仿冒“向日葵远控”、“钉钉”、“WPS”的恶意安装包样本分析情况。
上述三个恶意安装包样本为该黑产组织的更新版本——攻击者使用PE加载器作为木马母体,在内存加载完成后才实施后续恶意行为,以此种方式来反静态分析及规避杀毒软件检测,较有迷惑性的便是此次黑产团伙仿冒“向日葵远控”恶意安装包,并使用了Python合法数字签名。
上述软件工具在国内流行度较高、涉及人群较为广泛,攻击者搭建伪造的官网站点,诱使下载伪造的软件工具安装包,实现对受害主机远程控制等窃密行为。
奇安信威胁情报中心于2023年4月上旬首次发现被恶意重新打包加入了木马的“企业微信”,后面陆续发现仿冒“向日葵远控”、“钉钉”、“WPS”等常用工具软件恶意安装包,研判发现背后的黑产组织较为活跃,正在根据厂商披露更新自己的TTP。
通过奇安信天擎大网数据,奇安信威胁情报中心第一时间找到仿冒名为“向日葵”、“钉钉”、“WPS”三个应用的二次打包恶意安装包样本下载站点并下载分析,木马化软件安装包下载站点分别为:
hxxp://dingdingwang01.cn
hxxp://wapwang222.cn
其对应的下载源为:
hxxps://vios.oss-cn-hangzhou.aliyuncs.com/SunloginClient_13.2.0.exe
hxxps://dingding-55.oss-cn-beijing.aliyuncs.com/DingTalk_v7.0.20.4039103.exe
hxxps://wsp-55.oss-cn-beijing.aliyuncs.com/wpsSetup.exe
奇安信威胁情报中心经过对仿冒“向日葵远控”、“钉钉”、“WPS”及之前发现的“企业微信”恶意安装包分析总结,对黑产组织样本之间的差异性、强关联性进行总结,包含签名证书、样本恶意行为等。
此次分析的三个恶意安装包样本均存在同样的恶意行为、均会释放三个文件(DivX Player.dll、DivX Player.exe、msvcp140.dll)到%Public%目录下、均携带正规的证书签名、执行恶意行为之后执行自删除,但仍存在一定的差异:
1. DingTalk_v7.0.20.4039103.exe、wpsSetup.exe为自解压文件,解压出来为对应的官方正版软件安装包及恶意软件(MAINICON.exe),而SunloginClient_13.2.0.exe则不存在官方正版软件安装包并且与上述恶意软件MAINICON.exe恶意功能相同。
2. wpsSetup.exe、DingTalk_v7.0.20.4039103.exe签名证书为“Design Science Inc.”,而SunloginClient_13.2.0.exe签名证书为“Python Software Foundation”。
2023年4月上旬发现的名为“企业微信”的恶意安装包样本与上述三个恶意安装包样本也存在强关联关系:
1. 该恶意安装包样本签名证书为“Design Science, Inc.”,而此次wpsSetup.exe、DingTalk_v7.0.20.4039103.exe签名证书为“Design Science Inc.”,两个签名证书极为相似,差异性为多了一个“,”。
名为“企业微信”的恶意安装包签名证书:
2. 后续样本分析结果显示其内存加载的PE文件与名为“企业微信”的恶意安装包执行流程中的恶意代码逻辑及恶意行为高度相似。
2023年4月上旬发现的名为“企业微信”的恶意安装包样本执行流程如下:
WeCom_4.1.2.60111.exe:带腾讯签名正版“企业微信”安装包白文件;
cdfgt.exe:释放msvcp140.dll、liteav.dll、5位随机字符串命名的exe到“C:\Users\Public\Documents+8位随机字符串(a-z、A-Z、0-9)” 目录下,将 5位随机字符串命名的exe通过自启动设置实现持久化;
msvcp140.dll:带微软签名DLL库白文件;
5位随机字符串命名的exe:加载liteav.dll恶意文件;
liteav.dll:导出函数CreateTXLivePusher被5位随机字符串命名的exe调用并将BigWolf RAT加载到内存。
而此次三个恶意安装包样本恶意功能执行流程如下:
MAINICON.exe、SunloginClient_13.2.0.exe:使用PE加载器内存加载恶意dll文件并调用JetCfg导出函数,释放DivX Player.dll、DivX Player.exe、msvcp140.dll到“C:\Users\Public\Documents+8位随机字符串”目录下,将DivX Player.exe使用自启动实现持久化;
DivX Player.exe:加载DivX Player.dll;
DivX Player.dll:加壳(ASPack、PECompact),导出函数divxmain被DivX Player.exe调用,并读取msvcp140.dll加载到内存并解密,使用PE加载器内存加载BigWolf RAT(msvcp140.dll);
msvcp140.dll:加密的BigWolf RAT dll文件,导出函数jz被DivX Player.dll调用。
从上述流程图中可以发现三个恶意仿冒安装包与2023年4月上旬发现的名为“企业微信”的恶意安装包样本功能高度相似,并且后续样本分析结果显示其内存加载的PE文件与名为“企业微信”的恶意安装包中各流程样本高度一致,攻击者此次使用PE加载器作为木马母体,通过内存加载完成后续恶意行为,以此来反静态分析及规避杀毒软件检测。
以下是对此次发现的仿冒“向日葵远控”、“钉钉”及“WPS”恶意安装包的样本分析。恶意安装包使用PE加载器作为木马母体内存加载恶意dll文件并调用JetCfg导出函数,释放DivX Player.dll、DivX Player.exe、msvcp140.dll到“C:\Users\Public\Documents+8位随机字符串(a-z、A-Z、0-9)”目录下,创建进程执行DivX Player.exe并将其使用自启动实现持久化。
其PE加载器功能大致如下:
内存加载DA63E0处文件(未解密),内存中第二个4字节数据为加载的PE文件大小+8个字节:
解密之后的DA63E0处PE文件(释放文件、设置持久化):
释放文件:
创建进程执行DivX Player.exe:
设置自启动持久化:
DivX Player.exe调用DivX Player.dll的divxmain导出函数加载DivX Player.dll恶意文件,并且DivX Player.dll的导出函数commandline、divxmian均指向同一个恶意函数。
攻击者为DivX Player.dll加壳(ASPack、PECompact),导出函数divxmain被DivX Player.exe调用,使用PE加载器作为木马母体内存加载msvcp140.dll并解密,其解密的PE文件为BigWolf RAT。
其PE加载器功能大致如下:
内存加载msvcp140.dll(未解密),内存中第二个4字节数据为加载的PE文件大小+8个字节:
解密之后的PE文件(BigWolf RAT):
加密的BigWolf RAT文件,解密之后其导出函数jz被DivX Player.dll调用执行后续恶意窃密行为。此次BigWolf RAT与之前名为“企业微信”的恶意安装包内的木马恶意功能一致,如下:
窃取各种浏览器和聊天工具的记录:
窃取受害主机按键记录:
BigWolf RAT中还硬编码了某软件站点下载的关闭UAC的工具:
上述三个木马化安装包恶意样本内存中加载的BigWolf RAT会连接以下C2:
被恶意二次打包的向日葵远控恶意安装包C2:bb.xiaoma0088.com:7979
被恶意二次打包的WPS恶意安装包C2:lknlknf.top:5151
被恶意二次打包的钉钉恶意安装包C2:polpoklf.top:6161
奇安信威胁情报中心根据名为“企业微信”的恶意安装包下载站点溯源确认黑客组织为该下载站点购买了某搜索引擎广告,从而达到该仿冒恶意样本下载源排名靠前的目的,“企业微信”相比于普通聊天软件由于工作需求,下载安装范围面会更加广泛,也存在公司企业软件信息部门误下载恶意安装包样本的可能性,从而造成恶意样本感染面迅速增大的危害。
由于Bing搜索会引用某搜索引擎,因此其搜索结果也会被某搜索引擎广告影响。
目前根据IOC及奇安信威胁分析平台DNS历史解析记录表明名为“企业微信”的恶意安装样本相关攻击活动开始于2023年4月初,而此次被恶意二次打包后的“向日葵远控”、“钉钉”、“WPS”恶意安装包样本攻击活动开始于2023年5月下旬,根据分析结果判断存在一定数量的主机疑似已受控。
1、名为“企业微信”的恶意打包的程序活动:
C2 niu.asselst.com访问曲线:
C2 sx.hacksx.top访问曲线:
2、此次被恶意二次打包后的“向日葵远控”、“钉钉”、“WPS”恶意安装包样本攻击活动:
C2 lknlknf.top访问曲线:
C2 bb.xiaoma0088.com访问曲线:
C2 polpoklf.top访问曲线:
近年来,利用特定人群需求开发恶意软件并搭建站点作为诱饵投毒事件日益增多,下载软件工具时应该加强网络安全意识,不下载使用网上来历不明的软件,避免成为网络攻击者的猎物。
奇安信红雨滴团队在此提醒广大用户,切勿打开社交媒体分享的来历不明的链接,不点击执行未知来源的邮件附件,不运行夸张标题的未知文件,不安装非正规途径来源的APP。做到及时备份重要文件,更新安装补丁。
安装包来源
hxxps://vios.oss-cn-hangzhou.aliyuncs.com/SunloginClient_13.2.0.exe
hxxps://dingding-55.oss-cn-beijing.aliyuncs.com/DingTalk_v7.0.20.4039103.exe
hxxps://wsp-55.oss-cn-beijing.aliyuncs.com/wpsSetup.exe
hxxps://tele2023.oss-cn-hangzhou.aliyuncs.com/WeCom_4.1.2.60111.exe
MD5
5100d05ad8e17fa214563d10acd2ec6c (DingTalk_v7.0.20.4039103.exe,518,024,200 bytes)
1c97fe09e477afc3c23059d452e3fc25 (wpsSetup.exe,334,685,088 bytes)
503412756e2d1113407674724fb408ae (SunloginClient_13.2.0.exe,109,275,920 bytes)
2807e90cd7d0d7cb7bb0e5257cb9007c (wps恶意安装包解压的MAINICON.exe,109,853,456 bytes)
20abbfa4e9901f8a5145c0bbaab46570 (钉钉恶意安装包解压的MAINICON.exe,109,275,912 bytes)
03f497a4419717af5da65665f425c6f7 (liteav.dll,92164096 bytes)
d4e9fc5a49d0f9cc4ea7a8f92d74bb0d (WeCom_4.1.2.60111.exe,492936504 bytes)
C2
bb.xiaoma0088.com:7979
38.45.123.162:7979
lknlknf.top:5151
38.45.123.162:5151
polpoklf.top:6161
103.181.135.130:6161
niu.asselst.com:8383
38.45.120.250:8383
sx.hacksx.top
120.232.251.132
[1].https://mp.weixin.qq.com/s/S7Yzkluv728lqkbfE8VcIQ
[2].https://ti.qianxin.com/