导语:Cisco Talos团队近期发现了大量正在进行中的恶意软件分发活动,这些活动与我们称之为“SWEED”的威胁行为者相关联,而他们在此前发布了包括Formbook、Lokibot和Agent Tesla等一系列恶意软件。
概述
Cisco Talos团队近期发现了大量正在进行中的恶意软件分发活动,这些活动与我们称之为“SWEED”的威胁行为者相关联,而他们在此前发布了包括Formbook、Lokibot和Agent Tesla等一系列恶意软件。根据我们的研究,SWEED恶意组织自2017年至今以来一直在运营,主要使用窃取工具和远程访问木马针对目标发动攻击。
在发送带有恶意附件的鱼叉式网络钓鱼邮件时,SWEED选择了与大多数攻击活动相同的方式。尽管这些攻击活动中包含了大量不同类型的恶意文档,但攻击者主要尝试使用Agent Tesla的加壳版本来感染其受害者,这是一个自2014年以来一直存在的信息窃取工具。SWEED使用的Agent Tesla版本不同于我们过去看到的恶意软件加壳方式,其感染系统的方式也有所不同。在本文中,我们将详细分析SWEED的恶意活动,并讨论攻击者的策略、技术和程序(TTP)。
2017年:隐写术
在攻击过程中,攻击者将投放工具放入ZIP压缩包中,然后再将这些ZIP添加到电子邮件的附件中。附件的文件名通常类似于“Java_Updater.zip”或“PO Of Jun2017.zip”。下面是与这一恶意活动相关的电子邮件示例:
随邮件附带的ZIP压缩包中包含Agent Tesla的加壳版本。加壳器使用.NET语言,并利用隐写术来隐藏并解码第二个.NET可执行文件,该文件使用相同的技术来检索最终的Agent Tesla Payload。这是存储在资源中的文件:
下面是解码存储在该图像中的PE文件过程所使用的算法:
解码的二进制文件存储在数组中。
2018年1月:Java投放工具
在2018年初,我们观察到SWEED开始利用基于Java的投放工具。与之前的恶意活动类似,JAR直接被附加到电子邮件的附件中,并且使用诸如“Order_2018.jar”这样的名称。JAR的目的是获取有关受感染系统的信息,以方便下载Agent Tesla的不同加壳版本。值得关注的是,在这些恶意活动开始前的几个月,一个用户名为“Sweed”的HackForums用户在积极寻找Java加密器,我们会在稍后聊到这一点。
2018年4月:Office漏洞利用(CVE-2017-8759)
在2018年4月,SWEED开始利用之前披露的一个Office漏洞。在这些电子邮件中,有一个文档非常值得我们关注,因为它是一个PowerPoint文档(PPXS)。其中的一页幻灯片中包含恶意代码,可以触发CVE-2017-8759的漏洞利用,这是Microsoft .NET框架中的一个远程代码执行漏洞。
我们可以看到托管在受攻击者控制的Web服务器上的外部内容的执行情况,其文件名为“chuks.png”。正如我们所料,PNG文件实际上并不是一个图像。相反,它是XML中的Soap定义,如下所示:
这段代码的目的是解码URL,并下载托管在攻击者控制的Web服务器上的PE32。生成的可执行文件是Agent Tesla的加壳版本。
2018年5月:Office漏洞利用(CVE-2017-11882)
在2018年5月,SWEED在其恶意活动中开始利用Microsoft Office的另一个漏洞——CVE-2017-11882,这是Microsoft Office中的一个远程代码执行漏洞,通常在商品化恶意软件所分发的恶意文档中被发现。
我们在ThreatGrid中执行样本时,可以看到恶意代码是如何滥用Office中的公式编辑器漏洞的:
如下所示,这一恶意文档似乎将自身伪装为发票。
与之前的恶意活动一致,这个恶意文档的目的是下载并执行Agent Tesla的加壳版本。
2019年:Office宏和AutoIT投放工具
从2019年开始,与SWEED相关的恶意活动开始利用恶意Office宏。与之前的攻击一样,攻击者正在利用鱼叉式网络钓鱼电子邮件和恶意附件来进行感染过程。
附件中的XLS文件中包含一个经过模糊后的VBA宏,VBA宏借助WMI调用执行PowerShell脚本。PowerShell脚本也是用XOR操作进行模糊处理,从而隐藏其代码。在解码后,发现它实际上也是以.NET语言编写而成。
这段.NET代码负责执行某些检查,并下载另一个可执行文件。此代码中使用的混淆方案与前面描述的PowerShell中使用的混淆方案相同。随后,将保存并执行下载的文件。
下载的二进制文件是AutoIT编译的脚本。该脚本中包含大量的垃圾代码,其目的是使研究人员的分析过程更加困难、消耗更多时间。
提取的AutoIT脚本:
AutoIT脚本包含的字符串和一些命令已经使用XOR操作进行了处理,如下所示:
解码工具将会接收两个十六进制的字符串,第一个字符串用于反混淆,第二个用于确定XOR操作的轮数。根据第二个参数的长度,将对每个字符执行XOR运算。然后,该操作将会使用长度和位置,重复与长度相同的次数。如果长度值是1,那么就会使用相同的密钥重复操作两次,这将导致出现明文的十六进制字符串。
在执行环境检查后,恶意软件将重新构建汇编代码,该代码在十六进制的字符串中进行模糊处理。使用AutoIT脚本语言Dll*系列函数,将代码加载到当前进程地址空间。
最后,恶意软件使用两个参数执行汇编代码。第一个参数是可执行文件的路径,该程序集将使用可执行文件创建进程,并将Payload注入到此进程之中。
正如预期的那样,该恶意活动最终Payload是Agent Tesla的另一个加壳版本。
共同特征:UAC绕过
在与SWEED相关的一些恶意活动中,具有一个共同特征,就是使用各种技术绕过受感染系统上的用户帐户控制(UAC)。在2019年观察到的恶意活动中,就存在这样的示例。当恶意软件首次在系统上执行时,它会运行“fodhelper.exe”,这是一个以高完整性(High Integrity)运行的Windows进程。在执行之前,恶意软件会设置以下注册表项:
HKCU\Software\Classes\ms-settings\shell\open\command
该注册表项指向恶意可执行文件的位置:
该密钥由“fodhelper.exe”使用,并且每当执行fodhelper.exe时,其值将以管理员身份执行。该功能只允许恶意软件绕过UAC,无法实现权限提升,这也就要求用户必须已经拥有系统的管理员访问权限。这一要求可以避免向用户展示UAC提示。随后,通过对受感染系统的管理访问,来执行第二个恶意软件样本。
SWEED基础设施
在与SWEED相关的各种恶意软件分发活动中,都使用优先数量的分发和C2基础设施。在很长一段时间内,都在许多不同的恶意活动中使用相同的服务器。SWEED所使用域名的注册人使用以下电子邮件地址:
[email protected][.]com
sweed.[redacted]@gmail[.]com
大多数域名的注册人联系信息也是一致的:
2018年4月,一名安全研究人员发布了一份RDP服务器的截图,该服务器被认为是被SWEED(84.38.134[.]121)恶意组织积极利用:
在上面的屏幕截图中,可以看到在RDP服务器上创建的用户帐户列表,其中包括名为“sweed”的帐户。其中的多个用户当前正处于活动状态,这一事实可以说明该服务器正在被多个用户使用,并提供一个SWEED组织成员可以协作的平台。这也可能表明,持续负责这些恶意软件分发活动的多个人员之间可能存在业务联系。
我们还确认了一些DDNS域名,这些域名用于加强与共享RDP服务器的连接,该服务器具有许多与RDP用户帐户相同的值:
sweedoffice[.]duckdns[.]org
sweedoffice-olamide[.]duckdns[.]org
sweedoffice-chuks[.]duckdns[.]org
www.sweedoffice-kc.duckdns[.]org
sweedoffice-kc.duckdns[.]org
sweedoffice-goodman.duckdns[.]org
sweedoffice-bosskobi.duckdns[.]org
www.sweedoffice-olamide.duckdns[.]org
www.sweedoffice-chuks.duckdns[.]org
在我们分析与SWEED相关的各种恶意活动过程中,我们确定了一些常见的元素,这些元素也反映了与RDP服务器用户相关的一些值。在许多情况下,用于托管SWEED恶意PE32的分发服务器包含由多个目录组成的目录结构,目录中包含正在分发中的二进制文件,而这些文件所使用的文件名称也与RDP服务器上存在的用户名称有一些重合。
例如,在2019年6月,下列网址托管与这些恶意活动相关联的恶意内容:
hxxp://aelna[.]com/file/chuks.exe
hxxp://aelna[.]com/file/sweed.exe
hxxp://aelna[.]com/file/duke.exe
同样,我们根据从受感染系统中泄露敏感信息的已知域名,调查了与这些域名相关联的样本,发现下列二进制文件名在很长一段时间内都在恶意活动中重复使用:
dadi.exe
kelly.exe
chuks.exe
olamide.exe
sweed.exe
kc.exe
hero.exe
goodman.exe
duke.exe
hipkid.exe
在某些情况下,分发服务器上的目录结构包含多个托管恶意文件的目录,我们以域名sodismodisfrance[.]cf为例,具体如下:
sodimodisfrance[.]cf/2/chuks.exe
sodimodisfrance[.]cf/6/chuks.exe
sodimodisfrance[.]cf/5/goodman.exe
sodimodisfrance[.]cf/1/chuks.exe
sodimodisfrance[.]cf/1/hipkid.exe
sodimodisfrance[.]cf/5/sweed.exe
sodimodisfrance[.]cf/2/duke.boys.exe
这些似乎与SWEED相关恶意软件所使用的句柄相匹配。另一个被Agent Tesla用于收集敏感信息的已知域名是sweeddehacklord[.]us。我们对与此域名进行通信的已知恶意软件进行分析,发现了一些类似的操作模式。
在分析与SWEED相关的恶意软件活动的过程中,我们还研究了该恶意组织用于托管各种RAT和窃取工具相关的管理面板时使用的一些值得关注的路径。具体来说,在单一的C2服务器上,我们确定了以下几个URL:
sweed-office.comie[.]ru/goodman/panel
sweed-office.comie[.]ru/kc/panel/
wlttraco[.]com/sweed-office/omee/panel/login.php
wlttraco[.]com/sweed-client/humble1/panel/post.php
wlttraco[.]com/sweed-client/sima/panel/post.php
wlttraco[.]com/sweed-office/omee/panel/post.php
wlttraco[.]com/sweed-office/kc/panel/post.php
wlttraco[.]com/sweed-office/olamide/panel/post.php
wlttraco[.]com/sweed-office/jamil/panel/post.php
wlttraco[.]com/sweed-client/niggab/panel/post.php
wlttraco[.]com/sweed-client/humble2/panel/post.php
wlttraco[.]com/sweed-office/harry/panel/post.php
根据我们的研究,综合参考上述面板的托管位置,我们认为wiki、olamide、chuks、kc、goodman、bosskobi、dadi、hipkid等一系列人员都是SWEED的客户或商业伙伴。根据二进制的文件名、目录结构和其他基础设施,我们已经能够识别出在各种黑客论坛、IRC服务器中这些ID的用户所展现出的网络行为特征和兴趣,这些讨论似乎可以将其中的一部分用户与恶意软件分发的各种细节关联起来。
此外,还有其他一些与SWEED相关的域名,似乎与各种恶意软件和分发活动相关联。我们已经观察到,这些域名会解析到与上述RDP服务器相关联的IP地址。
sweeddehacklord[.]us
sweed-office.comie[.]ru
sweed-viki[.]ru
此外,还有一个地方值得注意,SWEED在过去曾经进行域名抢注,这些注册的域名被用来托管加壳后的Agent Tesla二进制文件。
受害者的地理分布:
我们以国家的维度来看受害者分布,似乎可以发现攻击者在选择目标时并没有针对特定的地理位置,他们的目标遍布全球。
受害者的行业细分:
然而,根据行业细分,可以看出攻击者主要针对制造公司和物流公司发起攻击。
下面是对这些域名的概述,以及这些域名的公司及关联行业。在某些情况下,我们无法确定一些域名所要仿冒的目标组织。
在上面列出的所有域名中,域名注册人的资料信息与SWEED恶意活动中所使用域名的资料一致。
运营安全(OPSEC)
我们在黑客论坛、IRC频道和其他网站上发现了各种行为,这些行为与我们观察到的分发此恶意软件的角色的TTP(策略、技术和流程)一致。
在我们的分析过程中,我们借助名称“SWEE D”在HackForums上识别到一位用户。在与该用户相关的大多数在线帖子中,都包含了他的联系信息,其中使用了Skype地址“sweed.[redacted]”。
在2018年1月,恶意活动之前的几个月中,我们观察到这个用户发帖询问Java加密工具。通常加密工具用于帮助规避防病毒检测,因为它们可以“加密”正在分发的恶意Payload内容。
同一个用户在于Java加密工具的板块中反复发送文章,甚至让其他用户都感到恼火:
HackForums帖子中列出的同一个Skype帐户在2016年期间,曾被自称为Daniel的人使用,评论了与创建Facebook网络钓鱼页面相关的博客:
同样的Skype帐户,也在2015年被名为“[redacted] Daniel”的人使用。
值得注意的一点是,其中的[redacted]也是与域名wlttraco[.]com注册者帐户相关联的电子邮件(sweed.[redacted]@gmail.com)所使用的用户名。
我们还找到了Twitter帐户.sS!.!曾经发布的内容,展示Discord服务器“Agent Tesla Live”,其中列出了sweed([redacted] Daniel)是其中的一名工作人员。
值得注意的是,这一Discord用户(SWEE D)使用的头像,与Skype用户sweed.[redacted]所使用的头像相同。
我们在Skype上联系了SWEE D,并基本确认,Skype和Discord用户为同一人。
在我们与SWEE D的互动过程中,他提到,他们是一群“白帽黑客”,就职于各大企业的IT部门中,工作职责是清除恶意软件并提高企业的安全性。
上述表述,与我们在IRC中观察到的活动相反,其中名为“sweed”的用户在向其中的机器人提交信用卡信息,并尝试检查该信息的有效性和可用性。
这个IRC频道似乎是专门为此目的创建和使用的,名为“chkViadex24”的机器人会返回与提交的信用卡相关的信息:
这是一个示例,可以说明攻击者是如何使用被盗的信用卡信息来进行确认,并判断是否可以从中获利。
我们判断,“SWEE D”、“sweed”和[redacted] Daniel可能都是同一个人。此外,我们还确定了以下具有相同名称的LinkedIn个人资料:
该帐户以尼日利亚作为其所在地。“[redacted]”是一部尼日利亚的小说。我们在分析“sweed”过程中发现的许多细节,例如LinkedIn个人资料中的信息、对“[redacted]”小说的引用、所使用的注册人信息、Skype帐户中体现出的位置,都表明这个人员可能位于尼日利亚。我们认为,“sweed”是该组织的关键成员,其他帐户可能与客户或业务合作伙伴相关。
总结
截至目前,SWEED已经至少活动了三年之久,我们观察到其恶意活动是从2015年开始。使用该名称的用户一直活跃在各种论坛、IRC频道和Discord服务器上。目前,SWEED正在瞄准世界各地的中小型公司。根据该组织使用的TTP,SWEED应该被视为相对比较业余的攻击者。他们使用众所周知的漏洞、窃取工具和RAT(Pony、Formbook、UnknownRAT、Agent Tesla等),并且似乎依赖于黑客论坛上发布的工具包。SWEED始终如一地使用加壳和加密的方式,以最大程度减少反恶意软件解决方案的检测。我们认为,SWEED也没有对运营过程进行安全性的保障,因为他们使用几个相同的在线帐户长达5年之久,这就使得研究人员可以发现他们的许多信息、运营方法和恶意组织成员。
目前,我们还不能肯定地判断出与SWEED相关的其他帐户和人员是商业伙伴还是客户。但是,他们都以跨域名协调的方式使用相同的基础架构,依赖于相同的恶意软件和加壳程序,并且所有操作都非常相似。尽管SWEED在安全研究领域相对知名,但这项研究让我们深入了解了这些网络犯罪组织是如何运作和发展的,他们会以最大限度提高其创收和逃避检测的能力。我们预计SWEED会在可以预见的未来持续运营,我们也将持续监控其活动,以保护客户的安全。
威胁指标(IoC)
恶意活动1
Java_Updater.zip -> 59b15f6ace090d05ac5f7692ef834433d8504352a7f45e80e7feb05298d9c2dd
P-O of Jun2017.zip -> e397ba1674a6dc470281c0c83acd70fd4d772bf8dcf23bf2c692db6575f6ab08
Agent Tesla: 8c8f755b427b32e3eb528f5b59805b1532af3f627d690603ac12bf924289f36f
恶意活动2
Java sample=> d27a29bdb0492b25bf71e536c8a1fae8373a4b57f01ad7481006f6849b246a97
恶意活动3
New Order For Quotation.ppsx -> 65bdd250aa4b4809edc32faeba2781864a3fee7e53e1f768b35a2bdedbb1243b
恶意活动4
SETTLEMENT OF OUTSTANDING.xlsx -> 111e1fff673466cedaed8011218a8d65f84bee48d5ce6d7e8f62cb37df75e671
恶意活动5
Request and specification of our new order.xls -> 1dd4ac4925b58a2833b5c8969e7c5b5ff5ec590b376d520e6c0a114b941e2075
Agent Tesla -> fa6557302758bbea203967e70477336ac7a054b1df5a71d2fb6d822884e4e34f
域名
sweeddehacklord[.]us
sweed-office.comie[.]ru
sweed-viki[.]ru
sweedoffice.duckdns[.]org
sweedoffice-olamide.duckdns[.]org
sweedoffice-chuks.duckdns[.]org
www.sweedoffice-kc.duckdns[.]org
sweedoffice-kc.duckdns[.]org
sweedoffice-goodman.duckdns[.]org
sweedoffice-bosskobi.duckdns[.]org
www.sweedoffice-olamide.duckdns[.]org
www.sweedoffice-chuks.duckdns[.]org
aelna[.]com
candqre[.]com
spedaqinterfreight[.]com
worldjaquar[.]com
zurieh[.]com
aiaininsurance[.]com
aidanube[.]com
anernostat[.]com
blssleel[.]com
bwayachtng[.]com
cablsol[.]com
catalanoshpping[.]com
cawus-coskunsu[.]com
crosspoiimeri[.]com
dougiasbarwick[.]com
erieil[.]com
etqworld[.]com
evegreen-shipping[.]com
gufageneys[.]com
hybru[.]com
intermodaishipping[.]net
jltqroup[.]com
jyexports[.]com
kayneslnterconnection[.]com
kn-habour[.]com
leocouriercompany[.]com
lnnovalues[.]com
mglt-mea[.]com
mti-transt[.]com
profbuiiders[.]com
quycarp[.]com
regionaitradeinspections[.]com
repotc[.]com
rsaqencies[.]com
samhwansleel[.]com
serec[.]us
snapqata[.]com
sukrltiv[.]com
supe-lab[.]com
usarmy-mill[.]com
virdtech[.]com
willistoweswatson[.]com
xlnya-cn[.]com
zarpac[.]us
Oralbdentaltreatment[.]tk
wlttraco[.]com
原文链接:https://blog.talosintelligence.com/2019/07/sweed-agent-tesla.html