欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

利用木马化TeamViewer针对多个国家政府机构的攻击行动

来源:本站整理 作者:佚名 时间:2019-04-26 TAG: 我要投稿

近日Check Point的研究人员发现了几起网络攻击事件,主要是针对美国财政部门的官员以及几位欧洲大使馆代表。此次攻击以伪装成机密文件的恶意附件开始,通过将TeamViewer(一个流行的远程访问和桌面共享软件)武器化来完全控制受感染的电脑。
在研究了此次攻击的感染链和基础设施后,我们将其比对了先前的攻击案例,并将攻击者锁定在了一位俄语黑客身上。
在本文中,我们将讨论感染链、攻击目标、攻击者使用的工具以及攻击背后的可能原因。
感染链
感染始于一个带有恶意宏的XLSM文档,该文档以“军事融资计划”(Military Financing Program)为主题,通过电子邮件发送给潜在目标:
电子邮件主题:军事融资计划
文档名称:“Military Financing Program.xlsm”
sha – 256:efe51c2453821310c7a34dca3054021 d0f6d453b7133c381d75e3140901efd12

图1:恶意文件
这份仿制精良的Excel文件,不光背景印上了美国标志,还在文档底部写上了“最高机密”。虽然攻击者努力使文档看起来具有说服力,但他们似乎忽略了文档中遗留的一些西里尔语的成分(比如工作簿的名称),而这可能会帮助我们揭示攻击源的更多信息。

图2:感染链
一旦宏启用,有两个文件将从XLSM文档中的十六进制编码单元格中被提取。第一个文件是一个合法的AutoHotkeyU32.exe程序,另一个则是AutoHotkeyU32.ahk,它是一个AHK脚本,负责向C&C服务器发送POST请求,并可以接收其他AHK脚本URL用以下载和执行。
另外,有三个不同的AHK脚本在服务器上等待响应以开启下一阶段:
· hscreen.ahk:负责截取受害者PC的屏幕截图并将其上传到C&C服务器。
· hinfo.ahk:将受害者的用户名和计算机信息发送到C&C服务器。
· htv.ahk:下载并执行TeamViewer的恶意版本,并将登录凭据发送到C&C服务器。
恶意TeamViewer DLL(TV.DLL)通过DLL side-loading技术加载,用于通过钩住程序调用的Windows API为TeamViewer添加更多“功能”。
修改的功能包括:
· 隐藏TeamViewer的接口,这样用户就不会知道它正在运行。
· 将当前TeamViewer会话凭据保存到文本文件中。
· 允许传输和执行额外的EXE或DLL文件。

图3:MoveFileW函数钩子:添加payload“执行”和“注入”功能。
攻击目标
如上一节所述,AutoHotKey脚本的首要用途之一是从受感染的PC上传屏幕截图。
这些截图上传到的目录是暴露的,可以通过浏览特定的URL查看:

图4:打开带有受害者截图的目录
但是,这些截屏文件会定期从服务器中删除,并且最终“open directory”视图会被禁用。
在那之前,我们能够确定此次攻击的部分受害者,因为大多数截屏都包含了身份信息。
根据我们在自己的遥测中观察到的目标,以及从服务器上收集到的信息,我们能够列出部分目标国家的名单:
· 尼泊尔
· 圭亚那
· 肯尼亚
· 意大利
· 利比里亚
· 百慕大
· 黎巴嫩
仅仅看它针对的国家名单,很难判断这场运动背后是否有地缘政治动机,因为它针对的不是某个特定地区,而且受害者来自世界各地。
不过,观察到的受害者名单显示,攻击者对公共金融部门特别感兴趣,因为他们似乎都是攻击者“精心挑选”的税务部门官员。
行动溯源
我们观察到,该攻击者在其以往的攻击行动中都用到了TeamViewer的木马化版本,但恶意DLL的特性以及感染的第一阶段都随着时间的推移发生了变化。
传播
威胁行为者使用的初始感染载体也随着时间的推移而发生变化,在2018年,我们曾在他制造的多起攻击案例中看到过自解压档案的多种用途,而不是使用AutoHotKey向用户显示诱饵图像的恶意文档。
例如,自解压档案“Положениеопрокуратурегорода(приказомпрокуроракрая)_25.12.2018.DOC.exe”(翻译成“市检察官办公室条例”(按区域检察官的命令)_25.12.2018.DOC.exe”)显示图像如下:

图6:诱饵图片
这张照片显示的是哈萨克斯坦的官员,发布于哈萨克斯坦外交部网站。该可执行文件的原始名称及其显示的内容似乎都表明,它的目标是俄语受害者。
还有其他一些行动也是针对俄语人群的,其中就有一份武器化的Excel文档中提到了需要启用宏才能显示文件完整的俄语内容:

图7:诱饵文件
SHA-256: 67d70754c13f4ae3832a5d655ff8ec2c0fb3caa3e50ac9e61ffb1557ef35d6ee
启用宏后文件将显示金融相关内容:

[1] [2] [3]  下一页

【声明】:黑吧安全网(http://www.ylxj.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载