FortiGuard实验室的威胁分析报告。

去年11月,FortiGuard 实验室发现了一些垃圾邮件,其中包括对日本公民的海啸预警邮件。 这些垃圾邮件中含有一个日本气象厅(JMA)的虚假链接,当用户点击这个链接时,计算机将会自动下载Smoke Loader木马。在对这个虚假网站进行监控后,我们发现,原来点击会导致下载Smoke Loader木马的链接在11月底被另一个新的链接所取代,该链接部署了另一个攻击木马AZORult,它可以收集并传送受感染系统的数据信息。

这两种恶意软件版本仅在俄罗斯地下论坛上出售。目前为止,那些伪造的JMA网站仍然可以充当AZORult C&C服务器的角色,他们会将用户的访问地址重定向到合法的JMA网站。在进一步研究虚假JMA网站背后隐藏的域名信息后,我们发现了另一个与这个虚假网站类似的攻击事件。

在本文中,我们将会分析从虚假JMA网站下载的恶意软件,并由此研究其他相似的攻击事件。

虚假假海啸警报

在2018年11月期间,JMA两次宣布其正在针对居住在日本东北部地区的人们进行虚假的海啸预警邮件活动。 官方公告可在以下链接中找到:

https://www.jma.go.jp/jma/press/1811/08c/WARNmail_20181108.pdf

https://twitter.com/JMA_kishou/status/1063345647653281794

这些垃圾邮件的内容不使用原生日语。从这些邮件所使用的语法问题中可以看出,它们很有可能是由外国人编写或者是由机器翻译而成的。这两个类型的垃圾邮件都会导致受害者在无意中下载恶意文件。下载链接如下:

hxxp://www.jma-go[.]jp/jma/tsunami/tsunami_regions.scr

上述域名示图中,https://www.jma.go.jp看起来像一个合法的JMA域名,但事实上并不是这样。日本气象厅通过发送推特向用户提醒真假域名间的差异即在它的真实域名中使用的字符是“ - ”(连字符)而不是“.”(点)。

网站payload随时间变化

我们已对恶意软件的下载链接进行了长达一个月的实时监控,并记录了对下载的恶意软件所做的以下更改。

表2为对hxxp://jma-go[.]jp/jma /tsunami/1.exe中的恶意软件下载链接所做的更改。

文件1.exe已经于11月底被网站删除。

11月25日之后,下载的恶意软件的链接木马从Smoke Loader变为AZORult。它们都使用jma-go [.] jp域作为C&C服务器。

Smoke Loader C&C服务器:

hxxp://jma-go[.]jp/js/metrology/jma.php

AZORult C&C服务器:

hxxp://www.jma-go[.]jp/java/java9356/index.php

Smoke Loader:

属于Smoke Loader系列的四个样本全部使用了相同的shellcode加载程序和payload。下载后,他们会尝试下载额外的插件DLL或是下一阶段的恶意软件。但不幸的是,我们无法观察到此次活动的下一阶段攻击。这里CERT.PL撰写的关于Smoke Loader的详细报告。我们将在下一节中提到其功能中的某些部分。

逆向分析

Smoke Loader在运行其最终payload之前使用了多种反分析技术。

我们发现此攻击事件中使用了包括一些基本技术在内的众多技术,如PEB标志和跳转链的反调试检查技术等。

它会通过检查sbiedll的使用情况来检测它是否在sandbox中运行。

在比较以下注册表项中的值的同时,它还使用一些知名的虚拟机名称以检查虚拟机的使用情况:

  • HKLM\System\CurrentControlSet\Services\Disk\Enum
    • HKLM\System\ControlControlSet\Enum\IDE
  • HKLM\System\ControlControlSet\Enum\SCSI

键盘布局检查

它还将对被感染的计算机进行键盘语言检查,以确保俄罗斯和乌克兰的用户不会感染木马。

PROPagate代码写入

这种代码写入技术最初于2017年被发现,Smoke Loader自2018年7月开始使用这种技术,以下是一份讨论该技术的技术报告。

我们在报告的最后找到了以下代码。它使用回调函数配置UxSubclassInfo结构以运行explorer.exe,并触发写入的代码,然后将消息发送到窗口。触发回调函数后,它会运行写入的解密的AZORult的payload。

过程监控

在连接到C&C服务器之前,它创建了两个用于监视进程和窗口的线程以作为另一个反分析功能。在这些线程中,它会计算进程名称和窗口名称的哈希值,并将它们与其payload中的硬编码名称的哈希值进行比较。如果它找到符合条件的进程或窗口,它将立即将这些进程或窗口终止。

C&C服务器

此攻击事件中的所有Smoke Loader示例都使用以下URL作为其C&C服务器。

hxxp://jma-go[.]jp/js/metrology/jma.php

该URL从图8所示的结构解密。这是一种用于解密字符串的简单算法,在这些样本中体现的解密算法如下所示。

decrypted_byte = not (encrypted_byte xor 0x36 xor 0x04 xor 0xAE xor 0xB8)

恶意软件第二阶段的执行

1.无文件方法:将下载的有效负载映射到内存中,然后立即运行。

2.下载DLL并立即加载它。

3.下载DLL或EXE文件,并将其作为服务注册到regsvr32中。

AZORult

AZORuly具有在受害者系统中搜索以下应用程序信息的功能。

1.浏览器历史记录
2.加密货币钱包

  1. Skype
  2. Telegram
  3. Steam

C&C 服务

在此攻击事件中,域“jma-go [.] jp”用来作为恶意软件的C&C服务器。

hxxp://www.jma-go[.]jp/java/java9356/index.php

在AZORult版本3.3中,它使用密钥缓冲区和密钥缓冲区元素的指定权重来解密被加密的URL。

图9为解密的第一个字符的示例。

它连接到C&C服务器并尝试下载第二阶段中包含的恶意软件,有以下两种执行方法:CreateProcessWShellExecuteExW。 无论它是否是.exe结尾,使用哪一种仅取决于URI扩展。

通过不同的路径进行传播

此活动使用不同的路线传播AZORult

  1. hxxp://thunderbolt-price[.]com/Art-and-Jakes/Coupon.scr

这个网站用于宣传日本的攻击事件,我们发现其中有一个地址可以下载Coupon.scr,这是一个属于AZORult的恶意软件,它与我们之前提到的文件相同,其哈希值为:

748c94bfdb94b322c876114fcf55a6043f1cd612766e8af1635218a747f45fb9

  1. hxxp://bite-me.wz.cz/1.exe
    这与我们前面提到的文件相同,哈希值为:

70900b5777ea48f4c635f78b597605e9bdbbee469b3052f1bd0088a1d18f85d3

其他服务的发现

我们决定进一步调查此案例,以试图找到此恶意攻击事件背后的可能参与者。

首先,我们分析恶意域“jma-go [.] jp”。 当有人直接访问恶意网站时,它会将用户重定向到合法的JMA网站。

在检查网站重定向脚本时,我们观察了一些用西里尔语编写的注释。

很有趣的是,有人把这些人留在现实的竞选活动中,所以我们决定在网上搜索评论。我们很快就对其中一个进行了评论:一个昵称为“vladvo”的用户在其中一个上发了帖子。 俄罗斯论坛,询问重定向和iframe。 他作为自己制作的解决方案提供的代码与恶意网站上使用的重定向代码完全匹配。 甚至评论和空格都是一样的。

这里该用户唯一改变的是“window.location”参数中的链接。 然而我们无法确定“vladvo”用户是否与此案例相关联。 他于2012年10月20日发布此消息,因此帖子目前已有6年历史。 很可能有人只是将这段代码重新用于攻击中。

在分析了脚本之后,我们决定检查恶意域的WHOIS信息。 在这里,我们发现了一些有趣的信息,这些信息为我们提供了查找同一个黑客的攻击行为提供了帮助。

首先,我们发现使用WHOIS信息中的电子邮件注册的网站 - lixiaomraz [@] gmail.com

  • hxxp://www.montepaschi-decreto-gdpr[.]net

  • hxxp://www.posteweb-sicurezza[.]com

然后我们发现第一个网站已经在MPS银行网络钓鱼活动中使用:

我们可以假设hxxp://www.posteweb-sicurezza [.] com网站也遭遇了相同的攻击手法。

接下来,在WHOIS历史记录我们发现了同一个参与者曾在09.02.2018中注册的其他五个域名:

· hxxp://www.3djks92lsd[.]biz

· hxxp://www.38djkf92lsd[.]biz

· hxxp://www.38djks92lsd[.]biz

· hxxp://www.348djks92lsd[.]biz

· hxxp://www.38djks921lsd[.]biz

旧的WHOIS条目中列出的所有数据都与jma-go [.] jp列出的注册商信息相匹配:

所有网站都伪造成音乐,视频或购物网站。 但他们的真实目的却大相径庭。

一旦用户尝试从这些文件下载文件,它们将被重定向到其他网站,最后会下载合法的7zip 16.02(1f662cf64a83651238b92d62e23144fd)软件安装程序。然而这些网站看起来仍然没有payload,或者它们已经被更改。 攻击者可能正在使用7zip包进行测试。

我们能够在攻击中检测到多个重定向:

· hxxp://writingspiders[.]xyz

· hxxp://catsamusement[.]xyz

· hxxp://oatmealtheory[.]xyz

· hxxp://canvasporter[.]pw

所有域名都比主要的.biz域名出现的要早。

这可能意味着攻击者仍在进行黑客攻击,之后我们很快就发现了与上述5个网站相关的一个攻击活动。然而重定向域的WHOIS信息没有给我们提供线索,或者他们使用了反测试软件技术。

除了可以进行恶意软件传播之外,我们还在网站的背景中发现了另一个活动。 我们在检查页面源代码,找到了一个隐藏在左下角的隐秘iframe对象。 对象的大小为1x1。

我们可以看到,iframe对象指向YouTube视频播放器的链接。 除此之外,自动播放功能也已经开启。 这意味着视频会在后台进行隐身播放。 这种技术常被用于推广视频或者增加播放次数。

除了链接到YouTube之外,我们还观察到了几个链接到Twitter和Facebook的iframe。

我们发现的五个网站并没有许多用户来访问,所以我们判断此类活动可能是刚刚开始或者正处于测试阶段。

除了我们上述所说的域名外,还发现了在“Kupriushin Anton”上注册的另外两个网站:

· hxxp://Craigslist[.]business

· hxxp://Craiglist[.]news

然而目前这些网站无法使用。很明显,攻击者试图掩盖Craigslist网站的名称。

总而言之,攻击者正在快速开发其攻击工具并从不同的角度进行恶意攻击并从中获利。

结论

自去年11月以来,FortiGuard实验室就开始检测这个假冒的海啸预警活动,并研究了此恶意活动背后的黑客组织。

我们发现这些可下载的恶意软件目的是感染受害者并窃取其重要信息,从而提高从Smoke Loader切换到AZORult的效率。

与此同时,我们检测到假冒JMA网站的注册人还为其他的钓鱼活动创建了相应的网站。

FortiGuard实验室将继续监控这些恶意事件。

解决办法

使用以下解决方案可以保护Fortinet用户免受上述的恶意威胁:

  • 文件由FortiGuard Antivirus检测

  • 我们使用FortiGuard Web过滤服务阻止恶意的网络钓鱼URL

IOCs

样例:

27aa9cdf60f1fbff84ede0d77bd49677ec346af050ffd90a43b8dcd528c9633b - W32/Kryptik.GMMP!tr

42fdaffdbacfdf85945bd0e8bfaadb765dde622a0a7268f8aa70cd18c91a0e85 - W32/Kryptik.GMOP!tr

fb3def9c23ba81f85aae0f563f4156ba9453c2e928728283de4abdfb5b5f426f - W32/Kryptik.GMVI!tr

70900b5777ea48f4c635f78b597605e9bdbbee469b3052f1bd0088a1d18f85d3 - W32/GenKryptik.CSCS!tr

a1ce72ec2f2fe6139eb6bb35b8a4fb40aca2d90bc19872d6517a6ebb66b6b139 - W32/Generik.CMTJTLW!tr

7337143e5fb7ecbdf1911e248d73c930a81100206e8813ad3a90d4dd69ee53c7 -

W32/GenKryptik.CSIZ!tr

748c94bfdb94b322c876114fcf55a6043f1cd612766e8af1635218a747f45fb9 - W32/Generik.JKNHTRB!tr

下载URL地址

hxxp://www.jma-go[.]jp/jma/tsunami/tsunami_regions.scr - Malware

hxxp://jma-go[.]jp/jma/tsunami/1.exe – Malware

hxxp://thunderbolt-price[.]com/Art-and-Jakes/Coupon.scr – Malware

hxxp://bite-me.wz[.]cz/1.exe – Malware

C&C地址

hxxp://jma-go[.]jp/js/metrology/jma.php - Malicious

hxxp://www.jma-go[.]jp/java/java9356/index.php - Malicious

其他Url地址

hxxp://montepaschi-decreto-gdpr[.]net/ - Phishing

hxxp://montepaschi-decreto-gdpr[.]net/procedura-per-sblocco-temporaneo-decreto/conferma_dati.html – Phishing

hxxp://certificazione.portalemps[.]com/ - Phishing

hxxp://certificazione.portalemps[.]com/verifica-conto/ - Phishing

hxxp://Craigslist[.]business - Phishing

hxxp://Craiglist[.]news – Phishing

hxxp://www.3djks92lsd[.]biz - Phishing

hxxp://www.38djkf92lsd[.]biz - Phishing

hxxp://www.38djks92lsd[.]biz - Phishing

hxxp://www.348djks92lsd[.]biz - Phishing

hxxp://www.38djks921lsd[.]biz - Phishing

hxxp://writingspiders[.]xyz - Malicious

hxxp://catsamusement[.]xyz - Malicious

hxxp://oatmealtheory[.]xyz - Malicious

hxxp://canvasporter[.]pw - Malicious

本文为翻译稿件,稿件来源于:https://www.fortinet.com/blog/threat-research/fake-tsunami-brings-malware-to-japan.html

点击收藏 | 0 关注 | 1
  • 动动手指,沙发就是你的了!
登录 后跟帖