尊龙凯时

首页 > 清静研究 > 研究报告 > 攻击与威胁剖析

尊龙凯时ADLab：对近期某未知黑客组织攻击运动追踪与剖析报告

宣布时间 2024-08-30

1.剖析简述

在已往几个月里，尊龙凯时ADLab陆续发明一批使用商业木马remcosRAT攻击全球多个大型企业的网络攻击运动，这些攻击运动试图将窃取的敏感数据回传至美国的多台C2服务器上，这其中被攻击的企业还包括一家中国央企控股的外运企业，通过组织溯源发明这批攻击运动并不属于已知的任何黑客组织(包括APT组织)，因此，为了进一步掌握该黑客组织的运动情形，我们从4月份最先对该黑客相关的运动举行特殊关注和追踪，直到本文完成时仍未有该攻击运动的披露报告。

通过长时间的攻击样本网络，最后我们获得了跨度5个月时间的190多个攻击样本，这些攻击样本中有140多个都试图回连到位于美国地区的控制下令服务器上。其中服务器主要集中在173.255.204.62、107.173.4.18和107.175.229.143。通过溯源剖析确定这批攻击运动从2024年3月份就已经最先了对目的企业举行攻击，在接下来的几个月里攻击运动变得越来越活跃，直到7月份抵达活跃岑岭后，8月份攻击运动徐徐变少。

通过基础设施和样天职析发明，这是一个自动化水平很是高的黑客组织，其甚至可能将整个攻击周期都举行了自动化，我们发明攻击组织将黑客邮箱注册、域名注册、误差使用代码、loader即时编译、木马天生、攻击投放等历程都举行了自动化。虽然除了自动化外，黑客组织也会凭证自身掌握目的的水平而选择举行定制化的攻击。

从攻击目的来看，这批攻击运动除了攻击我国某外运企业外，还包括一些全球性的国际商业企业以及化学制品、机械制造、金融包管等领域相关企业。我们追踪到的攻击运动主要以鱼叉邮件和早期office误差为主，大宗样本的文件特征体现为高度自动化生产与自动化投放的特点，同时一些攻击邮件也体现出与目的产品和客户关系细节相关的高度定制化的特征。投放的窃密木马主要为5.1.0 Pro版本的remcosRAT，相较于我们之前剖析的remcosRAT版本，新版本允许黑客通过Telegram机械人与木马端交互，云云一来，黑客可以使用手机、平板电脑等移动装备随时随地举行木马控制，攻击场景越发无邪。

从对抗手法上来看，该未知黑客组织使用了多阶段远程加载手艺、混淆手艺、AD手艺和历程镂空手艺来逃避流量监测和杀毒软件的查杀，其中AD（ADD-TYPE）手艺是一种较为少见的手艺，在混淆的powershell代码中，其经常被用来实现隐藏的.net程序集的挪用，黑客在本攻击运动中用来实现远程恶意代码的隐藏下载。

2.攻击运动剖析

我们在追踪这批攻击运动的历程中，总共网络了190多份攻击样本，从每个攻击样本的入侵路径上剖析，发明黑客主要有两种攻击手段。

第一种是通过投递恶意的带有误差使用代码的office文档（xls和doc文档）来举行，其中的误差使用程序会从黑客服务器上下载一个带有JS剧本的hta文件并加载执行，此时JS剧本内一段被混淆的VBS剧本便会被启用，而这段VBS执行后最终会挪用一段被混淆的powershell代码。这段powershell剧本接纳了AD手艺，其为目今程序添加了一个新的 .NET 类型，该类型包括一个从 urlmon.dll 动态链接库中导入的 URLDownloadToFile 函数，powershell使用该函数从黑客服务器上下载一个被二进制混淆过的loader程序并执行，该loader最终会解密并执行窃密木马remcosRAT。

第二种攻击手法就是直接将混淆过的hta文件（或其链接）和loader程序伪装成为正常文件/链接附在垂纶邮件中，诱使目的执行诱饵文档。

我们先以7月25日的一起鱼叉垂纶邮件攻击最先来简朴剖析黑客的攻击历程，在整个攻击周期中，有大宗类似的攻击邮件，如图1这样。这个案例里黑客将发件人伪装成了印度高等面料制造商“Raymond”相关事情职员，将一个恶意文件投递到我国某外运公司的事情职员。邮件主题为 “RFQ”（报价请求），邮件附件为“Quotation.xls”（报价.xls），正文翻译成中文是“请查收附件所需项目的报价单，并以报价单确认，请确认收条”。

图片1.png

图1 针对我国某外运公司的攻击邮件

这种以报价为诱饵的攻击邮件主要通过某些模板自动化天生，其适用规模较广，乐成率也较高。这种类似的攻击或许流程如图2所示：

图片2.png

图2 黑客攻击流程图

黑客首先将木马存放于自己建设的文件服务器上，在设置好邮件payload后，通过自动化程序（以邮件模板库与情报库中目的信息为依据）天生攻击邮件，并向目的企业投放木马。当受害者失慎翻开邮件的附件文档，其中被全心构建的误差使用程序便会被触发，获得执行权限的shellcode接下来会通过多级级联下载（为了便于逃避查杀），最后乐成投放木马remcosRAT。黑客使用该木马可完全接受和控制目的主机，且可以对目的所在的网络举行下一步的入侵，以追求更具价值的数据。其他类似攻击如图3所示。

图片3.png

图3 关联到的部分网络攻击邮件截图

这一系列攻击运动中，黑客的伪装工具还包括我国某海运服务集团、我国某国际物流公司、美国物流公司“Expeditors”、新加坡物流航运公司“Interion Pte Ltd” 等实体。

表1.png

表1 部分定向攻击邮件相关信息

攻击目的还包括韩国“船舶燃油系统、推进系统和使用系统等系统”署理商“Boema Hi-Tec Ltd”、智利网络信息中心“Network Information Center Chile（NIC Chile)”、捷克气动元件、机床、食物加工装备公司“Stransky a Petrzik”以及墨西哥“称重、识别和检测系统”制造商“Grupo IPC”等企业，部分受害企业相关信息如图4。

图片4.png

图4 部分受害企业相关信息

而关于一些特定的目的，黑客会凭证这些目的的差别营业内容和企业情形举行邮件定制。如图5所示：黑客声称自己来自一个泵工业企业，向韩国船舶加工、汽船推进相关署理商“Boema Hi-Tec Ltd”发送了主题为“Inquiry - Pumps & Accessories - (Oasis Pump Indusry LLC)（盘问-泵和配件-绿洲泵业有限责任公司）”的邮件，正文中声称是要从该企业购置水泵和配件产品，附件为“Pumps Product List & Drawing Dimensions.xls（泵产品清单及图纸尺寸）”是其需要的产品规格和图纸尺寸。类似的主题和内容尚有“New Enquiry”（新询盘）、“New Items order”（新项目订单）和“PAYMENT”（付款）等。

图片5.png

图5 定制化攻击邮件示例

3.基础设施剖析

在我们一连的追踪和剖析后，总共获得了194个攻击样本，这些样天职别泛起在黑客攻击的差别阶段，我们把这些样本大致分为四大类，其中第一类是使用office误差的xls和word恶意文档；第二类是内嵌有js剧本的hta文件；第三类是存储在黑客文件托管服务器上的remcosRAT木马的loader；第四类是用于直接通过邮件举行木马投递的压缩包文件。

通过最终剖析确认，黑客窃密木马的控制下令服务器为“bossnacarpet.com”和“vegetachcnc.com”，现在这两个域名都剖析到位于美国73.255.204.62服务器上，回传端口为2556。除了用于控制目的主机的控制下令服务器外，黑客尚有一些用于存储hta和remcosRAT木马loader的托管服务器，大部分的样本托管服务器都位于美国境内。这些托管服务器相关信息如下。

表2.png

表2 恶意服务器IP地点

窃密木马控制下令服务器域名“bossnacarpet.com”注册于2023年8月4日，可是一直未有使用直到2024年4月剖析到了服务器107.175.229.143。从4月份到8月份替换了2次服务器划分为5月替换为服务器107.173.4.18，7月份替换为服务器173.255.204.62。服务器173.255.204.62一直使用到现在。

而控制下令服务器域名“vegetachcnc.com”是2024年3月21日新注册的域名，其直到2024年7月才被设置到服务器107.173.4.18和服务器173.255.204.62上。

别的，从这两个域名的注册信息来看（见图6），黑客极有可能使用了自动化注册工具来实现，若是推测建设，那么我们所发明这批攻击可能只是该黑客组织某一个分支。

图片6.png

图6 域名注册信息

虽然除了域名注册保存自动化的痕迹外，该黑客组织的攻击样本看起来也具有很强的自动化特征。部分文件信息如表4所示，在我们网络到的样本中保存大宗8字节十六进制名称的误差使用文档如“A5570000”和“00870000”类似的形式，这些攻击文档无疑是黑客通过自己的攻防平台自动化天生的恶意文件。这类文件的泛起时间主要集中在2024年3月份到8月份。

表3.png

表3 恶意诱饵文档

别的这批样本中的一些doc误差使用文件泛起出一种希奇的文件名形式，类似于文件“iwanttosxwithudeeolybecauseitrulylovesxwithoumygirlireallymissingu__nowiwantsxwithou.doc，这类文件看起来像是使用一些文章或者小说内容作为字典，通过某种算法自动化天生的样本，这类文件主要泛起在2024年3月至4月时代。部分文件信息如下表所示。

表4-1.png

表4-2.png

表4-3.png

表4 恶意诱饵文档

关于前面提到的第二类文件并未几，如表6所示。这是黑客攻击路径中的一类中心文件，一部分攻击将此类文件的链接附着在垂纶邮件中，诱使目的点击；一部分通过误差使用文档从远程下载执行。这些文件现实上是一些包括多层混淆和编码的JavaScript剧本文件，JavaScript剧本文件中再嵌套混淆的VBScript和混淆的PowerShell下令，最后使用PowerShell下令从黑客服务器上下载被二进制混淆过的loader程序并执行。

表5.png

表5 恶意hta文件

恶意hta文件执行后，会从黑客服务器上下载被二进制混淆过的loader程序并执行，这些loader最终会解密并执行窃密木马remcosRAT。

而这些loader正是我们上面提到的第三类样本文件,，如表7所示，这些恶意loader文件名大致可以分为两类：一类是伪装成如“csrss.exe”、“ wininit.exe”这类系统历程名称，以隐藏恶意行为为目的；一类是命名成“Quotation.exe”、 “RFQ.exe”这类名称以配合攻击邮件来诱使受害者运行。这些文件的编译时间最早为2024年4月16日（UTC），最新为2024年7月23日（UTC）。

表6-1.png

表6-2.png

表6-3.png

表6 恶意loader程序

通过该表我们还可以看出，有许多loader程序在编译好后就在很短时间里便投入使用了，和我们视察到的时间很是靠近，有的最短距离甚至不到半小时，这显然是通过自动化的木马即时编译即时投放平台实现的。

第四类文件现在发明的也并未几，现在还无法显着看出其保存自动化实现的痕迹。黑客将混淆过的hta文件（或其链接）或loader伪装成正常文件并举行打包，然后作为邮件附件添加到鱼叉邮件中，再通过邮件话术诱使攻击目的解压执行。

表7.png

表7 作为邮件附件的压缩文件

因此，团结上文的剖析来看，黑客似乎具有完整的自动化攻击平台，其具有很是强的自动化能力，这些能力包括自动化的邮箱申请、域名注册、诱饵文档天生、木马loader即时编译、木马投放等。

4.攻击案例剖析

我们以该黑客团伙针对我国某外运公司的一次邮件攻击为例举行说明。如图7所示，在此次攻击中，攻击者先在自己的恶意服务器“192.3.118.15”和“107.173.143.46”上划分设置和安排好恶意文件“gdfc.hta”和“csrss.exe”，之后，攻击者向我国某外运公司的事情职员投递带有恶意附件“Quotation.xls”（报价.xls）的邮件，该xls文档是携带有误差“CVE-2017-0199”使用代码的恶意误差使用文件，误差使用代码一旦执行，会加载执行事先安排的恶意文件“http://192.3.118.15/xampp/mnu/gdfc.hta”，恶意gdfc.hta包括的恶意剧本会请求并执行恶意文件“http://107.173.143.46/T2307W/csrss.exe”。csrss.exe为商业木马remcosRAT的loader，其执行后，会解密其中的商业远控木马remcosRAT 到受害者的装备执行。通过上述历程，攻击者最终乐成向攻击目的投放了remcosRAT远控木马。

图片7.png

图7 攻击流程图

4.1 诱饵邮件投递

此次攻击始于一封试图伪装成印度高等面料制造商“Raymond”相关事情职员的报价请求邮件（见图8），此邮件是发送给我国某外运公司的事情职员的。邮件主题是“RFQ（报价请求）”，附件诱饵文档名称为“Quotation.xls（报价.xls）”，正文翻译成中文是 “请查收附件所需项目的报价单，并以报价单确认，请确认收条”。从邮件的主题和正文内容来看，攻击者是想伪装成印度高等面料制造商“Raymond”对我国某外运公司实验邮件攻击。

图片8.png

图8 攻击者投放的攻击邮件

附件文档“Quotation.xls”（见图9）是一个“CVE-2017-0199”误差使用的恶意文档，若是受害者设惫亓Office未实时更新，而受害者又由于疏忽翻开了该文档，误差使用代码便会执行。

图片9.png

图9 诱饵xls文档

误差使用代码会加载和执行攻击者安排的恶意hta文件：“http://192.3.118.15/xampp/mnu/gdfc.hta”， gdfc.hta文件的内容如图10所示，该文件只包括一个混淆处置惩罚过的Javascript剧本。

图片10.png

图10 gdfc.hta文件部分内容

这段 JavaScript 剧本使用了 unescape() 函数来解码一个经由编码的字符串‘%3C%73%63%72%69%70%74%20%6C%61%6E%67%75%61%67%65%3D%4A%61%76%61%53%63%72%69%70%74%...... 69%74%65%28%64%29%3B%3C%2F%73%63%72%69%70%74%3E’，并通过 document.write()要领将解码后的内容输出到页面上。这段经由编码的字符串解码后见图11，我们来看这段代码都干了些什么：m 变量包括了完整的 HTML 和嵌入的恶意VBScript 代码（这部分代码使用了 JavaScript）；unescape(m) 函数用于解码 m 中的转义字符，将其还原为原始文本；document.write(d)将解码后的 HTML 和恶意 VBScript 代码写入到文档中，这一步相当于动态加载恶意代码到用户的浏览器情形中。

图片11.png

图11 解码后的代码结构

恶意VBScript 代码如图12所示，我们看到这段代码混淆了变量名和下令并使用了超长变量名“FZmVzmbnJlDsrDPejjREhoSUpLccYGThfiITYHmlYTerSIATfMkpyNZNbIRRjmhWgbmEymiqenIvsgxmwrNLYaeXZijiaptaxmbXnjqXRcpyedgHXEBNUiJUXUhXLWgRSybTIFmCYTdxsJdzwjCoDvqZLzLfGqVOgsqmVJ”和“BMheopsbVrJXHOKkrGKTzUVwCTPAsCMcYpVBKRxInxQgxxxJNQGzAmHManmtkLfnoAWzQzvWZLNeeRnjqUjxMjVNGzutUDKfYPYGIjBZFBqBFTwUBnhvlFXGUZbhzaOLDDQDpQeYIpmdbxmXWpqbaweBsgWtZWGnHmnaLp”。这样操作既逃避了一些清静软件的检测又增添了剖析职员的阅读难度，可以说是“一石二鸟”。这段代码的目的是执行一个PowerShell下令（绿色部分）。

图片12.png

图12 恶意VBScript代码

PowerShell要执行的下令解码后如图13所示，这段代码使用一种“AT”手艺来逃避杀毒软件的行为查杀。其使用 Add-Type cmdlet 添加了一个新的 .NET 类型。这个类型包括一个从 urlmon.dll 动态链接库中导入的 URLDownloadToFile 函数；然后挪用 URLDownloadToFile函数，从地点http://107.173.143.46/T2307W/csrss.exe 下载文件到外地路径 $ENV:APPDATA\winiti.exe；接着让剧本暂停 3 秒钟，确保文件下载完成；最后

执行下载的可执行文件。我们可以看到，这段代码的主要功效是从指定的 URL 下载恶意可执行文件，并在下载完成后运行它。

图片13.png

图13 PowerShell要执行的下令

4.2 恶意程序剖析

通过前面下载并执行的恶意程序为“http://107.173.143.46/T2307W/csrss.exe”，经太过析，我们发明csrss.exe是一个恶意loader，由于该恶意loader经由了严重的混淆，并且许多函数使用了动态加载手艺，因此仅通过静态剖析我们很难知道它的要害执行逻辑。团结动态剖析，我们发明，该loader在执行后会在内存中解密出商业木马remcosRAT，然后新起一个傀儡历程如“msbuild.exe”，接着使用历程镂空手艺将remcosRAT木马注入到新起的傀儡历程空间中执行。历程镂空手艺常被恶意软件用于注入恶意代码，以逃避杀毒软件的监测和防御机制，并在目的系统上执行恶意运动。

loader会在目的盘算机上Microsoft.NET Framework的装置目录下选择一个正当的.NET相关程序如“msbuild.exe”、“ regsvcs.exe”、“ jsc.exe”和“installutil.exe”等作为目的来建设傀儡历程。如图14所示，恶意loader首先使用CreateProcessW函数建设C:\\Windows\\Microsoft.NET\\Framework\\v4.0.30319\\msbuild.exe历程，需要注重的是，这个历程的主线程被设置为挂起状态，在后续注入完成恶意代码后，loader会挪用ResumeThread函数来恢复目的线程的执行。

图片14.png

图14 建设目的历程

建设完傀儡历程后，loader通过挪用ZwUnmapViewOfSection函数来作废傀儡历程中的内存映射，如图15所示。

图片15.png

图15 作废目的历程中的内存映射

接着，loader挪用VirtualAllocEx函数来为傀儡历程分派内存（如图16），为的是将后续的恶意代码写入到傀儡历程的地点空间。

图片16.png

图16 为傀儡历程分派内存

分派完内存后，loader再挪用NtWriteVirtualMemory函数将remcosRAT的PE头注入到傀儡历程地点空间，如图17所示。

图片17.png

图17 注入remcosRAT的PE头

注入PE头后，如图18所示，loader继续将remcosRAT 的“.text”section注入到傀儡历程空间。接着，loader会以同样的方法依次注入remcosRAT的“.rdata”、“ .data”、“.tls”、“ .gfids”、“ .rsrc”和“.reloc”section。

图片18.png

图18 注入remcosRAT 的“.text”section

如图19所示，在整个remcosRAT恶意代码注入完成后，loader则挪用ResumeThread函数恢复目的傀儡历程的主线程，这样，remcosRAT木马就在目的傀儡历程中执行了。

图片19.png

图19 恢复傀儡线程

4.3 remcosRAT木马

通过前面的剖析，我们知道，恶意loader通过内存解密和历程镂空手艺，最终在熏染装备上执行了商业远控木马Remcos RAT，其版本号为“5.1.0 Pro”（如图20所示）。自2016年在暗网上的地下黑客社区最先出售以来，Remcos RAT非�；钤�，基本上每个月都会宣布两个左右的新版本。该工具由一家名为Breaking Security的公司刊行出售，其具有键盘纪录、屏幕纪录、挪用摄像头和麦克风举行录像录音、远程执行Shell下令、远程执行剧本、上传文件以及下载文件，文件治理、历程治理、注册表操作和装置卸载远控等功效，只要Remcos RAT被乐成植入到目的装备，其背后的黑客便可完全控制目的装备，对其举行监控、数据窃取甚至是更进一步的破损运动。我们此前在报告《【深度】ADLab针对新型黑客组织“海毒蛇”深度追踪与剖析》和《关于近期俄乌网络攻击运动追踪剖析报告》中曾对其举行过详细的手艺剖析，在此不做过多赘述，下面仅对其设置文件部分举行简要说明。

图片20.png

图20 最终执行的商业远控木马remcosRAT

如图21所示，Remcos RAT运行后会从自身资源中解密出设置信息，内里包括C&C服务器地点“bossnacarpet.com:2556，vegetachcnc.com:2556”、互斥工签字“chrome-6W1HCC”、键盘纪录文件名“logs.dat”、Licence ID“C90245FEC67A6F41723337BDF4A60126”以及和截图、录音等操作相关的其他信息。

图片21.png

图21 解密出来的设置信息

相较于旧版本，Remcos从 v5.0.0版本最先增添了移动端的控制支持，图22是Remcos官网下相关的更新先容，由先容可知，Remcos v5.0.0版本允许黑客通过Telegram机械人与木马端交互，因此黑客可以通过智能手机、平板电脑和浏览器完成对目的主机的控制。同时Remcos Telegram机械人支持以实时通知的方法让黑客实时相识目的装备运行情形。

图片22.png

图22 Remcos新功效

图23是Remcos Telegram机械人支持的控制下令列表，黑客可以通过其完成对目的主机的各项控制，如屏幕纪录、挪用摄像头录像、远程执行Shell下令、远程执行剧本、下载和文件，浏览器操作等。

图片23.png

图23 Remcos Telegram机械人控制下令

虽然Remcos Telegram机械人支持的控制下令现在没有原始的 C2控制端多，可是借助于Telegram的跨平台支持，黑客可以使用手机、平板电脑等移动装备随时随地举行木马控制，极大拓展了黑客的攻击场景。借助于Telegram的实时通知，黑客可以实时吸收受熏染装备的状态更新和通知，便于着实时接纳下一步行动。另外，由于 Telegram 在外洋是常见的通讯工具，使用它举行控制可以规避一些清静软件和网络监控的检测。这些优势使得 Remcos RAT 在 5.0.0 版本后变得越发强盛和无邪，进一步提升了其在恶意运动中的应用价值。黑客购置新版Remcos举行攻击，可以凭证他们自己的详细需求选择合适的控制方法。而针对新版Remcos的这些特征，清静职员和厂商需要一直提升检测和响应能力，接纳多条理的防御战略，并坚持对最新威胁情报的一连关注。

5.总结

我们就近几个月视察到的一系列使用托管在多个黑客服务器果真路径上的大宗恶意文件举行的网络攻击运动举行了剖析，我们对这些攻击运动使用的基础设施、攻击武器、运动历史和攻击手法等信息举行了周全的剖析，并且我们对最近泛起的一次针对我国某外运公司的攻击举行了详细的逆向剖析。从这些攻击运动的攻击目的和攻击手法来看，其背后的攻击者很或许率上是一个以经济利益为目的的犯法团伙。几个月来，他们一方面临于重点目的定制恶意文件举行定向攻击，一方面大批量自动化天生邮件、误差使用文件和loader举行广撒网式的攻击，随后窃取目的公司的商业神秘、主要工业手艺信息等敏感信息，以实现其经济利益，也不扫除该犯法团伙以这些攻击目的为跳板，进一步向相关企业的上下游公司、相助同伴、政府高校等机构举行攻击，以获取更多的“攻击效果”。这些攻击不但会对相关企业的运营和声誉造成严重影响，还可能导致工业配方、客户资料等焦点涉密数据泄露，效果不堪设想。

阻止现在，该犯法团伙的攻击运动仍然活跃，仍将有不少公司会成为其新的猎物，我们会一连关注和跟进该黑客团伙的相关攻击运动。

尊龙凯时起劲防御实验室（ADLab）

ADLab建设于1999年，是中国清静行业最早建设的攻防手艺研究实验室之一，微软MAPP妄想焦点成员，“黑雀攻击”看法首推者。阻止现在，ADLab已通过 CNVD/CNNVD/NVDB/CVE累计宣布清静误差5000余个，一连坚持国际网络清静领域一流水准。实验室研究偏向涵盖基础清静研究、数据清静研究、5G清静研究、人工智能清静研究、移动清静研究、物联网清静研究、车联网清静研究、工控清静研究、信创清静研究、云清静研究、无线清静研究、高级威胁研究、攻防系统建设。研究效果应用于产品焦点手艺研究、国家重点科技项目攻关、专业清静服务等。

上一篇下一篇

7*24小时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

Copyright ? 尊龙凯时版权所有京ICP备05032414号京公网安备11010802024551号