close

點擊藍字關注我們


摘要


安恆信息中央研究院獵影實驗室持續跟進一起由黑產團伙(安恆信息內部追蹤代號「GRP-LY-1001」)偽裝聚合支付平台定向投遞惡意木馬進行網絡盜刷獲利的活動。目前該黑產活動仍在持續進行,各相關聚合支付接入商戶需提高安全警惕,提升員工安全意識,不隨意打開來歷不明的鏈接或文件,在進行網頁支付前檢查網站是否屬於官方網址。同時可在企業側部署相關安全檢測防護產品。目前安恆信息相關產品已支持對該組織的作案行為檢測。

該團伙類似活動已存在一段時間,至少可追溯到2021年年中。分析觀察到其主要活動形式為通過社工等手段投送偽裝為支付平台的釣魚鏈接,誘導下載偽裝為「安全控件」、「支付密鑰」等程序的惡意木馬,受害人執行中招後惡意程序自動收集信息(包括瀏覽器緩存、QQ號QQ好友QQ群組信息、擊鍵記錄信息等PC中關鍵信息),後續該團伙根據獲得信息通過一定手法進行盜刷獲利。

經過分析推測該團伙的產業鏈如下圖所示:


團伙畫像


該團伙畫像如下:

團伙性質

黑產團伙

活躍時間

至少從2021年8月開始至今

攻擊動機

信息竊取與盜刷獲利

涉及平台

Windows

疑似攻擊來源

國內

目標地域

國內

涉及行業

金融、電商等涉及聚合支付接入的單位

常用工具

Gh0st遠控軟件、大灰狼遠控軟件、開源項目KCP和HP-Socket等

攻擊方式

釣魚網站、社會工程等

由於在最新版本的樣本中在收集系統信息時出現了中文描述信息如:「忙」、「閒」、「顯示器」、「數量」、「硬盤」、「內存」等字符,因此推斷該團伙成員可能為國內人員。

該團伙至少從2021年8月開始活動,通過發布釣魚網站針對使用網銀支付的用戶發起信息竊取和銀行卡盜刷攻擊。捕獲的樣本中包含「安全控件」、「公鑰」等關鍵詞,最終載荷中包含經過魔改的遠控木馬如Gh0st、大灰狼等,魔改後的遠控木馬能夠竊取受害者的敏感信息,在受害者不知情的情況下盜刷銀行卡。


團伙攻擊手法分析


該團伙通過一定的手段,引誘受害者點擊偽造的「支付平台」等具有迷惑性的網站,通過層層誘導下載包裝為控件、密鑰等程序的惡意木馬。

目前我們觀察到至少8類偽裝為支付頁面的站點,包括「易聯支付」、「敏付」、「杉德支付」、「農銀匯理基金」、「中睿合銀」、「盛付通」、「聚合支付」等。其中3類示例如下:

01

第一類釣魚站點


該類釣魚網站通過偽造「敏付」支付頁面,以「1分錢體驗」為主題誘導用戶進行支付。

點擊移動端支付時會跳出提示,讓用戶只能點擊PC端支付。

點擊PC端支付後會讓用戶選擇銀行和卡類型。

點擊支付後會跳轉到偽造的下載安全控件的頁面。

點擊後會下載包含惡意軟件的壓縮包。

02

第二類釣魚站點


該類網站偽造了「易聯支付」DNA手機支付頁面,進入網站後顯示的是登錄界面,誘導輸入用戶名和密碼進行登錄。

登錄後的頁面製作粗糙,甚至網頁代碼的模板都沒有進行替換。

頁面提示用戶進行驗卡,但是無論是否填寫信息,都會跳出提示點擊指定鏈接。

點擊鏈接將下載包含惡意軟件的壓縮包。

03

第三類釣魚站點


該類網站偽造了杉德支付平台。


同時,在安恆威脅分析平台中發現一個樣本攻擊手法與該團伙攻擊手法完全吻合,並且文件名為「杉德公鑰.rar」, 目前該釣魚網站已關閉。

該團伙使用的木馬程序經過多個版本的迭代,投遞過程到最終載荷落地分為多個階段,最終載荷為老牌遠控程序進行魔改,版本越新越輕量化,通過插件化形式實現一些特定功能。經統計發現從2021年8月至2022年1月出現的樣本的最終載荷為最初的版本(也可能有更早的版本,這裡設定為新控第一代版本),從2022年2月至2022年4月的最終載荷為第二代版本,從2022年5月至今的最終載荷為第三代版本。

樣本大致攻擊流程圖如下圖所示:該團伙通過釣魚網站誘導用戶下載惡意軟件,軟件執行後通過回連C2服務器下載一個壓縮包*.zip(*表示任意字母或數字)和一個解壓軟件8z.exe,通過創建的lnk文件運行8z.exe解壓*.zip,壓縮包中共包含4個文件,最終會將svchost.txt中包含的最終載荷加載至內存並執行。

統計的樣本中還發現部分樣本文件信息偽裝成其他軟件如qq音樂、360瀏覽器、Skype、酷狗音樂等,說明該團伙的投遞樣本可能不僅限於支付頁面的釣魚網站。從時間上來看,該團伙每隔一小段時間就會更換載荷分發服務器的ip網段,每隔一大段時間就會更換載荷分發服務器的ip。

此外,以地址「hxxp://118.99.36[.]1:280/*.zip?=0」為例,對全部可能的地址進行遍歷請求,發現其響應的的最終載荷回連了不同命令分發服務器,足以見得該團伙的基礎設施實力不容小覷。該行為可能由於該團伙考慮到被害主機的規模,均衡各個命令分發服務器的負載。



最終載荷功能分析


01

版本一


最初版本的最終載荷基於Gh0st遠程控制軟件進行魔改,通過接收服務器的命令實現不同的功能。


部分命令功能尚不明確,已知的功能包括如下:

命令號

實現功能

0

將某一標誌位置為1

1

獲取磁盤信息

8

創建對話框

0xA

枚舉系統服務

0x10或0x1C

監控屏幕

0x27

執行指定文件

0x28

關閉explorer.exe

0x29

清理瀏覽器痕跡

0x2A

獲取Chrome瀏覽器用戶配置信息

0x2B

獲取skype軟件聊天信息

0x2C

刪除firefox用戶配置文件

0x2D

獲取360瀏覽器用戶配置信息

0x2E

獲取qq瀏覽器用戶配置信息

0x2F

獲取搜狗瀏覽器用戶配置信息

0x3F

擊鍵記錄

0x45

錄音記錄

0x46

發送qq快速登錄請求,登錄成功後收集好友列表和群列表

0x48

收集系統信息

0x5A

彈出消息框

0x5B

在註冊表"SYSTEM\\CurrentControlSet\\Services\\BITS"創建子鍵"0683ac706ca80d19b68edaf8b3dd38b5"

0x5C

執行指定命令並獲取輸出結果

0x5D

關閉指定窗口

0x5F

卸載自身

0x60

清除事件日誌

0x64

其他功能如:打開或關閉cd口、發出聲響、震動當前窗口等

0x72

從指定鏈接下載文件並保存

0x74

安裝自啟動

0x75

修改顯示配置

0x76或0x77

向temp路徑寫入文件名以「Ru」開頭的文件

0x78

向temp路徑寫入「Plugin32.dll」文件

0x79

通過ie後台打開指定網頁

0x7A

通過默認瀏覽器後台打開指定網頁

0x7B

向註冊表「HKEY_LOCAL_MACHINE\SYSTEM\Setup」的「host」鍵寫入指定值

0x7F

獲取系統信息和遠程桌面狀態

0x9F

獲取谷歌瀏覽器用戶信息


02

版本二


第二代版本的最終載荷中集成了「大灰狼」遠程控制木馬的插件,包含命令控制模塊如下:


部分命令功能尚不明確,已知的功能包括如下:

命令號

實現功能

0

關閉指定進程

1

卸載自身

2

寫入配置文件Remark項

4

寫入配置文件Group項

6

從指定域名下載並保存文件

7

更新或卸載插件

8或9

使用ie後台打開網頁

0xA

使用指定瀏覽器後台打開網頁

0xC

執行指定命令

0x66

DllScreen插件:獲取桌面像素信息並截圖

0x69

DllShell插件:遠程執行cmd命令

0x6A

離線鍵盤記錄

0x6B

DllKeybo插件:鍵盤記錄

0x6D

DllSerice插件:枚舉服務插件

0x6E

DllReg插件:枚舉註冊表插件

0x6F

DllProxy插件

0x70

DllSerSt插件:遍歷所有系統用戶信息

0x71

結束explorer.exe進程

0x72

清理瀏覽器痕跡

0x73

獲取谷歌瀏覽器用戶配置信息

0x74

獲取Skype聊天信息

0x75

獲取Firfox瀏覽器用戶配置信息

0x76

獲取360瀏覽器用戶配置信息

0x77

獲取qq瀏覽器用戶配置信息

0x78

獲取搜狗瀏覽器用戶配置信息

0x79

寫入自啟動

0x7A

修改顯示設置

0x83

DllScreenhide插件

03

版本三


第三代版本的最終載荷中出現的大量的漢字用於描述收集的系統信息和命令執行結果,說明攻擊者極有可能來自國內。命令控制模塊中減少了可選的命令,但包含加載插件的功能。

已知的功能包括如下:

命令號

實現功能

0

將某一標誌位置為1

1

尚不明確

2或3

出現」加載成功」字符串,並分配內存區域,修改保護權限,可能是通過進程注入加載插件

4

出現字符串「清理插件完成」,並釋放分配的內存區域,可能為卸載插件功能

6

枚舉運行的進程的窗口標題

7

寫入指定內容到文件並執行該文件

8

從指定域名下載、保存並執行文件

9

寫入自啟動

0xA

修改指定註冊表鍵值

0x64

開啟連接

0x65

關閉連接

此外,在第三代版本的最終載荷與命令控制服務器建立連接後每10秒判斷一次系統忙閒狀態並發送至服務器,如果系統掛機時長超過3分鐘,則轉為「閒」狀態。

通過這種忙閒狀態判斷能夠讓攻擊者知道用戶是否在操作主機,以便能夠在主機空閒時悄悄操控主機,避開用戶使用階段。



總結


該團伙在半年多的活動時間裡,攻擊手法始終變化不大,都是通過回連載荷分發服務器獲取包含最終載荷的壓縮包和解壓軟件,並通過「白加黑」的加載方式將最終載荷注入到內存中,躲避反病毒軟件的檢測。經過關聯分析發現了該團伙掌握着大量的ip和域名,足以見得該團伙規模,而經過溯源發現的以支付頁面為主題的釣魚網站很有可能只是「冰山一角」。


防禦建議


目前安全數據部已具備相關威脅檢測能力,對應產品已完成IoC情報的集成:

●安恆產品已集成能力:


針對該事件中的最新IoC情報,以下產品的版本可自動完成更新,若無法自動更新則請聯繫技術人員手動更新:

(1)AiLPHA分析平台V5.0.0及以上版本

(2)AiNTA設備V1.2.2及以上版本

(3)AXDR平台V2.0.3及以上版本

(4)APT設備V2.0.67及以上版本

(5)EDR產品V2.0.17及以上版本

● 安恆雲沙盒已集成了該事件中的樣本特徵:


用戶可通過雲沙盒:

https://ti.dbappsecurity.com.cn/sandbox,對可疑文件進行免費分析,並下載分析報告

安恆安全數據部,下設獵影實驗室、零壹實驗室、析安實驗室和回聲實驗室,團隊以數據分析與技術研究為核心,致力於數據驅動安全創造用戶價值。


獵影實驗室,是一支關注APT攻防的團隊,主要的研究方向包括:收集APT攻擊組織&情報、APT攻擊檢測、APT攻擊分析、APT攻擊防禦、APT攻擊溯源以及最新APT攻擊手段的研究。




網絡安全研究宅基地


掃碼關注我們

一群技術宅

arrow
arrow
    全站熱搜
    創作者介紹
    創作者 鑽石舞台 的頭像
    鑽石舞台

    鑽石舞台

    鑽石舞台 發表在 痞客邦 留言(0) 人氣()