Operation EICAR(APT-Q-28):针对证券金融行业的定向猎杀活动

时间:2021-10-18 作者:奇安信威胁情报中心

分享到:

    概述

    奇安信威胁情报中心在日常威胁发现过程中发现一个专门针对金融、证券、软件、游戏等行业进行攻击的APT团伙,主要目的为敛财和发起供应链打击,盗用了大量的证券服务和软件公司的白证书,样本较为轻量化,外加带有窃取而来的白签名,免杀效果极好,较难发现。

    经过溯源我们发现该团伙最晚于2019年末开始活跃,具有很强的渗透能力,代码能力较弱。通过使用Web层面的Nday漏洞的方式对目标进行渗透,横向移动拿到了域管的账号密码,经过长期摸排后向高价值人员的计算机中植入木马,我们将该团伙命名为EICARGroup,奇安信内部跟踪编号为APT-Q-28。

    该攻击活动的第一阶段的木马多为.net编写的Downloader,攻击者会对不同变种的木马采用不同的执行策略,对于功能非常简单的变种,攻击者一般不会打上签名,以减少签名暴露的概率。后续持续化使用的dll由VC编写带有白签名。

    与之前的文章类似,本文内容也仅仅是对在过去一段时间内攻击手法做一个分享,不讨论受害单位。

    样本分析

    攻击者在下发木马时,先尝试执行bitsadmin.exe从远程服务器拉取payload,但被拦截,后续通过csc.exe和cvtres.exe的现场编译方式生成对应的下载套件。

    f.exe通过外部传参从远程服务器下载加密的shellcode输出到本地文件。

Operation EICAR(APT-Q-28):针对证券金融行业的定向猎杀活动

    接着攻击者调用fl.exe,读取目录的文件解密并内存加载。

Operation EICAR(APT-Q-28):针对证券金融行业的定向猎杀活动

    解密出来的shellcode如下,msf生成的payload:

Operation EICAR(APT-Q-28):针对证券金融行业的定向猎杀活动

    攻击者在横向移动过程中还会调用wmic远程执行processcall的方式启动相关进程,再次过程中使用了不同的downloader变种。

    核心逻辑如下:

Operation EICAR(APT-Q-28):针对证券金融行业的定向猎杀活动

    核心逻辑如下,C2硬编码。

Operation EICAR(APT-Q-28):针对证券金融行业的定向猎杀活动

    带有签名,混淆版的downloader。

Operation EICAR(APT-Q-28):针对证券金融行业的定向猎杀活动

    除此之外攻击者还会尝试调用msiexec去远程执行带有签名的msi文件。

    被窃取的签名信息如下:

Operation EICAR(APT-Q-28):针对证券金融行业的定向猎杀活动

    功能与上述一致。Msf在后续会下发一些如SharpChromium等开源的浏览器窃密器和键盘记录工具,获取目标机器上的敏感数据。

    攻击者在释放VC编写的持久化模块时,会先执行wmic获取第三方软件的进程ID、文件路径、名称

    wmicprocesswherename="xshell.exe"getprocessid,executablepath,name

    在对应软件的目录下释放名为Version.dll的后门模块用于持久化。

    签名如下:

Operation EICAR(APT-Q-28):针对证券金融行业的定向猎杀活动

    样本带有反沙箱的操作,解密执行msfpayload

Operation EICAR(APT-Q-28):针对证券金融行业的定向猎杀活动

    该团伙所用的msfpayload中均出现了字符串:"$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*"。

Operation EICAR(APT-Q-28):针对证券金融行业的定向猎杀活动

    经过查询我们发现该字符串的含义是反病毒软件测试文件,可能是国外友商之间的约定。

Operation EICAR(APT-Q-28):针对证券金融行业的定向猎杀活动

    很显然该字符串是攻击者手动植入进shellcode中的,这引起了我们的兴趣。

    测试文件滥用

    2021年上半年我们内部跟踪某团伙时,发现样本后续解密的msfpayload中也出现了这些字串,我们暂且将该团伙命名为GroupA,该团伙投递的样本均为SFX打包文件,样本如下:

Operation EICAR(APT-Q-28):针对证券金融行业的定向猎杀活动

    SFX信息如下:

Operation EICAR(APT-Q-28):针对证券金融行业的定向猎杀活动

    诱饵内容与新冠疫情、经费有关,txt诱饵如下:

Operation EICAR(APT-Q-28):针对证券金融行业的定向猎杀活动

    jpg诱饵如下:

Operation EICAR(APT-Q-28):针对证券金融行业的定向猎杀活动

Operation EICAR(APT-Q-28):针对证券金融行业的定向猎杀活动

    样本会判断当前语言,排除英文并检测虚拟机

Operation EICAR(APT-Q-28):针对证券金融行业的定向猎杀活动

    解密payload。

Operation EICAR(APT-Q-28):针对证券金融行业的定向猎杀活动

    最后进行内存加载。

Operation EICAR(APT-Q-28):针对证券金融行业的定向猎杀活动

    解密后的msfpayload如下:

Operation EICAR(APT-Q-28):针对证券金融行业的定向猎杀活动

    我们并没有十足的把握确认GroupA与EICARGroup存在强关联,无论是解密算法、攻击目标还是攻击手法均与EICARGroup不同。这意味着不止一个团伙喜欢在shellcode中插入测试文件字符串,也可能这些团伙向相同的供应商购买的木马,无论如何,这都值得我们对这种现象进行持续跟踪。

    总结

    目前,基于奇安信威胁情报中心的威胁情报数据的全线产品,包括奇安信威胁情报平台(TIP)、天擎、天眼高级威胁检测系统、奇安信NGSOC、奇安信态势感知等,都已经支持对此类攻击的精确检测。

Operation EICAR(APT-Q-28):针对证券金融行业的定向猎杀活动

    IOC

    EICARGroup

    MD5:

    01cc52333c576d36849cb0f118f04877

    a65d0d869958ce0d23ff9e466193ac59

    9dc8cc19242c1f68de9690823ebbf1da

    c813095a9314be9ab40f4013459c85de

    406af6c315bc156d217ed4bd413132ea

    98b34aded523537bf017af4611d823b0

    ef2d17efa530c40fac08b04e66781a03

    CC:

    www.yf*****fd.com

    www.u****dg.com

    www.h********fi.com

    www.y*********ng.com

    www.mic********ing.com

    4*.**.**.2*0:80

    4*.2**.1**.10*:80

    4*.**.2**.14*:80

    GroupA

    CC:

    1*0.*1*.2*.*52:3333

    4*.2*6.1*7.1*9:5656

    1*5.*4.1*3.*0*:5656

    9*.2**.1*9.5*:5555

奇安信 95015网络安全服务热线

95015网络安全服务热线

扫一扫关注

奇安信 在线客服 奇安信 95015

您对奇安信的任何疑问可用以下方式告诉我们

将您对奇安信的任何疑问

用以下方式告诉我们