TAG:高级可持续攻击、APT、BlackTech、Plead、东亚、高科技、数字证书
TLP:白(报告转发及使用不受限制)
日期:2019-07-19
概要
BlackTech是一个主要针对东亚地区的商业间谍组织,其活动可追溯至2010年,其攻击目标包含中国和日本,目标行业包含金融、政府、科技、教育、体育和文化等,其目的是窃取机密数据(各种账密、机密文件等)和获取经济利益。该组织主要使用鱼叉式网络钓鱼邮件进行攻击,以包含恶意宏和漏洞的文档,以及使用RLO技术的可执行文件等作为诱饵,投递Plead木马。
近期,微步在线威胁情报云监测到BlackTech组织新的活动动向,分析之后发现:
BlackTech近期攻击活动频繁,国内高科技和金融等行业的多个目标被BlackTech攻陷,相关知识产权、数字证书等机密数据被窃取,损失惨重,建议引起高度重视。
BlackTech近期仍以鱼叉式网络钓鱼攻击为主,邮件附件为包含恶意宏的XLSM文档,宏使用AES加密,启用宏后会释放Plead木马。
此次攻击中的Plead木马使用疑似被盗的国内高科技企业的证书进行签名。Plead的特征是从本地和C2服务器获取一段加密的Shellcode至内存中执行,然后释放或下载其他Payload至内存中执行。
此次攻击目标包含开发人员,其目的很可能包含窃取受害企业的数字证书,储备资源,为之后其他攻击做准备。
微步在线通过对相关样本、IP和域名的溯源分析,共提取4条相关IOC,可用于威胁情报检测。微步在线的威胁情报平台(TIP)、威胁检测平台(TDP)、API等均已支持此次攻击事件和团伙的检测。
详情
基于黑客画像和狩猎系统,微步在线持续跟踪着全球170余黑客组织的活动动向。近期,微步在线狩猎系统发现BlackTech更新了武器库,针对中国大陆和中国台湾等地区的高科技和金融等行业目标发起定向攻击。BlackTech至少自2010年开始活跃,相关攻击活动最早于2014年被披露,BlackTech早期更多的是针对日本和中国台湾进行攻击。微步在线此前曾发布《BlackTech组织针对我国金融行业发起持续攻击》等报告披露BlackTech针对我国金融等行业的攻击活动。
在最近的鱼叉式网络钓鱼攻击中,BlackTech主要使用包含宏的XLSM文档作为载体投递Plead木马,宏使用AES加密。此次捕获的诱饵文档名为“RC**VS2017版本更新**.xlsm”,文档无实际内容,但从文件名可以看出,明显针对的是企业开发人员。文档打开界面如下:
打开诱饵文件并启用宏之后会释放slui.exe到开机启动目录。slui.exe是伪装成Windows激活程序的Plead木马,使用疑似被盗的中国高科技企业的证书签名。BlackTech此前曾滥用D-Link和Changing的数字证书签名木马,推测较大可能是BlackTech攻陷了这些企业并盗取了数字证书。
样本分析
下文对slui.exe进行分析,该样本基本信息如下:
SHA256 | 8704******0ca412eaebce49abcd2548bf8fb85f9ffe9066df0d07e49b6f8af6 |
SHA1 | 3377******88d62065e2fd3302d44cf3204b9a55 |
MD5 | 86b8******9161bee66b1966822d1d06 |
文件格式 | Win32 EXE |
文件大小 | 553 KB |
文件名 | slui.exe |
1. 样本运行后会加载一段Shellcode,获取自身所需要的API函数,然后将DLL文件吐出加载到内存空间。
2. Dump恶意的DLL文件对其进行分析,发现样本存在多处反调试。
3. 获取系统名称和用户名称等配置信息并加密,通过HTTP GET方式回传给C2。
4. 创建一个新线程以利用代理设置,以时间为随机数种子生成不同的配置信息,随后向C2服务器发送不同的HTTP请求,下载执行不同的Payload。
5. 进行截图操作,利用GetDC获取屏幕上下文句柄,根据GetSystemMetrics获取的像素值,创建一个DIB位图。
6. 获取监视器信息。
7. 设置钩子,获取键盘记录信息。
关联分析
在此次攻击活动中,BlackTech开始使用国内高科技企业的代码签名证书签名木马,这或许是由于此前滥用的D-Link和Changing的证书被吊销而影响了攻击效果,故而开始使用其他盗取的证书。而针对开发人员进行攻击,其目的很可能包含窃取受害企业的数字证书,储备资源,为之后其他攻击做准备。
数字证书是安全信任的基石。数字证书被滥用多会对企业的声誉造成较大影响,证书被盗通常也意味着企业内网的大范围失陷。知名企业证书被盗之后通常被用于发起APT攻击,潜在危害极大,相关企业应引起足够重视。
BlackTech典型的攻击手法包含鱼叉式网络钓鱼、中间人攻击和供应链攻击。其鱼叉式网络钓鱼攻击的典型流程如下:
1. 获取邮箱账密:通过搜索引擎等渠道和弱口令爆破等手段初步获取目标企业员工邮箱账密;
2. 发送钓鱼邮件:分析往来邮件,利用被盗员工邮箱给其他员工发送钓鱼邮件;
3. 植入木马:目标打开钓鱼邮件附件,被植入Plead木马,木马滥用D-Link和Changing等证书进行签名,以躲避杀软检测;
4. 持续控制:Plead木马具备获取系统、桌面截图、监视器和文件列表等信息,以及下载执行Payload(多数情况下是下载功能相近的木马)的功能;
5. 内网渗透:利用窃取的邮箱向其他员工发送钓鱼邮件,进行进一步的内网渗透;
6. 目标达成:窃取机密数据(各种账密、数字证书、机密文档、知识产权),进行持续控制。
综合分析BlackTech组织的攻击活动和TTPs后,对BlackTech画像如下:
组织名称 | BlackTech |
组织别名 | 黑凤梨、T-APT-03 |
组织简介 | BlackTech是一个主要针对东亚地区的商业间谍组织,其活动可追溯至2010年,其攻击目标包含中国和日本,目标行业包含金融、政府、科技、教育、体育和文化等,其目的是窃取机密数据(各种账密、机密文件等)和获取经济利益。该组织主要使用鱼叉式网络钓鱼邮件进行攻击,以包含恶意宏和漏洞的文档,以及使用RLO技术的可执行文件等作为诱饵,投递Plead木马。 |
组织背景 | 东亚,熟悉中文 |
活跃时间 | 2010至今 |
活跃状态 | 活跃 |
目标地域 | 中国、日本 |
目标行业 | 金融、政府、科技、教育、体育、文化 |
攻击手法 | 鱼叉式网络钓鱼、供应链攻击、中间人攻击、邮件附件密码保护、社工、RLO、漏洞、滥用正规数字证书签名木马、C2域名伪装、宏使用AES加密 |
攻击目的 | 窃取各种账密、数字证书、机密文档、知识产权,以及获取经济利益 |
针对平台 | Windows、Linux |
声明:本文来自安全威胁情报,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。