概述
奇安信威胁情报中心在日常终端运营过程中发现客户收到了定向的钓鱼邮件,附件名为“版權資訊及版權保護政策 Dentsu Taipei.zip”,内容包含恶意的lnk文件和正常的PDF诱饵,天擎EDR第一时间对脚本木马进行了拦截,虽然攻击者并未对我们的客户造成太大的损失,但该团伙使用的中文诱饵和后续木马引起了我们的兴趣。
经过一段时间调查,奇安信威胁情报中心将该犯罪团伙归为未知威胁组织类别,赋予其跟踪编号UTG-Q-007。该团伙攻击目标有中国、韩国、越南、印度等亚洲国家,行业涉及建筑、房产营销、互联网,并使用特有的ROTbot木马窃取加密货币、知识产权、社交账号等敏感数据,与faceduck Group(ducktail)盈利模式类似存在劫持facebook商业账号ads的行为,我们将相关细节披露给开源社区,供友商进行分析排查。
技术细节
在针对加密货币行业的攻击中投递的PDF如下:
投递的LNK元数据如下:
调用forfiles.exe并执行powershell脚本,最终启动mshta加载远程hta脚本文件,C2服务器opendir内容如下:
139.99.23.XX-Tru.hta主要为混淆的VBScript文件,主要功能为启动powershell脚本:
经过AES解密后再经Gzip解压后执行内容,如下:
攻击者使用了一种改进型的UAC绕过技术,为了规避杀软的拦截,攻击者创建了一个名为.omg的progID,并将ms-settings progID 中的 CurVer 条目指向.omg,当启动系统文件fodhelper.exe时会先使用ms-settings progID打开文件,并读取CurVer的内容,CurVer已经被指向到攻击者创建的.omg的ProgID中,最终执行$OMG变量中的ps脚本,$code内容如下:
从远程服务器下载压缩包并运行,攻击者一直在持续更新hta的执行链,在最新的LNK诱饵中执行链已经与上述完全不同,UTG-Q-007投递了多种类型的木马:NetSupport、Stealc、AsyncRAT、Rhadamanthys,其中不少为MAAS提供的家族,在我们剔除MAAS常用的木马后,发现UTG-Q-007使用的一款新型的木马,我们将其命名为ROTBot,PDB中出现了越南语。
PDB |
D:\\ROT\\ROT\\Build rot Export\\2024\\Bot Export Chiến\\14.225.210.XX-Chiến -Ver 2.0\\GPT\\bin\\Debug\\spoolsv.pdb |
ROTbot首先会获取受害者设备的基础信息,并用基础信息中的公网IP、进程列表、用户名、计算机名与内置的列表进行比对,如果出现在列表中则中止执行
检测完成后,会通过GET请求来获取第一阶段载荷,URL为google云文档
返回一个ChildBot.txt文件,里面的内容是经过两次Base64加密后的信息,解密后如下
其中第一段部分为下一阶段载荷获取的链接(google云文档),第二部分和第三部分用于拼接通知设备上线的URL(telegram bot) ,之后会从资源中释放一个DLL文件:SQLite.Interop.dl,到当前目录下。
将收集到的信息组成上线包,格式如下:
通过Telegram API上传给Telegram bot。
上线成功后会调用API函数getUpdates检测上线包是否发送成功,接着将获取的配置信息写入Setting.xml文件中。
最后在内存中加载自身资源文件AI.dll,并运行其 Plugin.Run方法,通过URLArgsMainBot 字段(第二个google文档链接)获取下一阶段配置文件
配置解密后分为两个部分,第一部分是C2,第二部分是互斥体名称
对当前屏幕进行截图并保存到temp文件夹下,图片文件名由16个随机字符组成,然后把屏幕截图通过API上传到telegram bot,以后每次向电报机器人发送消息时都会发送一张截图,并将消息附加在截图后
根据AVDetect字段选择性的进行持久化操作
如果存在kaspersky则不进行持久化,如果存在avg 和avast时则向tg bot发送如下消息:
窃取浏览器数据包含facebook、instagram、youtube、商业版tiktok等
攻击者想要劫持一些社交网账号的ads以谋取经济利益。攻击意图与faceduck Group(ducktail)团伙相似,我们在2023年终报告中详细描述了faceduck Group在国内的攻击活动[1],但是我们并没有发现UTG-Q-007与faceduck Group存在重叠的证据。
ROTbot最后会进入远控逻辑,回连第二阶段配置文件中的C2,经过分析发现控制代码源自于开源项目Quasar。
基础设施和受害者
基于奇安信威胁情报中心遥测数据,UTG-Q-007在承载hta脚本时使用了大量的跳板网站,可能购买了MAAS相关的服务:
跳板网站 | 网站描述 |
hxxps://solutionsinengineering.com/Source.hta | 澳大利亚建筑公司 wordpress |
hxxps://all-access-media.com/media/templates/site/localer-en.hta | 照片网站 |
hxxps://thecreativelion.com/wp-content/uploads/2021/11/xczxcxzcxzcxzcxzc23.hta | IT公司 wordpress |
hxxps://topmark-tuitioncentre.co.uk/wp-content/uploads/useanyfont/wp-contentplugins.hta | 教育机构 wordpress |
hxxps://elmejorlocal.com.co/wp-content/uploads/2018/05/cachexxx.hta | 商场 wordpress |
hxxps://one-stopspa.com/wp-content/uploads/2019/11/lolcaljefosijfoesnofiegoiesgnos.hta | 医疗美容 wordpress |
hxxps://embutidoskami.sdb.bo/wp-content/uploads/2015/06/HDDREQ.hta | 食品公司 wordpress |
hxxps://alexiakombou.com/wp-content/uploads/2021/12/EN-localer.hta | 个人博客 wordpress |
hxxp://mw-solaris.com/solaris.hta | 区块链游戏网站 |
除了跳板网站外,UTG-Q-007团伙注册的域名也呈现出一定的规律性。
ROTbot回连的C2服务器如下:
C2 |
14.225.210.97:12024 |
14.225.210.98:12024 |
上述IP隶属于越南邮电集团vnpt,该公司提供的VPS相对来讲较为廉价,在以往的攻击事件中我们只观察到有团伙使用vnpt的vps作为代理展开攻击活动,将其作为C2的情况并不多见。
ROTbot在2024年共使用了三个telegram bot:
Bot | first_name | username |
6548823856:AAFj_qauGdRc8HWmo1ZSBQ_EtviF7hK0GKo | Debug2024149XXbot | tetris149_bot |
6383173017:AAH2kFOJOIXulitofO7YV1QBI8VOzzFoA-Y | Chienthan1425Bot | chiendebug14225Bot |
6712371927:AAF6lsf9WRb4cggeJzfTgHTreot8-jO1CTk | AKhue14225XXBot | KhueVu14225Bot |
经过短暂的监控,我们观察到了一个位于越南的受害者,正在被窃取浏览器中youtube的凭证。
受害者上传的屏幕截图如下:
受害者被窃取数据时正在使用sketchup建筑软件进行建模,下方任务栏中装有CF穿越火线(由Tencent公司运营的FPS游戏),符合受害者所在地区的游戏生态,从version版本来看攻击者似乎已经迭代数个版本,ROTbot的活跃时间可能更早 ,虽然其仍处于debug阶段, 但在2024年初就表现出不俗的能力,奇安信威胁情报中心会持续对其进行监控。
总结
目前,基于奇安信威胁情报中心的威胁情报数据的全线产品,包括奇安信威胁情报平台(TIP)、天擎、天眼高级威胁检测系统、奇安信NGSOC、奇安信态势感知等,都已经支持对此类攻击的精确检测。
IOC
MD5:
120c6d7e78fb92b2feada47c9d8bbab0
b86ba0844db442df61a5889b004e615b
30705266725f9bad60ea12821acf740a
8bd7eece235cee14ab700f23b7ac29db
51bad062733f1babc99254ca06db0e46
90a4af96abea4d8179c789fa3c72ddcf
82456d523f39ecb87324542c918e7dd6
6dd355c754cc7d3bcdeeeef32fdc16c9
C2:
14.225.210.97:12024
14.225.210.98:12024
Hta载荷:
hxxp://149.248.79.118/149248XX/149248XX.hta
hxxp://154.56.56.41/nilxvnq.hta
hxxp://199.34.27.196/139.99.23.XX/139.99.23.XX-Tru.hta
hxxp://199.34.27.196/139.99.23.XX/139.99.23.XX.hta
hxxp://199.34.27.196/14.225.210.98/14.225.210.XX-Khue.hta
hxxp://199.34.27.196/14.225.210.XX/14.225.210.XX-Chien.hta
hxxp://45.9.190.201/dt-excv.hta
hxxp://51.79.208.192/T/T.hta
hxxp://80.76.51.250/Downloads/start-of-proccess.lnk
hxxp://81.19.140.150/crypto.hta
hxxp://82.115.223.34/pdf/final.hta
hxxp://83.217.9.36/manual.hta
hxxp://94.156.253.211/Downloads/run-dwnl-restart.lnk
hxxp://mw-solaris.com/solaris.hta
hxxps://alexiakombou.com/wp-content/uploads/2021/12/EN-localer.hta
hxxps://all-access-media.com/media/templates/site/localer-en.hta
hxxps://coingecko.bond/lass.hta
hxxps://coingecko.bond/PuttyUac.hta
hxxps://distribution.adrdownload.software:40430/e4f0340b1/Scan004_40599.hta
hxxps://elmejorlocal.com.co/wp-content/uploads/2018/05/cachexxx.hta
hxxps://embutidoskami.sdb.bo/wp-content/uploads/2015/06/HDDREQ.hta
hxxps://one-stopspa.com/wp-content/uploads/2019/11/lolcaljefosijfoesnofiegoiesgnos.hta
hxxps://solutionsinengineering.com/Source.hta
hxxps://thecreativelion.com/wp-content/uploads/2021/11/xczxcxzcxzcxzcxzc23.hta
hxxps://topmark-tuitioncentre.co.uk/wp-content/uploads/useanyfont/wp-contentplugins.hta
域名:
adobe.bar
adobe.charity
coingecko.bet
coingecko.bio
coingecko.bond
coingecko.center
coingecko.cfd
coingecko.codes
coingecko.space
dwnld.fun
dwnld.online
libreoffice.best
libreoffice.bet
libreoffice.bond
libreoffice.wiki
losbandygs.org.es
mlr.lat
op-09816me.lat
plomtenburg.com
post-b09276.info
tetromask.online
tetromask.site
update.bar
updts.space
www.losbandygs.org.es
www.plomtenburg.com
www.post-b09276.info
参考链接
[1].https://ti.qianxin.com/uploads/2024/02/02/dcc93e586f9028c68e7ab34c3326ff31.pdf
声明:本文来自奇安信威胁情报中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。