• 新闻
  • 安全
  • 产品展示
  • 关于Seqrite
序列博客 博客
  • 新闻
  • 安全
  • 产品展示
  • 关于Seqrite
首页  /  网络安全 • 网络钓鱼 • 零售/制造  /  针对印度制造业和出口行业的高级运动
当心:网络钓鱼电子邮件正在摧毁制造业和出口部门。
06 七月 2020

针对印度制造业和出口行业的高级运动

撰写者 帕万库玛(Pavankumar Chaudhari)
帕万库玛(Pavankumar Chaudhari)
网络安全, 网络钓鱼, 零售/制造
预计阅读时间: 5 分钟

概要

Quick Heal 安全 Labs发现了一个针对印度制造和出口行业的新的垃圾邮件运动。在此活动中,恶意软件参与者正在利用多种复杂技术绕过防御机制。在我们的分析中,我们看到此活动中使用了几种远程访问工具(RAT)。其中一些是–

  • 特斯拉特工
  • Remcos 鼠
  • 纳米芯大鼠

攻击始于网络钓鱼电子邮件,其中包含带有恶意VBA宏的MS Office PowerPoint文件。执行后,恶意宏会使用预先存在的合法软件从Pastebin下载恶意有效负载,然后进行攻击

技术细节

此广告系列使用了多种规避技术,例如-

  • 使用LoLBins或非本地二进制文件
  • 在合法文件托管服务Pastebin上托管有效负载
  • 绕过AMSI(反恶意软件扫描接口)
  • 内存有效载荷执行– fileless technique

陆地生活二进制文件是操作系统上的内置工具,通常用于合法目的。攻击者出于恶意目的滥用这些工具,以便他们可以实现应用程序控制和白名单绕过。它还提供对自定义恶意二进制文件的最少使用。通过使用Pastebin进行有效负载托管,他们可以绕过网络安全控制。 AMSI绕过技术用于绕过内存中的PowerShell有效负载检测。最终的有效负载已下载,并通过利用无文件技术,使用Windows本机二进制文件进行了注入。

初始攻击向量

以下是垃圾邮件广告系列中典型电子邮件的示例:

图1:网络钓鱼电子邮件
图1:网络钓鱼电子邮件

第1阶段VBA宏

一旦受害者打开附件,启用VBA宏就会执行该附件-下图显示了恶意宏。它通过使用参数hXXp [:] // j [。] mp / asdxasffgdasodkasodkaos执行mshta.exe进一步下载有效负载的第二阶段

图2:VBA宏代码
图2:VBA宏代码

第二阶段MSHTA

The shortened link hXXp[:]//j[.]mp/asdxasffgdasodkasodkaos  redirects to hXXps://pastebin.com/raw/p0L3ZEdv. This link hosts hta files. Below fig, 3 shows decoded VBS code. This code is downloaded and executed by mshta.exe.

图3:来自Pastebin的已解码VBScript代码
图3:来自Pastebin的已解码VBScript代码

如上面的VBScript所示,代码被多种技术所混淆。 StrReverse函数用于对一些字符串进行模糊处理。它执行多种恶意活动,例如使用mshta运行VBScript代码的下一阶段,添加多个mshta的自动运行注册表项,创建计划任务以每隔80分钟创建一次mshta等。

上面的VBScript代码引用了四个不同的Pastebin链接,如下所示:

  • hXXp:// pastebin [。] com / raw / 9R26f905:
    • 在mshta的帮助下执行第3阶段VBScript。我们将在阶段3中进行讨论。
  • hXXp:// pastebin [。] com / raw / veYin3zL:
    • 通过WMI生成PowerShell.exe,以运行在hXXp:\\ pastebin [。] com \ raw \ pJndi7zC托管的另一个二进制文件。在分析时将其去除。
  • hXXp:// pastebin [。] com / raw / EfCVqG1K
    • 此VBScript创建powershell.exe的自动运行注册表项以执行注册表项的内容“HKCU\Software\mogale”。该注册表包含比特币劫持者代码,部分代码如下所示:
图4:部分比特币劫持者代码
图4:部分比特币劫持者代码
  • hXXp:// pastebin [。] com / raw / P2EtwdW6:
    • 此代码执行PowerShell,以从hXXp:// pastebin [。] com / raw / eyGv9x4B加载内容并在内存中执行,但是在分析时已删除此粘贴。

MSHTA第3阶段:

在第3阶段中,通过mshta.exe来执行pastebin托管的VBScript。下面解码的VBScript代码如下所示:

图5:来自Pastebin的已解码VBScript代码
图5:来自Pastebin的已解码VBScript代码

此VBScript代码执行以下任务– 

1.下载并执行内存中的AMSI旁路DLL

图6显示了AMSI旁路DLL的代码-AMSI是为反恶意软件供应商提供的反恶意软件扫描接口。消除模糊化脚本(如VBS,PowerShell,VBA Macro等)的效率非常高。它在执行脚本时扫描脚本内容。此接口对于检测无文件恶意软件也很有用,尤其是在PowerShell脚本的情况下。为了绕过此高级检测,下面的代码用于修补amsi.dll的AmsiScanBuffer()函数。

图6:代码显示了Amsi类的旁路功能
图6:代码显示了AMSI类的旁路功能

 

图7:修补AmsiScanBuffer()函数的代码
图7:修补AmsiScanBuffer()函数的代码

 

图8:AMSI byapss DLL中存在的字符串
图8:AMSI byapss DLL中存在的字符串

2.下载并执行.NET注入器DLL

注入器DLL的以下功能负责在提供的过程中注入最终的有效负载。在这种情况下,通过调用rOnAlDo :: ChRiS(‘InstallUtil.exe’,$ Cli2)功能,如图所示。 5,

 

图9:.Net注入器dll的功能
图9:.Net注入器dll的功能

3.最终有效载荷执行

最终的有效负载托管在另一个Pastebin上,如下图10所示。在我们进行分析时,我们仅发现特斯拉特工,但在过去的某些情况下,该活动是分发Remcos和NanoCore 鼠。

图10:Pastebin上托管的最终有效负载
图10:Pastebin上托管的最终有效负载

特斯拉特工有效载荷分析

最终代理Tesla的有效负载被注入称为InstallUtil.exe的Windows本机进程之一。下图显示了在InstallUtil.exe内存中注入的Agent Tesla二进制文件。

图11:有效载荷注入InstallUtil.exe
图11:有效载荷注入InstallUtil.exe

特斯拉特工(Agent Tesla)是一种信息窃取软件,用于从受害者的机器中窃取个人信息,例如浏览器存储的凭据,FTP密码等。它还执行键盘记录和屏幕捕获活动。

所有被盗的信息都发送到C2服务器。

图12:浏览器凭证窃取代码
图12:浏览器凭证窃取代码

 

图13:有效负载连接到Web面板
图13:有效负载连接到Web面板

结论

这个运动以各种名字着称– ‘Roma225’, ‘RG’ and ‘Aggah’是一些受欢迎的。自2020年4月以来,我们一直在追踪它的发展轨迹。该运动的攻击者并没有将自己局限于地理/部门,因为类似的运动以前曾针对全球各地的各种组织(包括政府部门组织)。

此活动背后的威胁参与者可能使用Pastebin PRO帐户托管其有效负载。使用j.mp,bit.ly和Pastebin等公开可用的系统可以帮助威胁行为者隐藏可能不受安全解决方案阻止的合法服务。由于信任度低,安全界正在将此活动与巴基斯坦的Gorgon集团联系起来。

我们建议用户避免打开附件&单击未经请求的电子邮件中的Web链接。组织应考虑在整个环境中禁用宏

国际奥委会

  • 9a6ffcd34b92551d3420a91cfcb653b6
  • 9a6ffcd34b92551d3420a91cfcb653b6
  • 60FB2ACEB496C3A81C91D37AC58F93D5
  • FD9266A2E0F33EE4C26824CDF2743BFC
  • 536D03572918F4D37E3830A81D276E82
  • A4F41AF9DB1535148CDAEC0B79FCBBC9
  • C6552C9750A6217070FCD6EF59A4E6B6
  • 0AC712F8D1B974F4204B905E4591BA48
  • 47127206546C2C10699BDEBE121959BD
  • CD8486E95DC1BE8D7BE340EAFD9DC205
  • 513E8704E63139ADE4BAE0E2AF117089
  • A5D8A638F68FD463A9A38194F8E1E88E
  • 9BCEB4ED215E8950DDDB102789638C41

主题专家

  • 阿尼鲁达(Aniruddha Dolas)
  • 卡尔佩什·曼特里
  • 帕万库玛(Pavankumar Chaudhari)

 Previous Post教育部门是否对新兴的网络威胁视而不见...
下一篇文章 “蜂蜜陷阱”行动:APT36瞄准国防组织,...
帕万库玛(Pavankumar Chaudhari)
关于帕万库玛(Pavankumar Chaudhari)

Pavankumar是Quick Heal Technologies的技术主管(研发),也是漏洞研究与分析团队的一部分。

帕万库玛(Pavankumar Chaudhari)的相关文章»

相关文章

  • 在这个假期,保护您的企业免受专门的网络攻击。

    假期的网络安全:将网络攻击的风险降至最低

    2020年12月11日
  • 加速企业数字化转型是否会导致网络威胁?

    加速企业数字化转型是否会导致网络威胁?

    2020年11月25日
  • 网络攻击渗透到IT-OT融合的格局中

    IT-OT融合为企业带来了网络安全漏洞

    2020年11月20日

没意见

发表评论。您的电子邮件地址将不会被发布。

取消回复

验证码图片
刷新图像

热门帖子

  • Thanos勒索软件通过RIPlace战术逃避反勒索软件的保护 Thanos勒索软件通过RIPlace战术逃避反勒索软件的保护 2020年11月18日
  • 在企业中拥有入侵防御/检测系统的好处 在企业中拥有入侵防御/检测系统的好处 2018年2月15日
  • 您应该采取的5项安全措施来保护您的组织’s network 您应该采取的5项安全措施来保护您的组织’s network 2017年8月11日

特色作者

  • 序列
    序列

    关注我们以获取与安全相关的最新更新和见解...

    阅读更多..
  • 维拉·塔里科特卡(Viraj Talikotkar)
    维拉·塔里科特卡(Viraj Talikotkar)

    Viraj是Quick Heal Technologies的首席技术作家。他一直在...

    阅读更多..
  • 桑杰·卡特(Sanjay Katkar)
    桑杰·卡特(Sanjay Katkar)

    桑杰·卡特(Sanjay Katkar)是...的联合董事总经理兼首席技术官

    阅读更多..

最新的帖子

  • 假期的网络安全:将网络攻击的风险降至最低

    假期的网络安全:将网络攻击的风险降至最低

    2020年12月11日
  • 网络保险可以代替网络安全吗?

    网络保险可以代替网络安全吗?

    2020年12月7日
  • 加速企业数字化转型是否会导致网络威胁?

    加速企业数字化转型是否会导致网络威胁?

    2020年11月25日

保持更新!

主题

Linux防毒软件 (10) 服务器防病毒 (9) 自带设备 (9) 网络攻击 (31) 网络攻击 (56) 网络攻击 (12) 网络安全 (270) 网络安全 (25) 网络威胁 (29) 网络威胁 (44) 数据 (10) 数据泄露 (50) 数据泄露 (27) 资料遗失 (28) 防止数据丢失 (33) 数据保护 (21) 数据安全 (13) DLP (49) 加密 (16) 端点安全 (102) 企业安全 (14) 每股收益 (9) 利用 (12) 防火墙 (11) 骇客 (9) 事件响应计划 (9) 物联网 (9) 恶意软件 (58) 恶意软件攻击 (22) 恶意软件攻击 (12) MDM (25) 移动设备管理 (9) 网络安全 (18) 补丁管理 (12) 网络钓鱼 (16) 勒索软件 (54) 勒索软件攻击 (29) 勒索软件攻击 (30) 勒索软件保护 (12) 序列 (24) 序列加密 (27) 序列 每股收益 (33) 序列服务 (16) UTM (34) 脆弱性 (10)

产品展示

  • 端点安全(EPS)
  • 序列加密管理器
  • 序列 Endpoint 安全云
  • 云端安全
  • 序列 mSuite
  • 序列 MobiSMART
  • 统一威胁管理
  • 序列安全Web网关
  • 服务器防病毒
  • Linux防毒软件

资源资源

  • 白皮书
  • 数据表
  • 威胁报告
  • 说明书
  • 实例探究

关于我们

  • 公司简介
  • 领导
  • 为什么选择SEQRITE?
  • 获奖情况& Certifications
  • 编辑部

档案

  • 按日期
  • 按类别

©2020 Quick Heal Technologies Ltd.(以前称为Quick Heal Technologies Pvt。Ltd.) Cookie政策 私隐政策

我们的网站使用cookie。 Cookies使我们能够提供最佳体验,并帮助我们了解访问者如何使用我们的网站。
浏览本网站即表示您同意我们的 Cookie政策。