概要
Quick Heal 安全 Labs发现了一个针对印度制造和出口行业的新的垃圾邮件运动。在此活动中,恶意软件参与者正在利用多种复杂技术绕过防御机制。在我们的分析中,我们看到此活动中使用了几种远程访问工具(RAT)。其中一些是–
- 特斯拉特工
- Remcos 鼠
- 纳米芯大鼠
攻击始于网络钓鱼电子邮件,其中包含带有恶意VBA宏的MS Office PowerPoint文件。执行后,恶意宏会使用预先存在的合法软件从Pastebin下载恶意有效负载,然后进行攻击
技术细节
此广告系列使用了多种规避技术,例如-
- 使用LoLBins或非本地二进制文件
- 在合法文件托管服务Pastebin上托管有效负载
- 绕过AMSI(反恶意软件扫描接口)
- 内存有效载荷执行– fileless technique
陆地生活二进制文件是操作系统上的内置工具,通常用于合法目的。攻击者出于恶意目的滥用这些工具,以便他们可以实现应用程序控制和白名单绕过。它还提供对自定义恶意二进制文件的最少使用。通过使用Pastebin进行有效负载托管,他们可以绕过网络安全控制。 AMSI绕过技术用于绕过内存中的PowerShell有效负载检测。最终的有效负载已下载,并通过利用无文件技术,使用Windows本机二进制文件进行了注入。
初始攻击向量
以下是垃圾邮件广告系列中典型电子邮件的示例:

第1阶段VBA宏
一旦受害者打开附件,启用VBA宏就会执行该附件-下图显示了恶意宏。它通过使用参数hXXp [:] // j [。] mp / asdxasffgdasodkasodkaos执行mshta.exe进一步下载有效负载的第二阶段

第二阶段MSHTA
The shortened link hXXp[:]//j[.]mp/asdxasffgdasodkasodkaos redirects to hXXps://pastebin.com/raw/p0L3ZEdv. This link hosts hta files. Below fig, 3 shows decoded VBS code. This code is downloaded and executed by mshta.exe.

如上面的VBScript所示,代码被多种技术所混淆。 StrReverse函数用于对一些字符串进行模糊处理。它执行多种恶意活动,例如使用mshta运行VBScript代码的下一阶段,添加多个mshta的自动运行注册表项,创建计划任务以每隔80分钟创建一次mshta等。
上面的VBScript代码引用了四个不同的Pastebin链接,如下所示:
- hXXp:// pastebin [。] com / raw / 9R26f905:
- 在mshta的帮助下执行第3阶段VBScript。我们将在阶段3中进行讨论。
- hXXp:// pastebin [。] com / raw / veYin3zL:
- 通过WMI生成PowerShell.exe,以运行在hXXp:\\ pastebin [。] com \ raw \ pJndi7zC托管的另一个二进制文件。在分析时将其去除。
- hXXp:// pastebin [。] com / raw / EfCVqG1K
- 此VBScript创建powershell.exe的自动运行注册表项以执行注册表项的内容“HKCU\Software\mogale”。该注册表包含比特币劫持者代码,部分代码如下所示:

- hXXp:// pastebin [。] com / raw / P2EtwdW6:
- 此代码执行PowerShell,以从hXXp:// pastebin [。] com / raw / eyGv9x4B加载内容并在内存中执行,但是在分析时已删除此粘贴。
MSHTA第3阶段:
在第3阶段中,通过mshta.exe来执行pastebin托管的VBScript。下面解码的VBScript代码如下所示:

此VBScript代码执行以下任务–
1.下载并执行内存中的AMSI旁路DLL
图6显示了AMSI旁路DLL的代码-AMSI是为反恶意软件供应商提供的反恶意软件扫描接口。消除模糊化脚本(如VBS,PowerShell,VBA Macro等)的效率非常高。它在执行脚本时扫描脚本内容。此接口对于检测无文件恶意软件也很有用,尤其是在PowerShell脚本的情况下。为了绕过此高级检测,下面的代码用于修补amsi.dll的AmsiScanBuffer()函数。



2.下载并执行.NET注入器DLL
注入器DLL的以下功能负责在提供的过程中注入最终的有效负载。在这种情况下,通过调用rOnAlDo :: ChRiS(‘InstallUtil.exe’,$ Cli2)功能,如图所示。 5,

3.最终有效载荷执行
最终的有效负载托管在另一个Pastebin上,如下图10所示。在我们进行分析时,我们仅发现特斯拉特工,但在过去的某些情况下,该活动是分发Remcos和NanoCore 鼠。

特斯拉特工有效载荷分析
最终代理Tesla的有效负载被注入称为InstallUtil.exe的Windows本机进程之一。下图显示了在InstallUtil.exe内存中注入的Agent Tesla二进制文件。

特斯拉特工(Agent Tesla)是一种信息窃取软件,用于从受害者的机器中窃取个人信息,例如浏览器存储的凭据,FTP密码等。它还执行键盘记录和屏幕捕获活动。
所有被盗的信息都发送到C2服务器。


结论
这个运动以各种名字着称– ‘Roma225’, ‘RG’ and ‘Aggah’是一些受欢迎的。自2020年4月以来,我们一直在追踪它的发展轨迹。该运动的攻击者并没有将自己局限于地理/部门,因为类似的运动以前曾针对全球各地的各种组织(包括政府部门组织)。
此活动背后的威胁参与者可能使用Pastebin PRO帐户托管其有效负载。使用j.mp,bit.ly和Pastebin等公开可用的系统可以帮助威胁行为者隐藏可能不受安全解决方案阻止的合法服务。由于信任度低,安全界正在将此活动与巴基斯坦的Gorgon集团联系起来。
我们建议用户避免打开附件&单击未经请求的电子邮件中的Web链接。组织应考虑在整个环境中禁用宏
国际奥委会
- 9a6ffcd34b92551d3420a91cfcb653b6
- 9a6ffcd34b92551d3420a91cfcb653b6
- 60FB2ACEB496C3A81C91D37AC58F93D5
- FD9266A2E0F33EE4C26824CDF2743BFC
- 536D03572918F4D37E3830A81D276E82
- A4F41AF9DB1535148CDAEC0B79FCBBC9
- C6552C9750A6217070FCD6EF59A4E6B6
- 0AC712F8D1B974F4204B905E4591BA48
- 47127206546C2C10699BDEBE121959BD
- CD8486E95DC1BE8D7BE340EAFD9DC205
- 513E8704E63139ADE4BAE0E2AF117089
- A5D8A638F68FD463A9A38194F8E1E88E
- 9BCEB4ED215E8950DDDB102789638C41
主题专家
- 阿尼鲁达(Aniruddha Dolas)
- 卡尔佩什·曼特里
- 帕万库玛(Pavankumar Chaudhari)
没意见