应用木马化TeamViewer针对多个国度政府机构的进击行为 | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

应用木马化TeamViewer针对多个国度政府机构的进击行为

申博_安全防护 申博 202次浏览 已收录 0个评论

申博网络安全巴士站

申博-网络安全巴士站是一个专注于网络安全、系统安全、互联网安全、信息安全,全新视界的互联网安全新媒体。

————————————-

简介

近日Check Point的研讨人员发明了几起网络进击事宜,主如果针对美国财政部分的官员和几位欧洲大使馆代表。此次进击以伪装成秘要文件的歹意附件最先,经由历程将TeamViewer(一个盛行的长途接见和桌面共享软件)兵器化来完全掌握受沾染的电脑。

在研讨了此次进击的沾染链和基础设施后,我们将其比对了先前的进击案例,并将进击者锁定在了一名俄语黑客身上。

在本文中,我们将议论沾染链、进击目的、进击者运用的对象和进击背地的可以或许缘由。

沾染链

沾染始于一个带有歹意宏的XLSM文档,该文档以“军事融资设计”(Military Financing Program)为主题,经由历程电子邮件发送给潜伏目的:

电子邮件主题:军事融资设计

文档称号:“Military Financing Program.xlsm”

sha – 256:efe51c2453821310c7a34dca3054021 d0f6d453b7133c381d75e3140901efd12

应用木马化TeamViewer针对多个国度政府机构的进击行为

图1:歹意文件

这份仿造优良的Excel文件,不但配景印上了美国标记,还在文档底部写上了“最高秘要”。虽然进击者努力使文档看起来具有说服力,但他们好像疏忽了文档中遗留的一些西里尔语的身分(好比事情簿的称号),而这可以或许会资助我们展现进击源的更多信息。

应用木马化TeamViewer针对多个国度政府机构的进击行为

图2:沾染链

一旦宏启用,有两个文件将从XLSM文档中的十六进制编码单元格中被提取。第一个文件是一个正当的AutoHotkeyU32.exe顺序,另一个则是AutoHotkeyU32.ahk,它是一个AHK剧本,卖力向C&C效劳器发送POST请求,并可以或许吸收其他AHK剧本URL用以下载和实行。

别的,有三个分歧的AHK剧本在效劳器上守候响应以开启下一阶段:

· hscreen.ahk:卖力截取受害者PC的屏幕截图并将其上传到C&C效劳器。

· hinfo.ahk:将受害者的用户名和计算机信息发送到C&C效劳器。

· htv.ahk:下载并实行TeamViewer的歹意版本,并将登录凭据发送到C&C效劳器。

歹意TeamViewer DLL(TV.DLL)经由历程DLL side-loading手艺加载,用于经由历程钩住顺序挪用的Windows API为TeamViewer增加更多“功用”。

修正的功用包孕:

· 隐蔽TeamViewer的接口,如许用户就不会晓得它正在运转。

· 将以后TeamViewer会话凭据保存到文本文件中。

· 许可传输和实行分外的EXE或DLL文件。

应用木马化TeamViewer针对多个国度政府机构的进击行为

图3:MoveFileW函数钩子:增加payload“实行”和“注入”功用。

进击目的

如上一节所述,AutoHotKey剧本的重要用处之一是从受沾染的PC上传屏幕截图。

这些截图上传到的目次是袒露的,可以或许经由历程阅读特定的URL检察:

应用木马化TeamViewer针对多个国度政府机构的进击行为

图4:翻开带有受害者截图的目次

然则,这些截屏文件会按期从效劳器中删除,并且终究“open directory”视图会被禁用。

在那之前,我们可以或许肯定此次进击的局部受害者,因为大多数截屏都包含了身份信息。

依据我们在本身的遥测中观察到的目的,和从效劳器上网络到的信息,我们可以或许列出局部目的国度的名单:

· 尼泊尔

· 圭亚那

· 肯尼亚

· 意大利

· 利比里亚

· 百慕大

· 黎巴嫩

仅仅看它针对的国度名单,很难推断这场运动背地是不是有地缘政治结果,因为它针对的不是某个特定地区,并且受害者来自天下各地。

不外,观察到的受害者名单显现,进击者对大众金融部分迥殊感兴致,因为他们好像都是进击者“经心遴选”的税务部分官员。

行动溯源

我们观察到,该进击者在其以往的进击行动中都用到了TeamViewer的木马化版本,但歹意DLL的特征和沾染的第一阶段都跟着时候的推移发生了转变。

流传

要挟行动者运用的初始沾染载体也跟着时候的推移而发生转变,在2018年,我们曾在他制作的多起进击案例中看到过自解压档案的多种用处,而不是运用AutoHotKey向用户显现钓饵图象的歹意文档。

比方,自解压档案“Положениеопрокуратурегорода(приказомпрокуроракрая)_25.12.2018.DOC.exe”(翻译成“市检察官办公室条例”(按地区检察官的敕令)_25.12.2018.DOC.exe”)显现图象以下:

应用木马化TeamViewer针对多个国度政府机构的进击行为

图6:钓饵图片

这张照片显现的是哈萨克斯坦的官员,宣布于哈萨克斯坦外交部网站。该可实行文件的原始称号及其显现的内容好像都注解,它的目的是俄语受害者。

另有其他一些行动也是针对俄语人群的,个中就有一份兵器化的Excel文档中提到了须要启用宏能力显现文件完全的俄语内容:

应用木马化TeamViewer针对多个国度政府机构的进击行为

图7:钓饵文件

SHA-256: 67d70754c13f4ae3832a5d655ff8ec2c0fb3caa3e50ac9e61ffb1557ef35d6ee

启用宏后文件将显现金融相干内容:

应用木马化TeamViewer针对多个国度政府机构的进击行为

图8:启用宏后的钓饵文档

上述两种分歧的流传要领都显现了进击者的目的重要针对俄语人群,同时也显现了进击者对金融天下的兴致。

Payload

域渗入之在运动目次中征采: 不受限定的委派和林信托

在这篇文章中,我将针对威尔的文章中解释的攻击变量提供初步的侦查指导,主要关注一些通常由强制机器帐户认证方法生成的安全事件。 我还会提供一些具体的指标,说明 Rubeus 监控 TGTs 所产生的 Windows 安全事件,以及 Lee Christensen

在一切进击行动中,进击者对歹意TeamViewer DLL功用举行了多项变动。 以下是每一个版本的功用亮点:

第一个版本(?-2018):

· 经由历程TeamViewer举行长途掌握。

· 发送和实行文件。

· 发送基础体系信息。

· 可以或许自我删除。

· 运用config.bin设置装备摆设文件。

第二个版本(2018):

· 引入了一个新的C&C敕令体系。

· 敕令的局部列表,可以或许运用内部资助敕令检察(该敕令还供应了多个俄语版本):

应用木马化TeamViewer针对多个国度政府机构的进击行为

图9:歹意DLL中的资助敕令

· 银行,在线市肆和加密市场的Chrome汗青记录 – 可以或许请求DLL从预界说列表中返回一切在线效劳的列表。(请见附录)

· 设置装备摆设文件已由嵌入式设置装备摆设替代。

第三个版本(2019年——)

· 移除敕令体系。

· 增加DLL实行功用。

· 依托外部AutoHotKey剧本举行信息网络和TeamViewer猎取凭据。

归因

在此类行动中一般很难找出谁是幕后主使,但我们经由历程跟踪之前的行动找到了一个名为“EvaPiks”、常常活泼在`CyberForum [.] ru`论坛的用户,他要末是幕后黑手,要末就是运用对象的创建者。我们在多个帖子中有看到EvaPiks与其他用户交换手艺的历程,个中大局部手艺都在该系列行动顶用到过。

以下是该论坛中某些主题的翻译片断:

应用木马化TeamViewer针对多个国度政府机构的进击行为

图10:其他用户发起EvaPiks运用的宏代码

EvaPiks在最新的进击中运用了上述的的宏代码,并且一些变量称号如“hextext”都没有转变。

鄙人面的屏幕截图中,我们看到EvaPiks对其他用户供应了一个“结果很好”的Delphi代码片断:

应用木马化TeamViewer针对多个国度政府机构的进击行为

图11:EvaPiks向其他用户供应的PHP代码

应用木马化TeamViewer针对多个国度政府机构的进击行为

图12:DLL代码中的面板URL

除相似的Delphi用法外,在个中一次进击中还运用了论坛“(newpanel_gate/gate.php)”中提到的URL。

早在2017年,EvaPiks就在论坛上追求发起,提出了关于API函数挪用截取的题目:

应用木马化TeamViewer针对多个国度政府机构的进击行为

图13:2017年在论坛上寻觅的发起

应用木马化TeamViewer针对多个国度政府机构的进击行为

图14:DLL代码中的钩子

在我们观察到的样本中也运用了雷同的“CreateMutexA”和“SetWindowTextW”函数挂钩手艺。

该论坛的另一个屏幕截图显现了EvaPiks怎样实验新功用,个中一些功用已集成到歹意DLL中:

应用木马化TeamViewer针对多个国度政府机构的进击行为

图15:来自论坛的开辟截图

除`CyberForum [.] ru`以外,我们还发明这个头像在一个不法的俄罗斯卡盗论坛上很活泼:

应用木马化TeamViewer针对多个国度政府机构的进击行为

图16:EvaPiks在该卡盗论坛上对某用户的唾骂

进击基础设施

观察到的险些一切样本都运用雷同的网络托管公司:HostKey。(有关URL列表,请参阅附录B)

另外,我们在歹意DLL运用的C&C效劳器上观察到以下登录面板:

应用木马化TeamViewer针对多个国度政府机构的进击行为

图17:“Cyber Industries”登录面板托管于193.109.69 [.] 5

应用木马化TeamViewer针对多个国度政府机构的进击行为

图18:登录面板托管在146.0.72 [.] 180

总结

从我们观察观察结果来看,这好像是一场经由深图远虑的进击,进击者经心遴选了少数受害者,并运用量身定制的内容来欺骗目的受众。

另一方面,此次进击的某些方面举行得不那末郑重,并且袒露了一般在相似的运动中被很好掩饰的细节,好比犯罪者的个人信息和在线汗青,和他们对歹意运动的实行希望。

歹意DLL许可进击者向受进击的机械发送分外的有用负载并长途运转它们。因为我们没法找到如许的有用负载,也不晓得除DLL中供应的功用以外,它还引入了甚么其他功用,以是最新一同进击的真正企图依然不清楚。但是,依据进击者的汗青信息,我们推想进击可以或许的结果跟财政诓骗相干。

IOCs

DLLs

`013e87b874477fcad54ada4fa0a274a2
799AB035023B655506C0D565996579B5
e1167cb7f3735d4edec5f7219cea64ef
6cc0218d2b93a243721b088f177d8e8f
aad0d93a570e6230f843dcdf20041e1e
1e741ebc08af09edc69f017e170b9852
c6ae889f3bee42cc19a728ba66fa3d99
1675cdec4c0ff49993a1fcbdfad85e56
72de32fa52cc2fab2b0584c26657820f
44038b936667f6ce2333af80086f877f`

Documents

`4acf624ad87609d476180ecc4c96c355
4dbe9dbfb53438d9ce410535355cd973`

C&Cs

`1c-ru[.]net/check/license
intersys32[.]com/3307/
146.0.72[.]180/3307/
146.0.72[.]180/newcpanel_gate/gate.php
185.70.186[.]145/gate.php
185.70.186[.]145/index.php
193.109.69[.]5/3307/gate.php
193.109.69[.]5/9125/gate.php`

Appendix A: Yara Rule

`rule "TeamViwer_backdoor"
{

meta:
date = "2019-04-14"
description = "Detects malicious TeamViewer DLLs"

strings:

// PostMessageW hook function
$x1 = {55 8b ec 8b 45 0c 3d 12 01 00 00 75 05 83 c8 ff eb 12 8b 55 14 52 8b 55 10 52 50 8b 45 08 50 e8}

condition:
uint16(0) == 0x5a4d and $x1
}`

Appendix B: Online services of interest

Banks

`bankofamerica.com,pacwestbancorp.com,alipay.com,cbbank.com,firstrepublic.com,chase.com
citibank.com,bankamerica.com,wellsfargo.com,citicorp.com,pncbank.com,us.hsbc.com,bnymellon.com
usbank.com,suntrust.com,statestreet.com,capitalone.com,bbt.com,tdbank.com,rbs.com,regions.com
53.com,ingdirect.com,keybank.com,ntrs.com,www4.bmo.com,usa.bnpparibas.com,mufg.jp,aibgroup.com
comerica.com,zionsbank.com,mibank.com,bbvabancomerusa.com,huntington.com,bank.etrade.com,synovus.com
bancopopular.com,navyfcu.org,schwab.com,rbcbankusa.com,colonialbank.com,hudsoncitysavingsbank.com,db.com
peoples.com,ncsecu.org,associatedbank.com,bankofoklahoma.com,mynycb.com,firsthorizon.com,firstcitizens.com
astoriafederal.com,firstbankpr.com,commercebank.com,cnb.com,websterbank.com,fbopcorporation.com
frostbank.com,guarantygroup.com,amtrust.com,nypbt.com,wbpr.com,fult.com,penfed.org,tcfbank.com,lehman.com
bancorpsouthonline.com,valleynationalbank.com,thesouthgroup.com,whitneybank.com,susquehanna.net,citizensonline.com
ucbh.com,raymondjames.com,firstbanks.com,wilmingtontrust.com,bankunited.com,thirdfederal.com,wintrustfinancial.com
sterlingsavingsbank.com,boh.com,arvest.com,eastwestbank.com,efirstbank.com,theprivatebank.com,flagstar.com
becu.org,umb.com,firstmerit.com,corusbank.com,svb.com,prosperitybanktx.com,washingtonfederal.com
ucbi.com,metlife.com,ibc.com,cathaybank.com,trustmark.com,centralbancompany.com,umpquabank.com
pcbancorp.com,schoolsfirstfcu.org,mbfinancial.com,natpennbank.com,fnbcorporation.com,fnfg.com,golden1.com
hancockbank.com,firstcitizensonline.com,ubsi-wv.com,firstmidwest.com,oldnational.com,ottobremer.org
firstinterstatebank.com,northwestsavingsbank.com,easternbank.com,suncoastfcu.org,santander.com
everbank.com,bostonprivate.com,firstfedca.com,english.leumi.co.il,aacreditunion.org,rabobank.com
parknationalbank.com,provbank.com,alliantcreditunion.org,capitolbancorp.com,newalliancebank.com
johnsonbank.com,doralbank.com,fcfbank.com,pinnaclebancorp.net,providentnj.com,oceanbank.com
ssfcu.org,capfed.com,iberiabank.com,sdccu.com,americafirst.com,hncbank.com,bfcfinancial.com
amcore.com,nbtbank.com,centralpacificbank.com,banksterling.com,bannerbank.com,firstmerchants.com,communitybankna.com
hsbc.com,rbs.co.uk,bankofinternet.com,ally.com,bankofindia.co.in,boi.com.sg,unionbankofindia.co.in,bankofindia.uk.com
unionbankonline.co.in,hdfcbank.com,axisbank.com,icicibank.com,paypal.com,pnm.com,wmtransfer.com,skrill.com,neteller.com
payeer.com,westernunion.com,payoneer.com,capitalone.com,moneygram.com,payza.com`

Crypto Markets

`blockchain.info,cryptonator.com,bitpay.com,bitcoinpay.com,binance.com,bitfinex.com,okex.com
huobi.pro,bitflyer.jp,bitstamp.net,kraken.com,zb.com,upbit.com,bithumb.com,bittrex.com,bitflyer.jp
etherdelta.com,hitbtc.com,poloniex.com,coinone.co.kr,wex.nz,gate.io,exmo.com,exmo.me,yobit.net
korbit.co.kr,kucoin.com,livecoin.net,cex.io,c-cex.com,localbitcoins.net,localbitcoins.com,luno.com
allcoin.com,anxpro.com,big.one,mercatox.com,therocktrading.com,okcoin.com,bleutrade.com,exchange.btcc.com
bitkonan.com,coinbase.com,bitgo.com,greenaddress.it,strongcoin.com,xapo.com
electrum.org,etherscan.io,myetherwallet.com,bitcoin.com`

Online Shops

`ebay,amazon,wish.com,aliexpress,flipkart.com,rakuten.com,walmart.com
target.com,bestbuy.com,banggood.com,tinydeal.com,dx.com,zalando,jd.com
jd.id,gearbest.com,lightinthebox.com,miniinthebox.co`

域渗入之在运动目次中征采: 不受限定的委派和林信托

在这篇文章中,我将针对威尔的文章中解释的攻击变量提供初步的侦查指导,主要关注一些通常由强制机器帐户认证方法生成的安全事件。 我还会提供一些具体的指标,说明 Rubeus 监控 TGTs 所产生的 Windows 安全事件,以及 Lee Christensen


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明应用木马化TeamViewer针对多个国度政府机构的进击行为
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址