针对意大利海军的MartyMcFly恶意软件

TRex Web安全 2018年10月20日发布
Favorite收藏

导语:10月9日至15日,Yoroi CERT的分析人员发现了几起针对意大利海军和国防工业的攻击。

一、背景

上周,Yoroi CERT的分析人员发现了几起针对意大利海军和国防工业的攻击。攻击者使用电子邮件作为传播媒介,通过发送特制的xls文件来感染受害者。已识别的攻击触发内部defcon升级,据此评估威胁程度并最终分析此特殊恶意软件。

10月9日至15日,在我们的CSDC(网络安全防御中心)运营期间,分别拦截了两起不同行动的可疑电子邮件,每起行动都有一次或多次尝试,社会工程技巧略有不同。

二、恶意邮件

第一个截获的恶意电子邮件的发件人为“markvanschaick.nl @qixnig .com”。攻击者选择特定人名试图利用荷兰海运服务公司“Mark Van Schaick”的名誉,但发件人的域名和IP地址与该组织没有直接关系。

图1. 第一波攻击SMTP头部详细信息

该消息从Roundcube Webmail服务器lord.vivawebhost .com(173.237.190.12 COLO4-BLK7 US)发送,这显然与发件人的域名无关。此外,“qixnig .com”(发件人域名)解析为另一个不同的IP地址66.45.243.148(INTERSERVER US)。有趣的是对所有访问用户精心设计的重定向:HTTP 301代码重定向到Dan Marine Group的官方门户网站。

图2.重定向到Dan Marine Web门户

第二起电子邮件活动与第一起活动略有不同。它起源于mail.dbweb .se(52.58.78.16 AT-88-Z US)托管的另一个Roundcube网络邮件服务:

图3. 第二波的SMTP头部详细信息

在此情况下,虚假的通联过程模仿“Naviera Ulises Ltd <supplie@ulisnav.gr>”和“Evripidis Mareskas(Mr)<supplies.ulisnav @ kiramko .com>”之间的互动。提取的域名r恰好是“kiramko .com”并且它解析为在第一个波中发现的相同远程IP地址(“qixnig .com”,66.45.243.148 INTERSERVER US)。所以可以认为这些行动密切相关。在撰写本文时,“ulisnav .gr”似乎并未注册。

截获的电子邮件提出了精心准备的网络钓鱼计划,专门针对意大利海军部门。观察到的标题和网络环境显示,攻击者试图冒充海事部门和海军服务供应商,诱使受害者打开附件。

例如,前两次检测到的尝试试图模仿中国丹海洋集团的询问,假装验证发件人的域名“qixnig .com”由该集团拥有。然后,它试图将访客重定向到Dan Marine官方网站。另一个截获的电子邮件将受害者作为BCC插入希腊Naviera Ulises有限公司的技术支持与其雇主之一(在linkedin上公开的数据)之间的虚假通信。

这些通信中没有一个是真实合法的,实际上截获的数据并不表明攻击者可以访问任何实际目标。

三、附件

截获的电子邮件包含多个附件文档:在第一个电子邮件活动中,我们观察到相同Excel文件的两个副本(5c947b48e737648118288cb04d2abd7b)封装CDFV2加密数据并在VT的AV测试中得分相对较低(撰写本文时为9/59)。

该文档能够从受感染的门户网站下载可执行的有效载荷(66b239615333c3eefb8d4bfb9999291e):

图4.截获的下载恶意软件的HTTP请求

有关规避技术的更多详细信息,特别是与VelvetSweatshop技巧和用于释放恶意软件的公式编辑器漏洞利用有关的内容,可在此处获取(link)。

图5.恶意Excel文档

第二波攻击中的附件是Excel文件的副本和另一个名为“Company profile.pdf”的PDF文档(6d2fc17061c942a6fa5b43c285332251),此文档是在网络钓鱼尝试的同一时间段内生成的:在恶意消息发送前30分钟由一个MS Word 2013文档生成。

图6. “Company Profile.pdf” 元数据

嵌入式附件已于10月中旬使用多个名称分发,其中大多数名称与海军行业相关,包含机械部件的报价、查询或订单。

图7.提交时间和样本名称

话虽如此,现在来解释此攻击系列“MartyMcFly”名称的来历,该名称来自VT平台报告的“Wild In First Seen in the Wild”值以及部件中找到的元数据,此部件非常有趣值得讨论。

四、Payload

可执行的有效载荷从一个可能受到感染的网站下载,该网站由一家销售机械备件的土耳其公司合法拥有,表明攻击者已经仔细处理好了恶意软件分发基础设施。

PE32文件66b239615333c3eefb8d4bfb9999291e包含从Delphi源代码(BobSoft Mini Delphi)编译的可执行二进制代码。

执行的第一阶段包含了几种反分析模式和技巧,例如在0x0045e304,恶意软件检查操作系统中配置的本地时间年份是否在2017之后(图8),此外在0x045e393它会调用SleepEx库函数降低执行速度(图9)。

图8. 本地时间检查

图9.通过SleepEx减慢代码速度

恶意代码中绕过所有调试检查和规避技巧会导致在映射在0x012e0000位置的RWX代码段中动态加载.NET模块。

图10.在内存中解压缩的可执行模块

Yara签名证实提取的PE32模块可归因于武器化版本的“QuasarRAT”: github上免费提供的开源远程管理工具。

图11.转储的.NET模块上与Yara签名匹配

图12中报告的手动验证确认提取的有效载荷与github存储库上发布的QuasarRAT模块匹配。此外,后面的IoC部分报告了恶意软件配置中的C2服务器。

图12. QuasarRAT使用的模块名称和消息示例

目前没有归属于已知组织的可能性,许多威胁行为者选择使用或定制开源工具以试图使溯源更难,例如APT-10以及Gorgon组织的武器库中都包含QuasarRAT 。

IoC

Malspam

· INQUIRY FOR Engine Requisition: Spare parts: Valves: Cylinder etc

· “Mark Van Schaick Marine” <markvanschaick.nl @qixnig[.com>

· Mark van Schaick Enquiry – Marine Parts, Valve, Cylinder ets..xlsx

· Mark Van Schaick Company Profile.xlsx

· “INQUIRY MJ1409-FWS-FBR-61 / 18092867Q1/ MARINE PARTS”

· “Cherry dan” <cherry.dan-marine @ qixnig[.com>

· Engine_9463.xlsx

· List of order spares parts.xlsx

· Company Profile.pdf

· lord.vivawebhost[.com

· mail.dbweb[.se

Dropurl

· http://apexmetalelektrik[.com/js/jquery/ui/jquery/file/alor/GEqy87.exe

C2

· secureserver.marinelectricsystems[.com:4783

· safebridge.marinelectricsystems[.com:4783

· neumeistermcntrade[.ddns[.net:4783

· mcntradeandreas.ddns[.net:4783

· 79.172.242[.87:4783

Hash

· a42bb4900131144aaee16d1235a22ab6d5af43407a383c3d17568dc7cfe10e64  xlsx

· 3b5bd3d99f1192adc438fb05ab751330d871f6ebb5c22291887b007eaefbfe7b pdf

· 1aa066e4bcc018762554428297aa734302cfbb30fef02c0382f35b37b7524a4a  exe

本文翻译自:https://blog.yoroi.company/?p=1829如若转载,请注明原文地址: http://www.4hou.com/web/14112.html
点赞 0
  • 分享至
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

发表评论