恶意软件Agent Tesla分析:揭密SWEED多年来的恶意活动

41yf1sh 恶意软件 2019年7月26日发布
Favorite收藏

导语:Cisco Talos团队近期发现了大量正在进行中的恶意软件分发活动,这些活动与我们称之为“SWEED”的威胁行为者相关联,而他们在此前发布了包括Formbook、Lokibot和Agent Tesla等一系列恶意软件。

概述

Cisco Talos团队近期发现了大量正在进行中的恶意软件分发活动,这些活动与我们称之为“SWEED”的威胁行为者相关联,而他们在此前发布了包括Formbook、Lokibot和Agent Tesla等一系列恶意软件。根据我们的研究,SWEED恶意组织自2017年至今以来一直在运营,主要使用窃取工具和远程访问木马针对目标发动攻击。

在发送带有恶意附件的鱼叉式网络钓鱼邮件时,SWEED选择了与大多数攻击活动相同的方式。尽管这些攻击活动中包含了大量不同类型的恶意文档,但攻击者主要尝试使用Agent Tesla的加壳版本来感染其受害者,这是一个自2014年以来一直存在的信息窃取工具。SWEED使用的Agent Tesla版本不同于我们过去看到的恶意软件加壳方式,其感染系统的方式也有所不同。在本文中,我们将详细分析SWEED的恶意活动,并讨论攻击者的策略、技术和程序(TTP)。

2017年:隐写术

在攻击过程中,攻击者将投放工具放入ZIP压缩包中,然后再将这些ZIP添加到电子邮件的附件中。附件的文件名通常类似于“Java_Updater.zip”或“PO Of Jun2017.zip”。下面是与这一恶意活动相关的电子邮件示例:

image7.png

随邮件附带的ZIP压缩包中包含Agent Tesla的加壳版本。加壳器使用.NET语言,并利用隐写术来隐藏并解码第二个.NET可执行文件,该文件使用相同的技术来检索最终的Agent Tesla Payload。这是存储在资源中的文件:

2.png

下面是解码存储在该图像中的PE文件过程所使用的算法:

3.png

解码的二进制文件存储在数组中。

2018年1月:Java投放工具

在2018年初,我们观察到SWEED开始利用基于Java的投放工具。与之前的恶意活动类似,JAR直接被附加到电子邮件的附件中,并且使用诸如“Order_2018.jar”这样的名称。JAR的目的是获取有关受感染系统的信息,以方便下载Agent Tesla的不同加壳版本。值得关注的是,在这些恶意活动开始前的几个月,一个用户名为“Sweed”的HackForums用户在积极寻找Java加密器,我们会在稍后聊到这一点。

2018年4月:Office漏洞利用(CVE-2017-8759)

在2018年4月,SWEED开始利用之前披露的一个Office漏洞。在这些电子邮件中,有一个文档非常值得我们关注,因为它是一个PowerPoint文档(PPXS)。其中的一页幻灯片中包含恶意代码,可以触发CVE-2017-8759的漏洞利用,这是Microsoft .NET框架中的一个远程代码执行漏洞。

4.png

我们可以看到托管在受攻击者控制的Web服务器上的外部内容的执行情况,其文件名为“chuks.png”。正如我们所料,PNG文件实际上并不是一个图像。相反,它是XML中的Soap定义,如下所示:

5.png

这段代码的目的是解码URL,并下载托管在攻击者控制的Web服务器上的PE32。生成的可执行文件是Agent Tesla的加壳版本。

2018年5月:Office漏洞利用(CVE-2017-11882)

在2018年5月,SWEED在其恶意活动中开始利用Microsoft Office的另一个漏洞——CVE-2017-11882,这是Microsoft Office中的一个远程代码执行漏洞,通常在商品化恶意软件所分发的恶意文档中被发现。

我们在ThreatGrid中执行样本时,可以看到恶意代码是如何滥用Office中的公式编辑器漏洞的:

6.png

如下所示,这一恶意文档似乎将自身伪装为发票。

7.png

与之前的恶意活动一致,这个恶意文档的目的是下载并执行Agent Tesla的加壳版本。

2019年:Office宏和AutoIT投放工具

从2019年开始,与SWEED相关的恶意活动开始利用恶意Office宏。与之前的攻击一样,攻击者正在利用鱼叉式网络钓鱼电子邮件和恶意附件来进行感染过程。

8.png

附件中的XLS文件中包含一个经过模糊后的VBA宏,VBA宏借助WMI调用执行PowerShell脚本。PowerShell脚本也是用XOR操作进行模糊处理,从而隐藏其代码。在解码后,发现它实际上也是以.NET语言编写而成。

9.png

这段.NET代码负责执行某些检查,并下载另一个可执行文件。此代码中使用的混淆方案与前面描述的PowerShell中使用的混淆方案相同。随后,将保存并执行下载的文件。

10.png

下载的二进制文件是AutoIT编译的脚本。该脚本中包含大量的垃圾代码,其目的是使研究人员的分析过程更加困难、消耗更多时间。

提取的AutoIT脚本:

11.png

AutoIT脚本包含的字符串和一些命令已经使用XOR操作进行了处理,如下所示:

12.png

解码工具将会接收两个十六进制的字符串,第一个字符串用于反混淆,第二个用于确定XOR操作的轮数。根据第二个参数的长度,将对每个字符执行XOR运算。然后,该操作将会使用长度和位置,重复与长度相同的次数。如果长度值是1,那么就会使用相同的密钥重复操作两次,这将导致出现明文的十六进制字符串。

在执行环境检查后,恶意软件将重新构建汇编代码,该代码在十六进制的字符串中进行模糊处理。使用AutoIT脚本语言Dll*系列函数,将代码加载到当前进程地址空间。

13.png

最后,恶意软件使用两个参数执行汇编代码。第一个参数是可执行文件的路径,该程序集将使用可执行文件创建进程,并将Payload注入到此进程之中。

14.png

正如预期的那样,该恶意活动最终Payload是Agent Tesla的另一个加壳版本。

15.png

共同特征:UAC绕过

在与SWEED相关的一些恶意活动中,具有一个共同特征,就是使用各种技术绕过受感染系统上的用户帐户控制(UAC)。在2019年观察到的恶意活动中,就存在这样的示例。当恶意软件首次在系统上执行时,它会运行“fodhelper.exe”,这是一个以高完整性(High Integrity)运行的Windows进程。在执行之前,恶意软件会设置以下注册表项:

HKCU\Software\Classes\ms-settings\shell\open\command

该注册表项指向恶意可执行文件的位置:

16.png

该密钥由“fodhelper.exe”使用,并且每当执行fodhelper.exe时,其值将以管理员身份执行。该功能只允许恶意软件绕过UAC,无法实现权限提升,这也就要求用户必须已经拥有系统的管理员访问权限。这一要求可以避免向用户展示UAC提示。随后,通过对受感染系统的管理访问,来执行第二个恶意软件样本。

SWEED基础设施

在与SWEED相关的各种恶意软件分发活动中,都使用优先数量的分发和C2基础设施。在很长一段时间内,都在许多不同的恶意活动中使用相同的服务器。SWEED所使用域名的注册人使用以下电子邮件地址:

[email protected][.]com

sweed.[redacted]@gmail[.]com

大多数域名的注册人联系信息也是一致的:

17.png

2018年4月,一名安全研究人员发布了一份RDP服务器的截图,该服务器被认为是被SWEED(84.38.134[.]121)恶意组织积极利用:

18.png

在上面的屏幕截图中,可以看到在RDP服务器上创建的用户帐户列表,其中包括名为“sweed”的帐户。其中的多个用户当前正处于活动状态,这一事实可以说明该服务器正在被多个用户使用,并提供一个SWEED组织成员可以协作的平台。这也可能表明,持续负责这些恶意软件分发活动的多个人员之间可能存在业务联系。

我们还确认了一些DDNS域名,这些域名用于加强与共享RDP服务器的连接,该服务器具有许多与RDP用户帐户相同的值:

sweedoffice[.]duckdns[.]org

sweedoffice-olamide[.]duckdns[.]org

sweedoffice-chuks[.]duckdns[.]org

www.sweedoffice-kc.duckdns[.]org

sweedoffice-kc.duckdns[.]org

sweedoffice-goodman.duckdns[.]org

sweedoffice-bosskobi.duckdns[.]org

www.sweedoffice-olamide.duckdns[.]org

www.sweedoffice-chuks.duckdns[.]org

在我们分析与SWEED相关的各种恶意活动过程中,我们确定了一些常见的元素,这些元素也反映了与RDP服务器用户相关的一些值。在许多情况下,用于托管SWEED恶意PE32的分发服务器包含由多个目录组成的目录结构,目录中包含正在分发中的二进制文件,而这些文件所使用的文件名称也与RDP服务器上存在的用户名称有一些重合。

例如,在2019年6月,下列网址托管与这些恶意活动相关联的恶意内容:

hxxp://aelna[.]com/file/chuks.exe

hxxp://aelna[.]com/file/sweed.exe

hxxp://aelna[.]com/file/duke.exe

同样,我们根据从受感染系统中泄露敏感信息的已知域名,调查了与这些域名相关联的样本,发现下列二进制文件名在很长一段时间内都在恶意活动中重复使用:

dadi.exe

kelly.exe

chuks.exe

olamide.exe

sweed.exe

kc.exe

hero.exe

goodman.exe

duke.exe

hipkid.exe

在某些情况下,分发服务器上的目录结构包含多个托管恶意文件的目录,我们以域名sodismodisfrance[.]cf为例,具体如下:

sodimodisfrance[.]cf/2/chuks.exe

sodimodisfrance[.]cf/6/chuks.exe

sodimodisfrance[.]cf/5/goodman.exe

sodimodisfrance[.]cf/1/chuks.exe

sodimodisfrance[.]cf/1/hipkid.exe

sodimodisfrance[.]cf/5/sweed.exe

sodimodisfrance[.]cf/2/duke.boys.exe

这些似乎与SWEED相关恶意软件所使用的句柄相匹配。另一个被Agent Tesla用于收集敏感信息的已知域名是sweeddehacklord[.]us。我们对与此域名进行通信的已知恶意软件进行分析,发现了一些类似的操作模式。

在分析与SWEED相关的恶意软件活动的过程中,我们还研究了该恶意组织用于托管各种RAT和窃取工具相关的管理面板时使用的一些值得关注的路径。具体来说,在单一的C2服务器上,我们确定了以下几个URL:

sweed-office.comie[.]ru/goodman/panel

sweed-office.comie[.]ru/kc/panel/

wlttraco[.]com/sweed-office/omee/panel/login.php

wlttraco[.]com/sweed-client/humble1/panel/post.php

wlttraco[.]com/sweed-client/sima/panel/post.php

wlttraco[.]com/sweed-office/omee/panel/post.php

wlttraco[.]com/sweed-office/kc/panel/post.php

wlttraco[.]com/sweed-office/olamide/panel/post.php

wlttraco[.]com/sweed-office/jamil/panel/post.php

wlttraco[.]com/sweed-client/niggab/panel/post.php

wlttraco[.]com/sweed-client/humble2/panel/post.php

wlttraco[.]com/sweed-office/harry/panel/post.php

根据我们的研究,综合参考上述面板的托管位置,我们认为wiki、olamide、chuks、kc、goodman、bosskobi、dadi、hipkid等一系列人员都是SWEED的客户或商业伙伴。根据二进制的文件名、目录结构和其他基础设施,我们已经能够识别出在各种黑客论坛、IRC服务器中这些ID的用户所展现出的网络行为特征和兴趣,这些讨论似乎可以将其中的一部分用户与恶意软件分发的各种细节关联起来。

此外,还有其他一些与SWEED相关的域名,似乎与各种恶意软件和分发活动相关联。我们已经观察到,这些域名会解析到与上述RDP服务器相关联的IP地址。

sweeddehacklord[.]us

sweed-office.comie[.]ru

sweed-viki[.]ru

此外,还有一个地方值得注意,SWEED在过去曾经进行域名抢注,这些注册的域名被用来托管加壳后的Agent Tesla二进制文件。

受害者的地理分布:

19.jpg

我们以国家的维度来看受害者分布,似乎可以发现攻击者在选择目标时并没有针对特定的地理位置,他们的目标遍布全球。

受害者的行业细分:

20.jpg

然而,根据行业细分,可以看出攻击者主要针对制造公司和物流公司发起攻击。

下面是对这些域名的概述,以及这些域名的公司及关联行业。在某些情况下,我们无法确定一些域名所要仿冒的目标组织。

21.jpg

在上面列出的所有域名中,域名注册人的资料信息与SWEED恶意活动中所使用域名的资料一致。

运营安全(OPSEC)

我们在黑客论坛、IRC频道和其他网站上发现了各种行为,这些行为与我们观察到的分发此恶意软件的角色的TTP(策略、技术和流程)一致。

在我们的分析过程中,我们借助名称“SWEE D”在HackForums上识别到一位用户。在与该用户相关的大多数在线帖子中,都包含了他的联系信息,其中使用了Skype地址“sweed.[redacted]”。

在2018年1月,恶意活动之前的几个月中,我们观察到这个用户发帖询问Java加密工具。通常加密工具用于帮助规避防病毒检测,因为它们可以“加密”正在分发的恶意Payload内容。

22.png

同一个用户在于Java加密工具的板块中反复发送文章,甚至让其他用户都感到恼火:

23.png

HackForums帖子中列出的同一个Skype帐户在2016年期间,曾被自称为Daniel的人使用,评论了与创建Facebook网络钓鱼页面相关的博客:

24.png

同样的Skype帐户,也在2015年被名为“[redacted] Daniel”的人使用。

25.png

值得注意的一点是,其中的[redacted]也是与域名wlttraco[.]com注册者帐户相关联的电子邮件(sweed.[redacted]@gmail.com)所使用的用户名。

我们还找到了Twitter帐户.sS!.!曾经发布的内容,展示Discord服务器“Agent Tesla Live”,其中列出了sweed([redacted] Daniel)是其中的一名工作人员。

26.png

值得注意的是,这一Discord用户(SWEE D)使用的头像,与Skype用户sweed.[redacted]所使用的头像相同。

27.png

我们在Skype上联系了SWEE D,并基本确认,Skype和Discord用户为同一人。

28.png

在我们与SWEE D的互动过程中,他提到,他们是一群“白帽黑客”,就职于各大企业的IT部门中,工作职责是清除恶意软件并提高企业的安全性。

29.png

上述表述,与我们在IRC中观察到的活动相反,其中名为“sweed”的用户在向其中的机器人提交信用卡信息,并尝试检查该信息的有效性和可用性。

30.png

这个IRC频道似乎是专门为此目的创建和使用的,名为“chkViadex24”的机器人会返回与提交的信用卡相关的信息:

31.png

这是一个示例,可以说明攻击者是如何使用被盗的信用卡信息来进行确认,并判断是否可以从中获利。

我们判断,“SWEE D”、“sweed”和[redacted] Daniel可能都是同一个人。此外,我们还确定了以下具有相同名称的LinkedIn个人资料:

32.png

该帐户以尼日利亚作为其所在地。“[redacted]”是一部尼日利亚的小说。我们在分析“sweed”过程中发现的许多细节,例如LinkedIn个人资料中的信息、对“[redacted]”小说的引用、所使用的注册人信息、Skype帐户中体现出的位置,都表明这个人员可能位于尼日利亚。我们认为,“sweed”是该组织的关键成员,其他帐户可能与客户或业务合作伙伴相关。

总结

截至目前,SWEED已经至少活动了三年之久,我们观察到其恶意活动是从2015年开始。使用该名称的用户一直活跃在各种论坛、IRC频道和Discord服务器上。目前,SWEED正在瞄准世界各地的中小型公司。根据该组织使用的TTP,SWEED应该被视为相对比较业余的攻击者。他们使用众所周知的漏洞、窃取工具和RAT(Pony、Formbook、UnknownRAT、Agent Tesla等),并且似乎依赖于黑客论坛上发布的工具包。SWEED始终如一地使用加壳和加密的方式,以最大程度减少反恶意软件解决方案的检测。我们认为,SWEED也没有对运营过程进行安全性的保障,因为他们使用几个相同的在线帐户长达5年之久,这就使得研究人员可以发现他们的许多信息、运营方法和恶意组织成员。

目前,我们还不能肯定地判断出与SWEED相关的其他帐户和人员是商业伙伴还是客户。但是,他们都以跨域名协调的方式使用相同的基础架构,依赖于相同的恶意软件和加壳程序,并且所有操作都非常相似。尽管SWEED在安全研究领域相对知名,但这项研究让我们深入了解了这些网络犯罪组织是如何运作和发展的,他们会以最大限度提高其创收和逃避检测的能力。我们预计SWEED会在可以预见的未来持续运营,我们也将持续监控其活动,以保护客户的安全。

威胁指标(IoC)

恶意活动1

Java_Updater.zip -> 59b15f6ace090d05ac5f7692ef834433d8504352a7f45e80e7feb05298d9c2dd

P-O of Jun2017.zip -> e397ba1674a6dc470281c0c83acd70fd4d772bf8dcf23bf2c692db6575f6ab08

Agent Tesla: 8c8f755b427b32e3eb528f5b59805b1532af3f627d690603ac12bf924289f36f

恶意活动2

Java sample=> d27a29bdb0492b25bf71e536c8a1fae8373a4b57f01ad7481006f6849b246a97

恶意活动3

New Order For Quotation.ppsx -> 65bdd250aa4b4809edc32faeba2781864a3fee7e53e1f768b35a2bdedbb1243b

恶意活动4

SETTLEMENT OF OUTSTANDING.xlsx -> 111e1fff673466cedaed8011218a8d65f84bee48d5ce6d7e8f62cb37df75e671

恶意活动5

Request and specification of our new order.xls -> 1dd4ac4925b58a2833b5c8969e7c5b5ff5ec590b376d520e6c0a114b941e2075

Agent Tesla -> fa6557302758bbea203967e70477336ac7a054b1df5a71d2fb6d822884e4e34f

域名

sweeddehacklord[.]us

sweed-office.comie[.]ru

sweed-viki[.]ru

sweedoffice.duckdns[.]org

sweedoffice-olamide.duckdns[.]org

sweedoffice-chuks.duckdns[.]org

www.sweedoffice-kc.duckdns[.]org

sweedoffice-kc.duckdns[.]org

sweedoffice-goodman.duckdns[.]org

sweedoffice-bosskobi.duckdns[.]org

www.sweedoffice-olamide.duckdns[.]org

www.sweedoffice-chuks.duckdns[.]org

aelna[.]com

candqre[.]com

spedaqinterfreight[.]com

worldjaquar[.]com

zurieh[.]com

aiaininsurance[.]com

aidanube[.]com

anernostat[.]com

blssleel[.]com

bwayachtng[.]com

cablsol[.]com

catalanoshpping[.]com

cawus-coskunsu[.]com

crosspoiimeri[.]com

dougiasbarwick[.]com

erieil[.]com

etqworld[.]com

evegreen-shipping[.]com

gufageneys[.]com

hybru[.]com

intermodaishipping[.]net

jltqroup[.]com

jyexports[.]com

kayneslnterconnection[.]com

kn-habour[.]com

leocouriercompany[.]com

lnnovalues[.]com

mglt-mea[.]com

mti-transt[.]com

profbuiiders[.]com

quycarp[.]com

regionaitradeinspections[.]com

repotc[.]com

rsaqencies[.]com

samhwansleel[.]com

serec[.]us

snapqata[.]com

sukrltiv[.]com

supe-lab[.]com

usarmy-mill[.]com

virdtech[.]com

willistoweswatson[.]com

xlnya-cn[.]com

zarpac[.]us

Oralbdentaltreatment[.]tk

wlttraco[.]com

本文翻译自:https://blog.talosintelligence.com/2019/07/sweed-agent-tesla.html 如若转载,请注明原文地址: https://www.4hou.com/malware/19403.html
点赞 0
  • 分享至
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

发表评论