.png.c9b8f3e9eda461da3c0e9ca5ff8c6888.png)
從7月到9月,研究人員就已經觀察到DarkGate活動,趨勢科技檢測為TrojanSpy.AutoIt.DARKGATE.AA,攻擊者濫用即時通訊平台向受害者提供VBA加載器腳本。該腳本下載並執行由AutoIT腳本組成的第二階段有效負載,其中包含DarkGate惡意軟件代碼。目前還不清楚即時消息應用程序的原始帳戶是如何被攻擊的,但應該是通過地下論壇獲得的憑據。
DarkGate在過去的幾年裡並不是很活躍。然而,根據Truesec和MalwareBytes的報告,今年已經觀察到多個攻擊部署。通過對這次活動的密切監控,研究人員發現大多數DarkGate攻擊都發生在美洲地區,其次是亞洲、中東和非洲。
2023年8月至9月DarkGate活動的分佈
DarkGate活動背景DarkGate於2017年底首次被發現,被歸類為商品加載器。自2023年5月以來,DarkGate已經在俄語論壇開始流行,從那時起,使用惡意軟件的初始入口攻擊數量開始有所增加。 DarkGate具有各種功能,包括執行以下操作的功能:
執行發現命令(包括目錄遍歷);
自我更新,自我管理;
實現遠程訪問軟件,如遠程桌面協議或RDP、隱藏虛擬網絡計算或hVNC、AnyDesk;
啟用加密貨幣挖掘功能(啟動、停止和配置);
按鍵記錄(keylogging),Keylogging攻擊是指攻擊者跟踪鍵盤、鼠標活動,獲得用戶輸入的信息,包括帳號、口令等;
從瀏覽器竊取信息;
權限升級。
DarkGate還使用一種名為AutoIt的windows專用自動化和腳本工具,來傳播和執行其惡意功能。儘管AutoIt是一個合法的工具,但它經常被其他惡意軟件家族濫用,用於規避防禦和增加混淆層。然而,從歷史上看,沒有一個著名的加載程序,如IcedID、Emotet或Qakbot被觀察到濫用它,這使得研究人員或安全團隊更容易將這些活動與惡意軟件活動聯繫起來。
將最新的DarkGate變體與2018年同樣濫用AutoIt的樣本進行比較,研究人員觀察到該樣本在初始階段和命令行中添加混淆方面似乎略有變化。然而,感染鏈基本上保持不變。
攻擊概述根據分析,攻擊者濫用兩個組織之間的信任關係來欺騙收件人執行附加的VBA腳本。訪問受害者的Skype帳戶允許攻擊者劫持現有的消息傳遞線程,並製作文件的命名約定,以與聊天歷史的上下文相關。
DarkGate感染鏈濫用Skype
受害者收到了來自被攻擊的Skype帳戶的消息,該消息包含一個欺騙性的VBS腳本,其文件名格式為:
帶有嵌入惡意附件冒充PDF文件的Skype消息
受害者執行VBA腳本後,首先創建一個
VBA腳本內容樣本;VBA腳本充當兩個文件的下載程序:一個是AutoIt可執行文件的合法副本,另一個是惡意編譯的.au3腳本
研究人員檢測到VBA腳本通過使用Windows本地wscript.exe執行加載。該腳本創建了
Trend Vision One對Skype VBA腳本執行的根本原因分析(RCA)
查看Trend Vision One的RCA,研究人員可以觀察到curl命令用於檢索合法的AutoIt應用程序和相關的惡意fIKXNA.au3(.au3表示AutoIt Version 3腳本文件)。 Curl是通過cmd.exe使用以下參數執行的,以從遠程託管服務器檢索兩個文件:
在另一個樣本中,觀察到攻擊通過Microsoft Teams消息發送鏈接。在該樣本中,該組織的系統允許受害者接收來自外部用戶的消息,這導致他們成為垃圾郵件的潛在目標。
Truesec的研究人員在9月初記錄了類似的DarkGate技術。雖然Skype程序將VBS文件偽裝成PDF文檔,但在Teams版本的攻擊中,攻擊者隱藏了一個.LNK文件。此外,濫用Teams的樣本來自一個未知的外部發件人。
將帶有惡意附件的消息分組
研究人員還觀察到VBA腳本的第三種傳遞方法,其中.LNK文件以壓縮文件的形式從創建者的SharePoint網站到達。受害者被引誘瀏覽給定的SharePoint網站並下載名為“Significant company changes September.zip”的文件。
.ZIP文件包含以下冒充PDF文檔的.LNK文件:
Company_Transformations.pdf.lnk
Revamped_Organizational_Structure.pdf.lnk
Position_Guidelines.pdf.lnk
Fresh_Mission_and_Core_Values.pdf.lnk
Employees_Affected_by_Transition.pdf.lnk使用條件執行,只有在上一個命令失敗時,才會執行附帶的命令。LNK文件包含以下命令:
成功後,將下載並執行loaderVBA腳本(hm3.vbs)。 VBA腳本將繼續從System32目錄複製並將curl.exe重命名為“
Trend Vision One RCA使用.LNK文件作為初始入口DarkGateAU3腳本
下載的工件既包含AutoIt的合法副本,也包含惡意編譯的AutoIt腳本文件,其中包含DarkGate的惡意功能。在加載腳本之前,AU3文件首先執行以下檢查。如果不滿足以下任何一個條件,腳本將被終止:
確認%Program Files%存在時;
當掃描的用戶名不是“SYSTEM”時;
一旦環境檢查完成,程序就會搜索帶有'.au3'擴展來解密和執行DarkGate有效負載,如果無法加載. au3文件,程序將顯示一個錯誤消息框並終止執行。
成功執行.AU3文件後,該文件生成位於C:\ProgramFiles(x86)\.中的代理進程,這些進程包括iexplorer .exe、GoogleUpdateBroker.exe和Dell.D3.WinSvc.UILauncher.exe。它們被注入shellcode以在內存中執行DarkGate有效負載。
惡意軟件通過將隨機命名的LNK文件放入Windows用戶啟動文件夾來實現持久性,從而在每次系統啟動時自動執行該文件,執行路徑如下:
此外,執行將使用隨機生成的七字符字符串在Program Data目錄下的主機上創建一個文件夾來存儲日誌和配置數據。為了幫助調查DarkGate有效負載和進程,Telekom Security可以使用一個工具來轉儲配置文件。
.AU3腳本片段
提取配置
安裝後活動該攻擊被觀察到作為附加有效負載的下載程序。安裝DarkGate惡意軟件後,它會在
被釋放的文件被檢測為DarkGate或Remcos的變體,可能是作為加強攻擊者在受感染系統中的立腳點的一種手段。以下是研究人員為這些額外負載找到的一些樣本文件名:
Folkevognsrugbrd.exe
logbackup_0.exe
sdvbs.exe
Vaabenstyringssystem.exe
Sdvaners.exe
Dropper.exe
DarkGate惡意軟件釋放額外有效負載
總結在本示例中,攻擊者在實現其目標之前就發現並控制了攻擊。然而,研究人員注意到,鑑於之前的DarkGate,攻擊者的目標可能會有所不同,這取決於所使用的攻擊機構。
攻擊者可以利用這些有效負載用各種類型的惡意軟件感染系統,包括信息竊取、勒索軟件、惡意使用或濫用的遠程管理工具,以及加密貨幣挖礦工具。
在本文的樣本中,Skype應用程序被合法地用於與第三方供應商通信,使其更容易滲透或引誘用戶訪問惡意文件。攻擊者的最初目標只是在環境中獲得立足點,最終目標仍然是滲透整個環境,通過對購買或租用DarkGate變體的攻擊組織的分析,攻擊包含勒索和加密挖礦等。根據發現的樣本,研究人員初步判斷DarkGate與Black Basta勒索軟件組相關。
只要允許外部消息傳遞,或者不檢查通過受攻擊帳戶濫用信任關係,那麼就可以對任何即時消息傳遞(IM)應用程序執行這種初始輸入技術,向組織引入任何新的應用程序都應該伴隨著保護和限制該組織攻擊面的措施。
在本文的示例中,IM應用程序應該由組織控制,以執行諸如阻止外部域、控製附件以及實現掃描等規則,研究人員強烈建議使用多因素身份驗證(MFA)來保護應用程序(包括IM應用程序),以防止有效憑據被盜取。
應用程序允許列表是一種很好的防禦機制,可以確保最終用戶只能訪問和執行某些應用程序。