概述
10月下旬,校对投票研究人员识别并开始跟踪经济动机的威胁演员集团,可以访问银行木工特洛伊木马和其他恶意软件,包括Dridex,Ursnif,Tinba和销售点(POS)恶意软件AbaddoNPOS与其装载机,TinyLoader。更重要的是,本集团还使用先前未记录的JScript后门,称为“OSTAP”,以及我们命名为“MRWHITE”的Delphi Dropper。MRWHITE可以在丢弃进一步的POS有效载荷之前,在存在运行POS软件的情况下,MRWHITE可以分析受害者系统。添加此额外的过滤层可能有助于该组注意到由于使用已知恶意软件而避免的兴趣目标和逃避检测。
到目前为止,这些广告系列有针对性国家,包括德国,奥地利和英国。虽然垂直目标变化,但我们观察到重点关注金融服务。
交付和瞄准
带有宏加载Microsoft Word文档附件的电子邮件将在整个活动中使用。这些邮件的数量从几封相对有针对性的电子邮件,到数千封分布更广泛的邮件。在我们的分析中,我们发现许多恶意电子邮件被发送给了讲德语的人,或者是用德语写的;其他的则是用英语写的。例如,以下带有发票诱惑的电子邮件是针对讲德语的人的。
图1:用于在11月24日交付宏加载文档的德语电子邮件示例
图2:12月2日针对英国个人的英文电子邮件示例
图3:电子邮件交付的文件通常是空白的,并且没有特殊的诱饵
Ostap后门分析
文档中的模糊宏删除并执行一个.jse文件(JScript)到桌面,然后显示一个虚假的错误消息,例如:“打开这个文档时出错了。”JScript是一个后门,我们称之为“Ostap”,因为它与命令控制(C&C)服务器上的PHP文件“Ostap . PHP”通信。此外,“Ostap”似乎是一个来自苏联流行电影和小说[5]的骗子“Ostap Bender”的名字。以下是我们分析的后门早期示例中的功能列表:
- 文件关闭后继续运行并与C&C进行通信
- 将后门副本写入当前用户的启动文件夹,以便重新启动后持久化
- 向C&C服务器报告计算机名称
- 从C&C接收并运行可执行负载
- 从C&C接收并运行脚本文件(带有“certutil”)
图4:Startup文件夹中的Ostap副本。如文本编辑器中所示,该脚本是模糊的
图5:硬编码参数包括部分C&C URL(解混淆脚本)
图6:脚本解析服务器响应以确定返回的数据是否是可执行文件(以“MZ”开头)
OSTAP通常从C&C服务器下载可执行的有效载荷。我们在以下部分中更详细地描述了有效载荷,但我们观察到各种银行业务特洛伊木马以及MRWHITE恶意软件。
银行木工
演员每天旋转Ostap下载的有效载荷。以下银行木马已下载或发现暂存和准备下载在C&C服务器:
- Dridex僵尸网络ID 3302(针对英国和法国的组织)
- URSNIF ID 1068(定位波兰)
- Tinba(针对德国和奥地利组织)
POS有效载荷分析
MRWHITE(由于使用“MR.WHITE”用户代理)是由OSTAP下载的另一个有效负载。它是用德尔福编写的。其唯一目的是将受感染机上的运行进程名称与有趣的过程名称的硬编码列表进行比较(“|”分隔)。如果它找到了一个感兴趣的过程,它将整个进程列表发送到C&C并丢弃TinyLoader [1,2]。要完成此任务,请先熟悉120秒的MRWHITE睡眠。接下来,它将硬编码的进程列表(图7)组合成一个字符串并反转它。
图7:硬编码列表的POS相关过程名称。字符串以反转顺序存储
在此之后,字符串'/ Tsilksat的VSC'逆转到'tasklist / FO CSV,这个命令就被执行了。该命令以逗号分隔的格式生成一个正在运行的进程列表。恶意软件然后搜索命令的输出,从硬编码列表中寻找感兴趣的任何进程。如果它识别了一个或多个进程,恶意软件就会通过HTTPS将任务列表命令的输出发送到它的C&C(图8)。我们已经观察到两个不同的MrWhite C&C地址,它们以不同的方式被混淆了,尽管很简单。其中一个C&C地址(217[.]28[.]218[.]231)被反向存储,就像进程列表一样。另一个C&C地址存储为两个单独的字符串:'boratorium pl(。)”和“studiomarco-la当它们结合在一起时,就构成了C2: studiomarco-laboratorium[。pl。
图8:MRWHITE向其C&C发送任务列表。注意URL路径“/ gold/bender.php”,再次似乎是“OSTAP BENDER”的引用,来自流行苏联电影和小说的CON人的名称[5]
在将TaskList发送到C&C(图9)后,分析了该研究的三个MRWHITE样本掉落并执行了嵌入式TINYLoader(图9)。所有这些样品都掉落了Tinyloader的完全相同的实例;但是,每个文件名都用于每个:'000. exe””,001. exe”, 和 '5678987654.exe.”。
图9:MrWhite在发送任务列表后删除并执行TinyLoader
在这三种情况下,掉落的Tinyloader是相同的。它传达给了36 62[210年][][]112:10500C&C地址(图10)。
图10:TinyLoader C&C IP Address
我们没有观察到接收任何命令以下载额外有效载荷的TinyLoader。但是,在过去的Tinyloader下载了Abaddonpos。在通过过去的Abaddonpos有效载荷之后,我们发现了最近的一个,它将与MRWHITE丢弃的TINYLoader(图11)丢弃的TINYLoader相同的IP。
图11:AbaddonPOS示例中使用的IP地址和端口
与MRWHITE相关的ABADDONPO与我们分析的先前样品非常相似[1] [2]。它仍然使用自定义算法搜索信用卡数据,然后将数据删除到其C&C。在exfiltrated数据上的编码技术仍然是相同的,但在这种情况下,第二XOR键与IP地址相同(图12)。在解码编码的流量之后,仍然以类似的方式传输作为以前的ABADDONPOS有效载荷(图13)。
图12:第二XOR键与IP地址相同
图13:解码后的AbaddonPOS溢出数据
结论
威胁行动者不断探索新的方法来交付和货币化恶意软件。在这种情况下,一个新的组织正在使用一个未注册的后门和一个新的加载程序交付熟悉的银行木马和POS恶意软件。通过引入新的恶意软件变种,这两种变种都会丢弃经常被现有防御系统捕获的有效载荷,行为者组使检测变得更加困难,并使交换最终有效载荷变得更容易。所有这些因素都增加了企业在恶意邮件到达目标收件人之前阻止它们的需求,因为电子邮件是这次活动中新型恶意软件的主要载体。
参考文献
[1]//www.road2fusion.com/us/threat-insight/post/AbaddonPOS-A-New-Point-Of-Sale-Threat-Linked-To-Vawtrak
[2]https://www.prickpoint.com/us/threat-insight/post/abaddonpos-now-targeting-specific-pos-software.
[5]https://en.wikipedia.org/wiki/ostap_bender.
妥协指标(ioc)
滴管文档# 1
SHA256: f89edff923d1d2daf6b2ab36595e873ed7d1cd52c2f6b66b590fa636c17dced2
MD5: 60 d6bf2b1471ba0b2e63ddad240a16e8
OSTAP#1
SHA256: fc205110d59461412766345ae83b86a34bad748a863e4ffeaaca9f743ec66ca9
MD5:4661CFBF6E560C76E39E84E1DABF91B3
C2:HXXPS:// 185 [。] 130 [。] 104 [。] 156:4433 / picasso1 / Ostap.php?
注意:将“Dropper Document#1”丢弃为“
滴管文档# 2
SHA256: c173085b954ff1055fb859e6584a9e0bb3919740752351ad50706c0b7be37b51
MD5: 569748 d6942ea9bbcfb72defc7ac37a0
Ostap#2
SHA256:6DD4CE1A1EB29A226FC22443494DC3DC03A217D14A5065D4EFB63766504A44CE.
MD5:62AAA2862986D6F15357B7E7EEDB65C
C2: hxxps: / / 185[130年][]104 []156:4433 / DA_VINCI / ostap.php
注意:将“Dropper Document#2”丢弃为“
Tinba.
SHA256: f9ae407ec793386d8306b6d06a8f53bcd489d04442cbffaa3e715622519e1b69
MD5: 95732 f3e380e670719af2f78dbab3b79
C2:HXXP:// CommunicationN [。] Top / GG / index.php
Dridex 3302.
SHA256:00A4DC98870C37EDD6D65619F1Bed61326BC51FC735D8C4B74B3EA3F080E36BF
MD5:28DCBB393FAC147607E3B644A2DD3EC0.
C2: 185 8[][] 165[。] 33:8343(和其他人)
Ursnif.
SHA256:616BF33BD455296B9D514DD4B3AA90A2F8714EE08222C1383FA2B24A20383F30
MD5: 47 f19afe59e40eb2882c3dc755a0b283
C2: 85[204年][]74[158年]
MrWhite # 1
SHA256:CC4382A0602O67BCA990E0BE14202D87BBD7BEE3A14D7EC65FB91E5073248AF
MD5:4 bc1811f05c6cac676dd43cec1f5ae31
C2:hxxps: / / studiomarco-laboratorium pl /金/ bender.php。
流程列表:
ccs.exe | micros.exe | iberqs.exe | TencalStaldard.exe | rpro8.exe | rpro8.exe | isspos.exe | dsiconcordip_host.exe | ddcdsrv1.exe | clientsitef.exe | active-charge.exe | rock.exe | Cro2004.exe |Omnipos.exe | eDCSvr.exe | AFR38.EXE | POS_RETAIL.EXE | QBPOS.EXE | RWPOS.EXE | QBPOSSHELL.EXE | JPOS TOWNPOS.EXE | BOSRV.EXE | POWERPAY.EXE | DSIHEARTLONDIP_TERM.EXE | POSINIT.EXE | DSIHEARTLONEIP_TERMSL。exe|CreditCardService.exe|DSIVitalTNSIP_Term.exe|PaymentServer.exe|RoomKey.exe|XChrgSrv.exe|Cashmate.exe|FiveStarCreditCardIntegration.exe|PaymentBridge.exe|CashClub.exe|FiveStarCreditCardIntegration.exe|PaymentBridge.exe|CashClub.exe|CXSRetailPOS.exe|finchart.exe|Payment Gateway Swipe.exe|ElectronicLockbox.exe|CPS.POSExpressV3.exe|DSICardnetIP_Term.exe|Magtek Signature Capture.exe|Aldelo.EDC.AFRService.exe|XCharge.exe|Gym Assistant 20.exe|e7.exe|ebmain.exe|elba5.exe
TinyLoader:是的
MrWhite # 2
SHA256:435E3EE12BD73AE03A8037CB394C77B92D4F3D97D2B6A956D11564D925924C79
MD5:d80dc01b4a5269c797c7b3e0c66a4965
C2:hxxps: / / studiomarco-laboratorium pl /金/ bender.php。
流程列表:
付款银行| | |信任CCS.exe | MICROS.exe | IberQS.exe | PaymentStandard.exe | RPRO8.exe | ISSPOS.exe | DSIConcordIP_Host.exe | DDCDSRV1.exe | ClientSitef.exe | Active-Charge.exe | Rock.exe | CRE2004.exe | OmniPOS.exe | EdcSvr.exe | AFR38.exe | POS_retail.exe | qbpos.exe | RWPOS.exe | QBPOSShell.exe | JPOStouchPOS.exe | bosrv.exe | PowerPay.exe | DSIHeartlandIP_Term.exe | POSINIT.exe | DSIHeartlandIP_TermSL.exe | CreditCardService.exe | DSIVitalTNSIP_Term.exe | PaymentServer.exe | RoomKey.exe | XChrgSrv.exe | Cashmate.exe | FiveStarCreditCardIntegration.exe | PaymentBridge.exe | CashClub.exe | FiveStarCreditCardIntegration.exe | PaymentBridge.exe | CashClub.exe | CXSRetailPOS.exe | finchart.exe|支付网关Swipe.exe|ElectronicLockbox.exe|CPS.POSExpressV3.exe|DSICardnetIP_Term.exe|Magtek Signature cap .exe|Aldelo.EDC.AFRService.exe| xcharger .exe|Gym Assistant 20.exe|e7.exe|ebmain.exe|elba5.exe
TinyLoader:不
MrWhite # 3
SHA256:34BF0A10955E1F010B2369D5815A2DCAB660F1D3BCEEA526AAB83AAD517B34CE.
MD5:2 cc76c39999254ea88507937754d8c47
C2:hxxps: / / studiomarco-laboratorium pl /金/ bender.php。
流程列表:
ccs.exe | micros.exe | iberqs.exe | TencalStaldard.exe | rpro8.exe | rpro8.exe | isspos.exe | dsiconcordip_host.exe | ddcdsrv1.exe | clientsitef.exe | active-charge.exe | rock.exe | Cro2004.exe |Omnipos.exe | eDCSvr.exe | AFR38.EXE | POS_RETAIL.EXE | QBPOS.EXE | RWPOS.EXE | QBPOSSHELL.EXE | JPOS TOWNPOS.EXE | BOSRV.EXE | POWERPAY.EXE | DSIHEARTLONDIP_TERM.EXE | POSINIT.EXE | DSIHEARTLONEIP_TERMSL。exe|CreditCardService.exe|DSIVitalTNSIP_Term.exe|PaymentServer.exe|RoomKey.exe|XChrgSrv.exe|Cashmate.exe|FiveStarCreditCardIntegration.exe|PaymentBridge.exe|CashClub.exe|FiveStarCreditCardIntegration.exe|PaymentBridge.exe|CashClub.exe|CXSRetailPOS.exe|finchart.exe|Payment Gateway Swipe.exe|ElectronicLockbox.exe|CPS.POSExpressV3.exe|DSICardnetIP_Term.exe|Magtek Signature Capture.exe|Aldelo.EDC.AFRService.exe|XCharge.exe|Gym Assistant 20.exe|e7.exe|ebmain.exe|elba5.exe
TinyLoader:是的
MrWhite # 4
SHA256:1B50AF4FF0B300C680829F7B394A1DB9126659A00F2088D0CD831970E31792A9
MD5:BE9365524AAE756EDB5F811B9DA567AA
C2:hxxps: / / 217(。)28[]218[]231:4433 /金/ bender.php
流程列表:
| POS | CCS.exe | MICROS.exe | IberQS.exe | PaymentStandard.exe | RPRO8.exe | ISSPOS.exe | DSIConcordIP_Host.exe | DDCDSRV1.exe | ClientSitef.exe | Active-Charge.exe | Rock.exe | CRE2004.exe | OmniPOS.exe | EdcSvr.exe | AFR38.exe | POS_retail.exe | qbpos.exe | RWPOS.exe | QBPOSShell.exe | JPOStouchPOS.exe | bosrv.exe | PowerPay.exe | DSIHeartlandIP_Term.exe | POSINIT.exe | DSIHeartlandIP_TermSL.exe | CreditCardService.exe | DSIVitalTNSIP_Term.exe | PaymentServer.exe | RoomKey.exe | XChrgSrv.exe | Cashmate.exe | FiveStarCreditCardIntegration.exe | PaymentBridge.exe | CashClub.exe | FiveStarCreditCardIntegration.exe | PaymentBridge.exe | CashClub.exe | CXSRetailPOS.exe | finchart.exe|支付网关Swipe.exe|ElectronicLockbox.exe|CPS.POSExpressV3.exe|DSICardnetIP_Term.exe|Magtek Signature cap .exe|Aldelo.EDC.AFRService.exe| xcharger .exe|Gym Assistant 20.exe|e7.exe|ebmain.exe|elba5.exe
TinyLoader:是的
TinyLoader
SHA256: 6834 b3daff4e76973d21177875d9c1380eabc56ef25d3bd3e36780a5c915fc0e
MD5: 688 f2d1ef1fea91065110d96c0596ee9
C2:62 [。] 210 [。] 36 [。] 112:10050
AbaddonPOS
SHA256: 631156 fcd1e0804e915bfb933cbc275f7d3036d47e10d6328816e0b7693a2b05
MD5: ed06bf280c1694d4d41a23d6a5240b2a
C2: 62[210年][]36 112:27117(。)
ET和ETPRO Suricata/Snort覆盖范围
2823657 etpro木马观察恶意SSL Cert(JS / OSTAP下载器)
2020150 et trojan tinyloader.a checkin x86
2020151 et trojan tinyloader.a checkin x64
2020152 ET木马TinyLoader。A发送UUID和x86进程
2020153 ET木马TinyLoader。A发送UUID和进程x64
2020849 ET木马TinyLoader。B1签入x86
2020850 et trojan tinyloader.b1 checkin x64
2020851 et trojan tinyloader.b2 checkin no架构
2020852 ET木马TinyLoader。B1发送过程
2022072 ET木马TinyLoader。B2签入x64
2812523 etpro trojan tinyloader.c cnc beacon x86
2812524 etpro trojan tinyloader.cnc beacon x64
2814778 etpro trojan tinyloader.d CNC Beacon x86
2814779 ETPRO木马TinyLoader。D CnC信标x64
2814803 etpro木马win64.tinyloader CNC灯座
2814810 ETPRO木马TinyDownloader检索PE
2823172 ETPRO木马Tinba变体签入
2820263 etpro木马gozi isfb cnc checkin
2823044 etpro木马w32.dreambot checkin
2021813 ET木马Ursnif变体CnC信标
订阅校正博客