我们看到的大多数恶意软件都是通过僵尸网络发送的垃圾邮件传播的。其他恶意软件通过从已被破坏或恶意的网站上“驱车下载”而来。现在,一名攻击者正在使用合法的大规模电子邮件服务传播Nymaim木马,这一令人担忧的转变可能会使此类攻击更难被发现。
Nymaim是一种两岁大的恶意软件,与勒索软件关系最为密切。我们已经看到最近的攻击使用一个成熟的电子邮件营销服务提供商来传播它,以避免黑名单和检测工具。但是这种恶意软件现在被用来分发银行木马,而不是勒索软件。
最初发现于2013年的Nymaim木马在安装文件加密恶意软件之前就安装了勒索软件制作头条新闻勒索别人的钱,医院,甚至警察。那时,Nymaum很多通过黑洞爆炸套件(BHEK)作为“逐下载”。后来,参与者背后的任主分配开始操纵搜索结果因此,与BHEK妥协的网站更有可能获得点击。到2014年,研究人员发现感染了Nymaim的机器还含有其他恶意软件的痕迹,包括Vawtrak、Miuref、Pony和Ursnif。
尽管Nymaim最著名的是与早期勒索软件有关,但它的核心是一个下载木马,可以用来安装各种恶意软件。最近,我们一直在为Nymaim追踪新的载体和有效载荷,多个活动利用电子邮件发送文档附件或指向文档的url。当用户打开其中一个文档时,这些宏下载并安装Nymaim。然后,在大多数情况下,Nymaim安装Ursnif.在脆弱的PC上银行木马。
电子邮件包括服务提供商使用的合法域的链接,但将用户重定向到恶意宏嵌入文档以提供nymaum。目前尚不清楚威胁演员是在电子邮件营销服务中使用受损的帐户还是注册免费试用。在任何一种情况下,趋势都标志着他们通常依赖僵尸网络的偏离 - 并且可以使它们更加难以检测。
图1:利用电子邮件营销服务的诱饵
图2:从图1所示的链接下载的恶意文档
毫不奇怪,使用众所周知的电子邮件营销服务可以通过改善链接声誉,将发件人保持在白名单上,并通过故意排除批量邮寄服务的多个安全供应商绕过采样来提高攻击的有效性。
在其他竞选活动中,Nymaim的宣传方式甚至更为迂回。例如,在2月17日,我们追踪到一场恶意的文件附件攻击,其中微软Word文件附在以“二月付款”或“联邦快递快递通知”为主题的电子邮件中,使用宏将Pony投放到个人电脑上。
小马是一种具有窃取证书能力的木马。在这种情况下,它被用来下载Nymaim,而Nymaim反过来又可能下载其他恶意软件,如Ursnif。
在最近的这些活动中,电子邮件是传递Nymaim的最佳载体(无论是通过附加的恶意文件还是恶意url链接)。我们在这些新活动中发现了另外两个有趣的特点:
- Nymaim似乎仍在使用与2013年和2014年活动中相同的网络注入(因此针对的是相同的组织),尽管参与者正在使用其他手段(如VBA宏)来传递恶意软件。
- Nymaim严重混淆了其自身的功能和内存中的有效载荷(至少在Ursnif的情况下)。这一举动使得分析和逆向工程变得更加困难。
在图3中,当用户浏览银行网站时,Nymaim正在监视和替换该网站的内容。这个截图显示了恶意软件生成的流量到它的注入控制IP地址31.184.234[.]21。恶意软件报告说用户正在访问一个银行网站。然后,它会收到关于如何修改和替换内容以在用户帐户上发起欺诈的指示。
图3:nymaim web注入
Nymaum很难。但这些竞选人员将一些新方法带到桌面上。滥用电子邮件营销服务为演员带来了许多好处,并使许多接受者可能更容易攻击。它可能是与通常通过电子邮件分发恶意软件的Botnets关联的黑名单IP地址。但在这种情况下,该活动使用已知的“好”邮件分发向量。
在沙箱环境中没有更高级的分析,这些攻击难以捕获。与此同时,演员利用NYMAIM的能力作为装载者及其在分配最新银行木工特洛伊木马的灵活性。
换句话说,旧的是新的再次,Nymaum已经振兴,以满足当前威胁行为者的需求。
妥协的指标
样本散列(下载Nymaim的文档):
CE0C220603D23FBB072F91A6A813C07E0C1D02559F54F9899D3D3BE1DB6D8851
617F3001D64CFC1EDB3CCD70A084F888A34CB7F2E39D92E0685461BAA23A4E5D
c788fd4cae05844344b04629d97be324d1f85dbefdfc8352489154341f888aa9
18E2461C250AAADA1847B2ABA8AEF43F7686477F11B64E7597C325EE557F5128
3 e522c5873f976078e2c31681771640c73ee8a4e192ecbbcf6fe4e8b3a486920
d78e20396efc39af29717d8dcceaf48a241ebd36a2f89d0c903ecf81fa9f5d0c
5 cdf41ef8cc330a5ea7fa06de6e220afdd8c2d5b708041296801f45bcafa16e3
d4e3fb25f0d397967f1e88baffb97cfd6f40953d0c9f998d1c4694d1982d2d65
8EFDFCF63F1DBFA9666BCE23246F49C5788C8C8DACC722038D9110375D89B5
e5c5385b79743ced00adebc0daae5fa619cf3836417bc2b0379f98a24f81c4bb
c0515052e8bc2e2772b29cbb694e72af9a6c2be8ebceba5766bcdaf26fe955da
B5B6B37F28DC16BBBAC8DF75AF51F66436F7A4B4DEC7EE3D911FB2601C1BB3B5
642420 b08d6333b8cf48014b62c60f9bd1f51be4b3c00b6023e824987d177b73
分发域(存放下载Nymaim文档的域):
[hxxp: / / intuit.secureserver17 [] com/invoices/invoice_897 - 84579. - doc)
[hxxp://secure.secureserver17 [。] com / mincoices / vinoice_11471.doc]
[hxxp://quickbooks.intuit-invoices [。] com / incoices / qb_invoice_1147630.doc]
分布域(承载Nymaim有效负载的域):
dalinumsdeli42 com/posts/dli506.exe。
www.billpay-center [。] com / invoices / 007448322.doc
忘记42gibb [。] com / post / 506pblpks.exe
fini4kbimm [。] com
forget42gibb。com
grotesk14file [。] com
intro12duction1 [。] com
finiki45toget。com
joreshi50indo。com
epay-solution。com
billpay-center。com
amoretaniintrodano36。com
Amoretanioontradano37 [。] com
amoretanoenntrodano38。com
Amoretanoentrodano33 [。] com
AmoretanOintrodanio39 [。] com
amoretanointrodano31。com
amoretanoontrodano34。com
amoretanopintrodano40。com
Amoretanopntrodano35 [。] com
Amoretanountrodano32 [。] com
dalinamsdela41。com
dalinamsdele45。com
dalinamsdelo43。com
dalinamsdelu44。com
dalinamsdelu46。com
dalinumsdeli42 [。] com
secureserver17。com
Nymaim样本SHA256散列:
834年ce4c3f3b1a4086d906e24ebf7e6028be81daeb84975f4c507c1cdcb08b2bc
1 a71f4090a95e643caa4cc5723da5d8cf1a24c8cd3caa95f496f1f2810df46ac
0F62B83A7BDCF4AC5E0F8BECCC2B86290BA7432A46CDCDAA5AD21DD4AD2785EE
Nymaim C2:
[hxxp: / / viestisete [] com/kz49uagxyo/index.php]
[hxxp: / / mcwcly [] com/zzpwgdu/index.php]
[HXXP://67.211.221 [。] 36 / zzpwgdu / index.php]
[hxxp: / / 89.163.247 [] 186 / zzpwgdu / index . php)
[hxxp: / / 94.125.120 [] 12 / zzpwgdu / index . php)
[hxxp:// eoquecwpt [。] com / 16lqp / index.php]
小马C2:
[hxxp: / / sinmoughhin[]俄文/ gate.php]
[hxxp://jotertdinthap [。] ru / gate.php]
[hxxp:// rinuntinand [。] ru / gate.php]
小马下载:
[hxxp: / / opulencebeautique [] com/system/logs/webmail.exe]
[hxxp: / / dulichhanoihalongsapa [] com/system/logs/webmail.exe]
[hxxp:// propernenglishtraining [。] co [。] za / wp-content / plugins / cached_data / webmail.exe]
订阅校正博客