我的生活随笔从2019年10月到2019年12月初研究人员发现多起网络钓鱼攻击事件与Molerats组织(又称AKA Gaza和Gaza Cybergang)有关,其目标是政府、电信、保险和零售业等,涵盖6个不同国家的8个组织。保险和零售业目标不符合该组织先前设定的目标群,可能是为了混淆研究人员对该组织攻击目的的挖掘研究。
Molerats攻击都是通过网络钓鱼发送恶意文件,诱导用户单击链接下载恶意负载。大多数攻击的有效载荷是名为Spark的后门,攻击者可在被攻陷系统上执行命令。Spark后门至少从2017年就被启用,并与“Operation Parliament”活动有关,该行动被认定与Gaza 撬装加油站价格,proe价格Cybergang有关。
Molerats早在2011年就已经开始攻击世界各地的政府组织,主要涉及非法访问和敏感数据收集。他们使用了大量的策略和技术,包括利用公开的后门工具,自我定制研发工具等。该组织主要利用社会工程学和鱼叉式钓鱼作为攻击切入手段,然后通过C2服务器下载恶意负载。该组织使用了多种技术手段使检测和分析变得更加困难,Spark C2通道利用3DES或AES加密HTTP POST请求和响应数据来逃避检测,并且随机生成的密钥对于每个有效载荷都是唯一的。
2019年11月,研究人员发现一封针对沙特***政府组织的网络钓鱼邮件。此攻击附件为已加密码的Microsoft Word文档,该文档包含嵌入的宏。文件的密码在邮件正文中提供给受害目标,深入研究发现该攻击活动由Molerats发起。此外还找到从10月2日到12月9日发送的几次攻击邮件。这些电子邮件被发送到政府和电信组织,并定制了电子邮件主题和附件文件名。攻击活动还涉及两个总部位于美国的组织,一个在零售业,另一个在保险业。
附件大多数是Word文件,另外还有一个PDF文件。表1为此攻击活动中的电子邮件列表,包括电子邮件的详细信息以及目标组织的国家和行业。本文将分析表1中七个文档中的三个。
然后,初始VBScript将通过运行以下命令创建一个计划任务(T1053),每分钟持续运行辅助VBScript:
下载可执行负载后,辅助VBScript运行以下命令终止任何有msiexec.exe的进程,并休眠两秒钟,然后使用合法的msiexec.exe应用(T1218)启动下载的PlayerVLC.msi文件:
宏非常简单,从以下Google存储器下载base64编码的可执行文件,并将其解码并保存到%TEMP%\rundll64.exe:
此PDF文档与doc中的宏病毒不同,其中包含一条勒索消息,试图诱骗用户单击链接、打开RAR并运行可执行文件。图3显示了PDF文档中的内容。
在对dapoerwedding[.]com和servicebios[.]com的初步检查中,没有发现与先前记录关联,但是这两个域之间有一些共同点:
Spark是由AutoIt脚本安装的可执行文件,它是Molerats在许多攻击活动中使用的后门,Cybereason最近将其命名为“ Spark”。根据研究,至少从2017年初开始Molerats就使用了Spark后门。
Spark使用HTTP POST与C2服务器通信来接收命令并发送结果。研究中发现攻击者使用了Enigma,Themida和VMProtect来保护恶意程序,使样本识别变得困难,还发现二进制文件中留下的两个不同版本的Spark标识符,分别是2.2版和4.2版。版本2.2是在2017年创建的,版本4.2是在2019年12月下旬和2020年1月创建的。表2显示了这些版本的Spark,以及它们的编译时间和用于混淆内容的打包程序。
已经收集了数十个Spark样本,其编译时间从2017年3月到2020年1月,表3为Spark相关的C2域。
AutoIt脚本安装的Spark与Enigma打包在一起。 攻击者使用了Enigma中称为“闪屏”的功能,在所有窗口顶部显示图像,并等待用户单击该图像,然后再执行恶意代码。 图5显示了Enigma在执行恶意负载之前显示的启动图像。 闪屏功能可作为逃避沙箱的技术,因为它要求用户在恶意代码运行之前以单击屏幕进行交互。
Spark是一个后门,它允许攻击者在受感染的系统上运行程序并执行命令。它首先检查GetKeyboardLayoutList的结果以及GetLocaleInfoA返回的语言名称,确保它们包含单词“ arabic”。如果在这两个API调用的结果中未找到该单词,则负载不执行其任何恶意代码。负载确认系统已安装了目标的键盘和语言包后,它将开始尝试与指定的C2服务器进行通信。有效负载通过使用自定义XOR解密配置文件,将生成base64编码密钥的SHA256哈希,使用所得哈希的第4至第28个字节作为最终密钥。负载将对64位密文进行base64解码,并使用Triple DES(3DES)解密解码后的密文,从而得到JSON结构化配置。此负载具有下表3中所示的键值。
在与C2服务器通信之前,负载将解密另一个缓冲区,该缓冲区包含调试信息和系统信息收集命令。 表5显示了解密的字符串及其用途。
负载通过HTTP POST请求以及其数据中的base64编码和加密消息与C2服务器lactibagrafica [.] com通信。 图6显示了负载发送到其C2服务器的初始信标。
初始信标中的数据解码解密后为JSON消息{“ CallieVK”:“ W10 =”,“ ReeceWNM”:“ Jessicay”}。 JSON消息包含两个键/值对,“ ReeceWNM”和“ CallieVK”,深圳种牙价格,面粉机价格其值分别传输通信类型和数据。 图7显示了从C2服务器对初始信标的响应,该响应解密为{“ EverlyY”:0}。
收到EverlyY响应后,负载将通过“ cmd.exe”运行以下命令收集系统信息,特别是用户名,主机名和系统特定的UUID:
负载将以base64编码将结果以JSON格式存储在“ ZaydenlnL”中,“ AngelxEv”表示数据类型,如下所示:
生成的JSON数据base64编码,加密后通过HTTP POST发送到C2服务器,如图8所示。
发送系统信息后,负载将从C2服务器接收命令。 图9显示了对此请求的响应,其中包含执行命令的加密数据。
负载中没有命令处理程序,它将通过调用CreateProcessW API函数来处理C2响应中的JSON对象。 JSON对象包含“ Jordanlzw”数组,该数组具有一个或多个对象,在“ Alanih”字段中为应用程序名称,以及要传递到“ TrumanRd”字段中应用程序的命令行参数。图9中解密后的响应包含一个JSON对象,它将运行“ whoami”命令 :
运行C2命令后,负载将向C2服务器发送消息,该消息是向服务器发送特定的任务标识符来通知C2已接收到命令。 数据如以下JSON所示:
“ CallieVK”字段中包含“ JaseN”的JSON数组,其中有一个或多个对象,这些对象的字段名称为“ Lawrence”,其中包含接收到的任务编号,例如{“JaseN”:[{“Lawrence”:5}]}。 具体如图10所示:
确认收到命令后,C2使用“ Allier”数字字段(例如{“ Allier”:7})的JSON对象进行响应。 图11显示了包含“ Allier”字段的base64编码密文。
在发送初始命令结果后,C2用JSON应答,图13奥迪q7的价格,酒瓷瓶价格 显示了C2服务器用“Garrison”字段响应。
这之后负载将进入循环,连续发送HTTP请求以获得额外的命令。此循环以“vanesafm”通信类型开始,如下所示:
“CallieVK”字段表示JSON字段数,其中有“MathiasNbo”来传输UUID,“AdelineRD”包含昵称或活动标识符值。生成的JSON如下所示:
2019年1月的文档自包含负载,而2019年10月、2019年11月和2020年1月文档需要与远程服务器交互。2019年10月和2020年1月的文档有所不同,前者从服务器下载VBScript,2020年1月的文档尝试从Google Drive加载下载有效负载。这些文档安装的Spark也各不相同。
Molerats又称Gaza Hacking Team和Gaza Cybergang,从2019年10月到2019年12月初,一直针对政府、电信、保险和零售业,涉及6个不同国家的8个组织。该组使用钓鱼邮件发送恶意Word和PDF文档,并通过社会工程学攻击感染目标。该组织在攻击中使用了Spark后门,该工具仍在继续开发中。
最新文学常识100,世界文学常识积累大全图片,希望以上内容对你有所帮助,在这里分享生活乐趣,表达意见主张,找到实用的生活信息,y讽非的世界观87573,如需了解更多相关信息,请关注本站 月球文学常识大全集图片,关于古代文学常识的app,希望以上内容对你有所帮助,在这里分享生活乐趣,表达意见主张,找到实用的生活信息,y讽非的世界观88416,如需了解更多相关信息,请关注本站