概述
奇安信威胁情报中心在日常运营过程中发现客户收到了定向的中文钓鱼邮件,正文中逻辑清晰,使用互联网大厂的游戏招聘、AI技术等内容诱导目标公司的HR打开包含恶意lnk的加密附件,从而在内网中立足并寻求进一步的横向移动,经过短暂的调查我们将该团伙命名为UTG-Q-010,具有经济目的定向攻击团伙,攻击者位于东亚。
鉴于上次我们披露UTG-Q-007[1]时境外友商对我们报告的引用问题[2],我们有必要介绍一下UTG(unknown threat Group)编号的由来:为了应对目前奇安信政企终端中的威胁与市面上通用的APT威胁不匹配以及各国APT组织都已经外包给私营公司的现状,我们从政企终端发现的几百个攻击集合中识别出危害性较大且持续活跃的Group,并将其命名为UTG-Q-XXX的样式,所以并不能将UTG单纯的理解为未知组织,我们清楚攻击者的目的和所在地区,但是无法归因到具体的攻击实体或服务的甲方单位。
目前已经披露的UTG组织编号情况如下:
组织编号
所在地区
性质
UTG-Q-001
东南亚
窃密目的
UTG-Q-003
东欧
窃密目的
UTG-Q-007
东南亚
经济目的
UTG-Q-010
东亚
经济目的
技术细节
鱼叉邮件
带有密码的恶意附件如下:
Lnk文件整理如下:
MD5
Filename
9a7d8b8c0dd22472fdc09d925838cdcd
陈国光-字节-U3D.lnk
08520cc4474114c3daef50eb9d4732f8
服务端-王少聪简历.lnk
21c31e99d1794cc96b683ad9641d6908
ParkminResume.lnk
Lnk载荷内容如下:
从lnk文件本身解密出faultrep.dll,并与werFasult.exe一起拷贝到%temp%目录下实现白加黑。faultrep.dll的主要功能为下载者,我们将其命名为MoinDownloader,信息如下:
faultrep.dll
6f1e6e1de42b6fb9c894948b4ba420ec
4d334416cb894193fd4527a92f30bf27
f422a60b6dde97e6b1155ea028c50736
会先释放PDF诱饵文档,内容主要为游戏开发简历。
有些lnk还会释放中韩双语的诱饵:
最后从远程服务器拉取加密payload:C2=hxxps://chemdl.ioskaishi.live/down_xia.php
内存加载python打包的开源木马Pupy RAT,C2=103.79.76.40:8443
针对安卓平台的攻击事件
我们在跟踪UTG-Q-010的基础设施时发现其针对比特币、AI领域的攻击过程中使用了高仿的水坑站点诱饵受害者下载恶意APK,并在国内论坛进行投递。针对币圈的攻击页面如下:
针对AI领域的仿冒站点如下:
经过溯源发现其在国内AI论坛上发帖投递该恶意域名,发帖用户注册时间在2024-02-23
经过分析下载的APK为Ermac家族,恶意代码被插入到了正常APK逻辑中:
C2:conn.phmdbad.live,基于PDNS数据,我们检测到受害者的网络主要为家庭宽带。
扩线
基于LNK的特征我们在VT上找到一些高可信度的同源样本。
LNK MD5
功能
Filename
618c5efe26db267a21134c6726be5123
释放下载者并加载golang特马
ssss.pdf.lnk
e50be1c85e1842fbdcf16ac46866fafb
测试样本
a.lnk
645e7561ae6bf2c458fc73c1530030d3
测试样本
passwords.lnk
38fc22a6ded51b9ebfd02d9d8fb20e5e
释放Xworm家族木马,C2(223.ip.ply.gg:15270)
file.lnk
两个测试样本释放的payload暴露了攻击者的PDB路径。
PDB
C:\Users\suchenbin1\source\repos\message\x64\Debug\message.pdb
C:\Users\lain\source\repos\ConsoleApplication1\x64\Debug\ConsoleApplication1.pdb
ssss.pdf.lnk释放的下载者与MoinDownloader完全不同。
从跳板服务器(94.138.192.147/public/jsp/lasjdflakdsjf.pdf)下载payload解密后启动,后续的payload为golang编写的特马,主要功能为执行C2服务器上的CMD命令。
C2:156.224.22.247:443,在对MoinDownloader进行扩线时发现攻击者2月份的测试木马。:
MD5
Filename
f33d93b32017758c4e716b58071c1d09
HelloWorld_x64.exe
UTG-Q-010最早的活跃时间在2022年末[3],当时投递的诱饵与医药行业有关。
除了初始载荷Lnk发生了较大的变化外,其余的payload在这两年间均保持相同的模式,但是2024年2-3月份这一波大规模的免杀测试极有可能是攻击者寻求变化的表现。
影响
由于UTG-Q-010在24年的活动主要以经济目的为主,所以没有重点单位中招,从网络属性上看,受控目标大部分为家庭宽带,其中包含了大量的币圈人员:
其中企业专线对应的受害大部分为游戏公司和医药公司,符合UTG-Q-010投递的诱饵内容。行业占比如下:
随着低成本的定向攻击越来越多,攻击者只需要很低的成本就能拿到想要的数据和资料,对抗的不对等性愈发明显。这种不对等性表现为,攻击者只需利用一些现成的工具和技术,投入极少的资源就能发起有效攻击;而防御者则必须投入大量的时间、技术和资金来检测、预防和响应这些攻击。防御方不仅需要不断更新安全系统和策略,还需要进行员工培训和提高安全意识。这种资源投入上的巨大差异,使得防御者在与攻击者的对抗中处于不利地位,增加了组织的安全管理成本和难度。因此,如何有效提升防御能力、优化资源配置、降低防御成本成为了当今网络安全领域的重要挑战。奇安信威胁情报中心在未来致力于发现新组织和新技术,从情报的角度为政企客户保驾护航。
总结
目前,基于奇安信威胁情报中心的威胁情报数据的全线产品,包括奇安信威胁情报平台(TIP)、天擎、天眼高级威胁检测系统、奇安信NGSOC、奇安信态势感知等,都已经支持对此类攻击的精确检测。
IOC
MD5:
9a7d8b8c0dd22472fdc09d925838cdcd
08520cc4474114c3daef50eb9d4732f8
21c31e99d1794cc96b683ad9641d6908
6f1e6e1de42b6fb9c894948b4ba420ec
4d334416cb894193fd4527a92f30bf27
f422a60b6dde97e6b1155ea028c50736
618c5efe26db267a21134c6726be5123
e50be1c85e1842fbdcf16ac46866fafb
645e7561ae6bf2c458fc73c1530030d3
38fc22a6ded51b9ebfd02d9d8fb20e5e
C2:
chemdl.ioskaishi.live
conn.phmdbad.live
103.79.76.40:8443
223.ip.ply.gg:15270
156.224.22.247:443
URL:
94.138.192.147/public/jsp/lasjdflakdsjf.pdf
参考链接
[1].https://mp.weixin.qq.com/s/kdwOx4WzH24cVA5qIDY\_DA
[2].https://blog.talosintelligence.com/coralraider-targets-socialmedia-accounts/
[3].https://labs.k7computing.com/index.php/pupy-rat-hiding-under-werfaults-cover/
点击阅读原文至ALPHA 7.0
即刻助力威胁研判