返回 TI 主页

背景

2018年12月,奇安信威胁情报中心捕获到多个利用Excel 4.0宏针对银行机构的攻击样本。钓鱼文档为携带恶意Excel 4.0宏的Office Excel文档,并通过它下载执行最终的后门程序。采用Excel 4.0宏有利于躲避安全软件的检测,对此我们曾做过相关的详细研究,相关报告可以参考:https://ti.qianxin.com/blog/articles/excel-macro-technology-to-evade-detection

奇安信威胁情报中心经过溯源和关联后确认,这是TA505组织针对银行机构最新的攻击行动。并且基于对攻击者的画像,我们猜测TA505组织可能来自东欧地区以俄语为主要语言的国家。TA505组织由Proofpoint[1]在2017年9月首次命名,其相关活动可以追溯到2014年。该组织主要针对银行金融机构,采用大规模发送恶意邮件的方式进行攻击,并以传播Dridex、Locky等恶意样本而臭名昭著。这些年来,尽管已针对该组织采取了多次行动,比如通过打击Dridex[2][3]和Necurs等僵尸网络来削弱其影响,但都只起到了暂时性的效果[5][6][7]。

2018年3月,TA505组织被发现使用Necurs僵尸网络来传播FlawedAmmyy[8]远控后门程序。本月初,Proofpoint发表的另外一篇文章指出该组织使用的全新恶意软件,并将其命名为ServHelper[9]。奇安信威胁情报中心此次捕获的后门与ServHelper非常相似,不过在入侵的过程中采用了更加难以检测的Excel 4.0宏。

样本在VirusTotal上的检测情况

时间线

奇安信威胁情报中心整理了与TA505组织相关的时间线如下:

攻击过程

奇安信威胁情报中心捕获到多个攻击不同银行机构的恶意邮件,包括标准银行(南非)、智利银行、Bank of Maharashtra(印度)、Banca Fideuram私人银行(意大利)、Kotak Mahindra私人银行(印度)和RMB Private Bank(南非)。通过对这些邮件的分析,我们发现攻击者使用通过VPS服务搭建的或疑似被攻陷的邮件服务器来发送恶意邮件。根据公开资料查询结果表明,其中部分邮件服务器疑似位于乌克兰、摩尔多瓦和俄罗斯。这里以发往标准银行的邮件为例,还原攻击的过程。

含有恶意Excel 4.0宏的文档作为附件被发送到目标邮箱。样例中的邮件看似来自光纤网络供应商(Hiawatha Broadband Communications),其正文催促目标必须在当日内处理完毕那些未完成的支付交易。由于正文与目标的日常工作有较高的相关性,因此恶意附件容易被诱使打开:

Excel文档被打开后,其展示的迷惑性内容将误导用户启用宏功能,从而执行恶意的Excel 4.0宏代码:

恶意的Excel 4.0宏代码位于隐藏的表单中,以避免引起受害用户的注意。该隐藏表单的名字由俄语组成:

恶意的宏代码从hxxp://office365advance.com/update下载样本并执行,并同时试图打开记事本程序,以掩盖其背后的恶意行为:

样本分析

Dropper(Update)

从office365advance.com下载的Update(MD5:53F7BE945D5755BB628DEECB71CDCBF2)是一个MSI文件,内含一个Nullsoft安装包。该文件有数字签名,不过目前该签名已被吊销:

Nullsoft安装包内含有两个文件,分别是后门程序(htpd.dat)和启动该后门的VBS脚本:

Nullsoft安装脚本在运行时,会把htpd.dat和rds.vbs释放到%temp% 目录,随后创建help.bat文件并写入“rundll32.exe $TEMP\htpd.dat, bogus”:

随后执行rds.vbs 脚本,该脚本会运行help.bat 从而加载后门程序(htpd.dat)。

Backdoor(htpd.dat)

htpd.dat(MD5:272C036924BC9B8F44D6158220303A23)是一个动态链接库文件,主要功能在导出函数“bogus”中实现:

当导出函数“bogus”被执行时,它会创建两个线程。其中一个用于同C&C服务器通信,另外一个负责处理从该服务器获取的远程指令。在通信的过程中该后门采用HTTPS,并硬编码“asdgdgYss455”到参数key中:

攻击者可以通过远程指令执行以下操作:

命令 功能
shell 开启远程shell
nop 保持同C&C服务器的连接
slp 设置睡眠时间
load 下载并执行EXE文件
loaddll 下载并执行DLL文件
selfkill 自删除

溯源与关联

奇安信威胁情报中心通过对样本的详细分析后发现,此次攻击的幕后团伙是TA505组织,部分关联依据如下。

在捕获的相似后门中,样本回连的C&C服务器包括pointsoft[.]pw,这与Proofpoint[9]对TA505的描述一致。通过奇安信威胁情报中心数据平台对C&C服务器进行查询,也成功关联到了TA505组织:

该后门采用HTTPS与C2通信,并设置参数key的值为“asdgdgYss455”,该特殊值同样被TA505组织使用过。另外,通信过程中参数名称和顺序也是相同的:

最后,后门指令和功能也与TA505使用的ServHelper RAT匹配。

攻击者画像

由于根据公开数据查询到的结果表明相关邮件服务器疑似位于乌克兰、摩尔多瓦和俄罗斯境内,邮件附件内隐藏的宏表单语言说明这些文档由俄语的Office软件创建,且该组织曾使用的Dridex恶意软件被溯源到东欧地区,因此我们猜测TA505组织可能来自东欧地区以俄语为主要语言的国家。

总结

TA505组织从被发现到现在已有近5年的时间,期间虽有多次针对该组织的打击行动,但可惜均未达到斩草除根的效果。尽管其发送的恶意邮件数量已有大幅下滑,但仍有一定的规模。另外这也不排除是其主动为之的策略,以避免被过度关注从而成为首要打击的对象。从捕获的样本来看,TA505的攻击目标不再局限于欧洲的银行机构,其重心似乎转向了南非、印度等发展中国家,而私人银行也成为其主要攻击对象。

从Dridex的复杂度、演化路径[7]及该组织曾使用的其它多类样本来看,TA505组织持续不断的在技术上投入以保证其攻击的有效性。本次捕获的后门更像是用于甄别受害者目标环境,并为后续攻击提供条件基础。随着攻击面的收敛,后续样本的捕获难度会不断加大。

相对于使用Office 0day,利用Excel 4.0宏需要更多的用户交互以完成攻击。虽然这会降低其攻击的成功率,但可以通过更有针对性的邮件内容和更具迷惑性的文档信息来弥补。此外,这类攻击具有很好的成本优势,因此仍被许多攻击组织大量采用。企业用户应尽可能小心打开来源不明的文档,如有需要可通过打开Office文档中的:文件-选项-信任中心-信任中心设置-宏设置,来禁用一切宏代码执行:

目前,基于奇安信威胁情报中心的威胁情报数据的全线产品,包括奇安信威胁情报平台(TIP)、天眼高级威胁检测系统、NGSOC等,都已经支持对此类攻击的精确检测。

IOC

Key String
aSDGsdgo445
asdgdgYss455
C2
vesecase.com
afsssdrfrm.pw
pointsoft.pw
Download URL
hxxp://office365advance.com/update
hxxp://office365homepod.com/genhost
hxxp://add3565office.com/rstr
Excel and eml samples
9c35e9aa9255aa2214d704668b039ef6
44dad70d844f6696fc148a7330df4b21
fee0b31cc956f083221cb6e80735fcc5
4c400910031ee3f12d9958d749fa54d5
2e0d13266b45024153396f002e882f15
26f09267d0ec0d339e70561a610fb1fd
09e4f724e73fccc1f659b8a46bfa7184
18c2adfc214c5b20baf483d09c1e1824
8cd3b60b167de2897aa6abf75b643d48
2cb8e5d871f5d6c1a8d88b1fb7372eb0
e9130a2551dd030e3c0d7bb48544aaea
9b0cc257a245f04bcd3766750335ad0c
9888d1109d6d52e971a3a3177773efaa
be021b903653aa4b2d4b99f3dbc986f0
2036a9e088d16e8ac35614946034b1a5
ef5741c4b96ef9498357dc4d33498163
e84f6742f566ccaa285c4f2b8d20a77c
Backdoor
53F7BE945D5755BB628DEECB71CDCBF2
5B7244C47104F169B0840440CDEDE788
E00499E21F9DCF77FC990400B8B3C2B5
272C036924BC9B8F44D6158220303A23
C6774C1417BE2E8B7D14BAD13911D04B
cc29adb5b78300b0f17e566ad461b2c7
Digital signature
Name: "VAL TRADEMARK TWO LIMITED"
Serial number:6e 91 95 0d d1 1f df 27 96 83 df b2 b4 9b 2f 47
Thumbprint:39 ca 0e 49 d4 01 77 4b 2b bf ea 16 27 60 7e 6e 6b dc 07 6f
Name: MASTER LIM LTD
Serial number:00 8e 3e 9a 2f e7 3c 91 98 5b 4f 90 d5 95 77 cd 6c
Thumbprint:26 0c 8d 47 00 3c a3 8a f0 54 53 f5 96 7a 8e 03 85 7f 04 88

参考链接

[1]. https://www.proofpoint.com/us/threat-insight/post/threat-actor-profile-ta505-dridex-globeimposter

[2]. https://www.secureworks.com/research/dridex-bugat-v5-botnet-takeover-operation

[3]. https://www.justice.gov/opa/pr/bugat-botnet-administrator-arrested-and-malware-disabled

[4]. https://www.proofpoint.com/us/threat-insight/post/necurs-botnet-outage-crimps-dridex-and-locky-distribution

[5]. https://www.symantec.com/connect/blogs/dridex-financial-trojan-aggressively-spread-millions-spam-emails-each-day

[6]. https://www.symantec.com/connect/blogs/necurs-mass-mailing-botnet-returns-new-wave-spam-campaigns

[7]. https://securelist.com/dridex-a-history-of-evolution/78531/

[8]. https://www.proofpoint.com/us/threat-insight/post/leaked-ammyy-admin-source-code-turned-malware

[9]. https://www.proofpoint.com/us/threat-insight/post/servhelper-and-flawedgrace-new-malware-introduced-ta505

[10]. https://ti.qianxin.com/

TA505 SERVHELPER