境外黑客团伙“肖邦”借助美伊军事冲突热点传播窃密木马
TAG:GandSteal、德国、智利、金融、教育、窃密、加密货币
TLP:白(使用及转发不受限制)
概要
微步在线威胁追踪团队发现一起借助近期美伊军事冲突事件传播窃密木马的攻击活动,攻击者具体情报信息包括:
- 利用美伊军事冲突国际高度关注据的热点问题对欧洲地区目标发起攻击。
- 攻击者近期攻击使用的首层loader木马编译解析名称为Chopins,因此命名该攻击团伙为“肖邦”。
- 通过木马功能分析了解,攻击主要目的是窃取指定类型文件情报和虚拟加密货币钱包以及互联网用户登录凭证信息。
- 在2019年5月起“肖邦”曾频繁以各种主题为诱饵向位于德国、韩国、智利等国家的金融、教育行业攻击目标发起“鱼叉攻击”攻击。
- 目前“肖邦”仍然处于攻击活跃状态,全球的相关行业的网络安全仍然受到该团伙的威胁。
详情
2020年新年伊始之际,伊朗伊斯兰革命卫队下属“圣城旅”指挥官卡西姆·苏莱马尼3日在美国对伊拉克首都巴格达国际机场发起的一场火箭弹袭击中被“定点清除”。8日凌晨,伊朗向驻伊拉克美军和联军部队发射了十几枚导弹,伊朗方面声称是为了报复美国的非法刺杀行动,在本次导弹袭击造成的伤亡和损失三方各执一词。
美伊冲突双方,一个是世界具有海陆空立体化全天候全球核打击的超级核大国,另一个是具有中远程导弹且为准核的地区强国。本次美伊军事冲突给全球政治、军事、经济都带来极大的恐慌,恐慌由此引发的第三次世界大战甚至核大战。亚欧等第三方国家积极调停双方冲突,德国总理默克尔与俄总统普京也计划讨论由于美国空袭巴格达机场而导致的中东紧张局势升级问题。
美伊冲突问题成为近期国际社会重点关注的热点,也是全球APT组织和黑产团伙攻击的热点诱饵主题,德国地区的企业或政府他们的攻击目标。2020年1月15日,微步在线威胁追踪团队捕获境外黑产团伙利用美伊军事冲突热点,对德国国家职业教育中心BBZ发起“渔叉攻击”。在钓鱼邮件中夸大美伊军事冲突肆意制造舆情恐慌作为诱饵主题,诱使攻击目标下载并运行最新舆情信息附件下载木马。本次攻击主要目的是窃取攻击目标指定类型的文件、互联网账号、虚拟加密货币钱包和远程控制等。我们根据该团伙首层loader木马编译解析名称为Chopins,命名该团伙为“肖邦”。
样本分析
“肖邦”黑产团伙攻击执行流程:
SHA256 | 7fc1f3fe35c53d082d455109420347e4db55871eddfdb4d93dd18d07ed7eab38 |
|---|---|
SHA1 | d43a350cf13b2fe2ac7d4bee8cbf123d68016dca |
MD5 | 473f6c772ae46d8be206be7f6d41650b |
文件格式 | eml文件 |
文件大小 | 216KB |
文件名 | |
时间戳 | 2020/1/15 (周三) 16:29 |
攻击者利用国际社会担心美伊军事冲突导致引发核战风险热点议题伪造攻击诱饵主题,附件中最新动态消息。
SHA256 | 79531f0429b145014b4053761ea690f9801f0790f486d037e31b82fdb48a1444 |
|---|---|
SHA1 | b442a5f5164c915b1388c3059d634bafff1accaf |
MD5 | 3306f65b67bc017e882810206e380796 |
文件格式 | doc |
文件大小 | 19KB |
文件名 | Tipps.doc |
时间戳 | 2020-01-1418:40 |
附件样本并没有包含热点新闻信息,而嵌入宏代码远程下载情报窃取加载木马http://st8.paakuno.ru/Chopins.exe。
SHA256 | 06eb2d46cc73c623167269866721432356b6389070af637e9760f029a4a97adc |
|---|---|
SHA1 | 363cecce80f5350cf13e9854c82a8fee4dc1a394 |
MD5 | d23eb0336c18041fd4da1a1ae11d9fee |
文件格式 | exe |
文件大小 | 26KB |
文件名 | Chopins.exe |
时间戳 |
样本通过多层编码解密获取木马下载链接地址,下载经过编码加密后的下层木马Holivar.exe。
SHA256 | c87fba7b1a490bc7ce24cb970d8aa347a56bd370cc340fd5024aa92e681e2a48 |
|---|---|
SHA1 | 2666799d8e27b91be30c0912a9116a9f986bf6d4 |
MD5 | 3c31b3c4eee40f39fd6ffd01b4495658 |
文件格式 | exe |
文件大小 | 4096KB |
文件名 | Holivar.exe |
时间戳 | 2020-01-14 09:33:14 |
经过类似的编码解密内存释放GandSteal开源木马。
SHA256 | 57eb881162f2567887c94cf26955192f33954968b72caeabbca2e47abfb0512f |
|---|---|
SHA1 | 13cf6899a8be9cb1311d542d0b2c5c9188fb9e2a |
MD5 | bf2ae2f58be395836e9ee9b94b1f3212 |
文件格式 | exe |
文件大小 | 422KB |
文件名 | Holivar.exe |
时间戳 |
采集本地存放的虚拟加密货币钱包信息(BQT、BTC、BYT、DQT、ELECT、EnumerateData、ETH、EXDS、LTC、LTCQT、MNT)。
采集浏览器cookies、虚拟加密货币钱包、TelagramSession、桌面文件、ftp、远程控制,系统进程、系统配置等信息。
远程连接C2,接收C2下发指令,采集系统指定路径的指定类型文件,加密回传到C2服务器中。
C2下发远程指令,要求收集Desktop、Documents的*.txt、*.doc、*.docx、*.xls、*.xlsx、*.pdf等文件加密回传C2。
加密回传C2服务器数据。
关联分析
微步在线威胁追踪团队通过诱饵文档关联发现类似文件曾于2019年12月11日出现,且传播木马相同。而从关联文档的IOC(2o6nm.fastyou.ru、45.147.230.39)进一步拓线发现“肖邦”在2019年5月使用的早期样本,证明该团伙至少于2019年5月就已经开始针对全球多个国家的金融、教育等行业开展攻击活动。
表-“肖邦”历史关联情报信息
时间 | Sha256 | 关联IOC |
|---|---|---|
2020-01-14 | 79531f0429b145014b4053761ea690f9801f0790f486d037e31b82fdb48a1444 | http://st8.paakuno.ru/Chopins.exe |
2020-01-14 | 06eb2d46cc73c623167269866721432356b6389070af637e9760f029a4a97adc | http://7xbq.bohakuren.ru/DjtqFsZwKeSj |
2020-01-14 | c87fba7b1a490bc7ce24cb970d8aa347a56bd370cc340fd5024aa92e681e2a48 | |
2020-01-14 | 57eb881162f2567887c94cf26955192f33954968b72caeabbca2e47abfb0512f | http://45.67.231.128:2012/websocket |
2019-12-11 | aa33cc75eac0a7d73a560dbd705013d1fcd30e7f848931b9ca52cc6c6d902ce9 | http://tomaslemon.xyz/4ry8q3zs/CZARINA.exehttp://2o6nm.fastyou.ru/http://45.147.230.39/api/check.get |
2019-12-05 | 86cee6c084cb695975a2a278ef80f4faa8bfa6562c601158f1a268f403f20a16 | http://45.147.230.39/api/check.get |
2019-10-18 | 3aeedde236438d98efe8b693bfd10aa52bfe1368e7470055b11b2b7318eec9af | http://skyrim-cccc.myjino.ru/api/info.gethttp://skyrim-cccc.myjino.ru/api/download.get |
2019-09-20 | 96e83ec8b86f76675b51e62d5facfc88a79288acc248f91c2d785f4041a56574 | http://dovofon.myjino.ru/api/download.gethttp://dovofon.myjino.ru/api/gate.gethttp://dovofon.myjino.ru/api/info.get |
2019-09-20 | 156ce8800b709f80627680d0572d575adc24a5b6d5f75f7f11250156793b6f9c | http://94.250.250.206/api/check.gethttp://45.67.231.23:53623/IRemoteClienthttp://94.250.250.206/api/gate.get |
2019-09-15 | 057908e4878ff39a35219c28e384930c99d64bacae6b366fbdb1dba04a0f2f38 | http://testingservice1337.ru/api/check.get |
2019-09-15 | e8ddf29783bb37e309f15223b5a42a5a46e2ddd71ba69f36740684d974e96b72 | http://94.250.250.206/api/check.gethttp://f.uhavebullet.ru/GoldWild.exehttp://45.67.231.23:53623/IRemoteClienthttp://94.250.250.206/api/gate.get |
2019-09-15 | e22d632985ce4512ddcd724b356708718a58c039afa2ca627e7c931bda69b1ee | http://ojq.anri44til.ru/PashCam.exehttp://c.anri44til.ru/GoldWild.exe |
2019-08-29 | 14e96cb73224ec301234dc40b9fe59b670994d8e73f6d709c43a4796d61011e5 | http://45.67.231.23:53623/IRemoteClient http://0qe.pdofan.ru/setup.exe http://3b0p.pdofan.ru/komarLoger.exehttp://ro.pdofan.ru/sendhuaveiBLuRI.exe http://ro.pdofan.ru/sendhuavei.exehttp://ro.pdofan.ru/Justmine.exe |
2019-08-29 | 5dea05c66cdb42b6bb3f390b2bb3f558af33baf69520a1f4e9057c8db8c9f241 | http://45.67.231.23:53623/IRemoteClient |
2019-08-29 | c75a2de5437bdcd99668e3ef31878e85581556a699124a7e8b188c39220c02ac | http://ro.pdofan.ru/Justmine.exehttp://ro.pdofan.ru/komarLoger.exehttp://45.67.231.23:53623/IRemoteClienthttp://4t5zk1.anri44til.ru/jesus/jesus.exehttp://4t5zk1.anri44til.ru/jesus/jesusTrue.exehttp://51b6ru.anri44til.ru/Kirito2.exehttp://45.138.157.98:2012/websocket |
2019-08-29 | a67a49508ab70bd9385cfc665b509aec539fc5823a6e819b4cc9ff81a14e4ef7 | http://45.67.231.23:53623/IRemoteClient |
2019-05-29 | 7e979ae80f4db2c10d4289da37edf11acfe0b61ed1f3a8f0182e0282cd8c43f0 | http://ra.pdofan.ru/Justmine.exehttp://v69.pdofan.ru/111111111.exehttp://ip-api.com/json/http://195.161.62.146:2012/websockethttp://45.67.231.23:53623/IRemoteClienthttp://0qe.pdofan.ru/setup.exehttp://ro.pdofan.ru/sendhuaveiBLuRI.exehttp://ro.pdofan.ru/sendhuavei.exehttp://ro.pdofan.ru/Kirito.exehttp://ro.pdofan.ru/Justmine.exe |
在“肖邦”关联的历史样本时间分析判断,相比于前期2019年的攻击态势,目前仍然处于攻击活跃状态;从核心木马功能以及历史诱饵文档主题判断,该团伙主要是针对金融和教育行业进行数据情报窃取;从关联木马中解析有俄文痕迹,木马使用的IOC资产主要集中在俄罗斯地区。
微步在线威胁追踪团队仍会持续跟进监控该团伙,