前往小程序,Get更优阅读体验!
立即前往
首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >Operation Layover:针对航空业长达五年的攻击

Operation Layover:针对航空业长达五年的攻击

作者头像
FB客服
发布2021-10-11 15:29:58
8340
发布2021-10-11 15:29:58
举报
文章被收录于专栏:FreeBufFreeBuf

思科和其他安全公司最近发现了一系列针对航空业的攻击活动,分析都主要集中在隐藏远控木马的加密工具上。

通过 RAT 入手分析攻击者是很好的起点,分析发现这些攻击行动与大约六年前的攻击者有关。思科认为攻击者来自尼日利亚,但并没有自己开发恶意软件的能力,加密工具也是从在线论坛上购买的。

攻击者至少活跃了五年之久,过去的两年里一直针对航空业发起攻击。这些小规模的攻击让攻击者在很长时间里都保持低调,但他们的攻击行动仍然可能会产生重大影响。

航空业

微软发现了使用 AsyncRAT 的新攻击行动,研究发现他们使用的攻击基础设施以某种方式互相关联:

在这次攻击活动中,攻击者使用类似于以下电子邮件作为初始攻击向量:

这些电子邮件包含一个指向托管在 Google Drive 中的 .vbs文件的链接。

研究表明,该攻击者至少从 2018 年开始就针对航空业发起攻击。使用 akconsult.linkpc.net的文件提到了 Trip Itinerary DetailsBombardier

AKCONSULT.LINKPC.NET

通过检索字符串 Charter details.vbs发现该域名,这是与 kimjoy.ddns.net域名有关的样本之一。

该域名在 2015 年 7 月 2 日首次出现,攻击者使用了多种远控木马。并且自从 2018 年 8 月开始,样本与该域名的通信表明攻击者正在针对航空业发起攻击。

可以发现,攻击者已经活跃了很长时间。与该域名有关的样本的时间线如下所示:

2013 年 2 月 7 日首次出现的样本是一个包含 .NET 打包程序,该程序执行 RunPE 的三重反射,挖空自身并注入 CyberGate 恶意软件。

Cybergate RAT 的配置参数之一是 NewIdentification。如上所示,使用 Akconsult 作为识别密钥的样本。该参数由恶意软件构建工具定义,以便可以区分多个运算符。攻击者经常使用 Akconsult,用它作为用户名等。

该样本使用的 C&C 域名是 opybiddo.zapto.org,调查发现AKconsult与蠕虫创建者之间没有任何关系。

在 2012 年 9 月到 2014 年 5 月期间,所有的样本都使用相同的恶意软件,但具有不同的标识符。在最近的攻击行动中,该域名被用作 AsyncRAT 的 C&C 服务器,攻击者通过托管在 Google Drive 上的 VBS 文件进行分发。该服务器使用 TLS 来加密 C&C 通信,可以使用相同的证书指纹检索服务器。

AsyncRAT 与用于这些活动的同一服务器进行通信,样本可以扩大到超过五十个,对这些样本的分析揭露了另外八个域名。

大多数域名在 2021 年 5 月或 6 月出现,最早的域名似乎只活跃了几天,关联的样本也较少。但是 e29rava.ddns.net始终处于活动状态,有一些样本将其用作 C&C 服务器。

e29rava.ddns.net

6 月初到 7 月下旬对域名的分析显示,该域名至少与 14 个 VBS 文件有关,其名称与航空业明显相关。

该域名几乎专门用于此类活动,其中一些文件名在同一段时间指向上一个列表中的其他域名,这些 VBS 文件是 AsyncRAT 的加密工具。

bodmas.linkpc.net

bodmas也是攻击者用于 Aspire 加密的用户名之一,对相关的样本检索可以发现,在 2018 年 12 月 Nassief 已经购买了加密工具。

其中一个样本与 kimjoy.ddns.net有关,这是与航空业相关的域名之一,其中一个样本包含如下的 PDB 路径:

此路径显示它正在使用 Aspire 加密工具,也与 bodmas.linkpc.net有关。

groups.us.to

有时候分析会发现弱关联的关联关系,有一个域名看起来没有关系,但 IP 地址之间存在重叠。

最早在 2016 年 9 月 24 日出现的与该域名相关的恶意样本是一个简单的批处理文件,该恶意软件使用 Delphi 进行混淆并下载执行另一个恶意软件。

njRAT

接着开始对 Microsoft Publisher 文件进行分析:

这些 Publisher 文件都有相同的来源,最初用于测试的宏代码和后续版本的宏代码。

不论如何,宏代码都会从嵌入恶意文档中的 Microsoft Form 对象中提取数据。

宏代码从 C&C 服务器下载 HTML 文件并使用 mshta,第二阶段是包含 mshta 执行的 VBScript 的 HTML 页面。代码中嵌入了 PowerShell 脚本,经过反混淆处理后如下所示:

测试互联网连通性后,通过 GitHub 下载后续 PowerShell 脚本。包含三个不同的 .NET 压缩代码,第一段代码是修复 AMSI 阻止恶意软件检测:

第二段代码将执行第一个参数的可执行文件,并注入第二个参数的代码。

注入的恶意软件是 njRAT 的变种。

H-WORM

2019 年 12 月 13 日首次出现的恶意文档下载并执行部署在同一域名上的 Payload。

样本包含简单的chr操作,与域名groups.us.to通信。

通过对 njRAT 样本的深入研究,发现其中使用:https://satlahlk.github.io/msc/cl.png下载后续样本,这个 GitHub 账户表明攻击者在巴西,njRAT 的函数名称是西班牙语。

攻击者似乎对葡萄牙足球运动员 Cristiano Ronaldo 格外感兴趣,ChRiS 是巴西人和西班牙人对他的缩写。

在 C&C 通信中,使用 @!#&^%$作为字段分隔符。

通过对十六进制数据(0A800600000420391B0000800800000420011400008D)的检索,发现了另外三个样本,它们都与同一个域名有关。

这些样本创建名为 UbboSatlahlk的互斥锁,基于此可以发现七个样本,这些都与相同的域名有关。

进一步搜索可以发现这是西班牙语网络安全论坛上的用户名,这些域名使用的大部分 IP 地址位于多米尼加共和国,该国的官方语言是西班牙语。

这些消息是 2016 年的,与域名首次出现时间相吻合。此外,一个名为 UbboSatlahlk的 Skype 帐户的位置在多米尼加共和国的圣多明各,这进一步揭示了其关系。

攻击者

攻击者最初使用 CyberGate 恶意软件,后使用商业恶意软件。akconsult的早期活动与另一个黑客论坛上的 Nassief2018有关,统一账户还提到在 RAT 中使用 bodmaskimjoy作为用户名。

在与用户互动的过程中,用户还透露了他的电子邮件是 kimjoy44@yahoo.com,Telegram 账户为 pablohop,这都与后来的航空业攻击有关。

而在Skype中,该电子邮件地址与 abudulakeem123有关。

地理位置

通过 DNS 遥测查看 akconsult.linkpc.net,大约 73% 的 IP 位于尼日利亚。

其他来源

在 Twitter 上也有其他人研究过,如下所示:

结论

攻击者的技术水平有限,但是从持续攻击多年来看,仍然会产生很大的风险。攻击行动往往更加隐蔽,而经济利益驱使着犯罪分子不会收手。

IOC

akconsult.linkpc.net nextboss.ddns.net exchangexe2021.ddns.net shugardaddy.ddns.net frankent2021.ddns.net hoc2021.ddns.net jorigt95.ddns.net 8970.ddns.net reserverem.duckdns.org monthending.duckdns.org e29rava.ddns.net 03590bca5c249fff42c5bacef39bd308c91f8630a1a19386bed3d469f99864ac 04ea078080a913511d938455a2ea0bfce88597499bf791a99d8561f8870da627 083217a2f03d5c9b0a8e3371afda4c6dd2402ac98d0199aee9729a4e604db603 096cf7af0363489cba18a567f535f3c79cb918226563402ebfa4288d7f4f88e9 0a53710820d1c060c6d46946c81417b4294898accc31c847a027c5622b7afbcb 0b119b80a5676021afd368da94527fc9fe717e2abf5d94574d29bec307251483 0b3f6114a06812ec6676c730de23fd0a60b15b73210ac1151417353bcf7785aa 0bbdae8713cdbb85ed8508140cc98c15c13fa8a82403d5ce848737d18491673a 0c8b4a611d635d0c3fd224562f334b9b0798697af52961ed0e7537413b608830 0caea3fdb7fbd02733441a5e54c1b03694e2203119dd1ff2affd85ca65d76d23 0d04d8a74c4bdb7401e91bff73955738788901724d73b6c42272aa188e1cd72c 0ea350d81b1fde31efdace2a3a96d3bacd6da7dc972723542e1de2dfd64e79a9 0f05e24cc77952658e111c0bb2bf8236fd38d2e1ed90ea9e57e53c13e89275ff 108deaea533c59386bc4c8c7fbade8f1e42e629908bd516ac2a6aa45cb854ff0 1103019f32dd745bffa5319de5a18c5ebc50425f5ec102a436a7de665e6b1553 13ad9c1755d39149c1b643f0e5d2935aad54e9e9754052572bd055056523d905 1a4e182914a3be535bdde75f9a41eef106da3113dc4c683a6bcfc45c986d101a 1a8a77b55f521ca9770e3ad465e1414d74651df2dc9281988a05ad5d0cbe8769 1c6978501bc6f92d9c351315640d1ebbb109bfab7bde9df2db11fa47d9fc574f 1e9033edd37c1115a798e5e8a90f880025f2f7304769d86ff42e88ec90c2f5b1 2192ed71606de24f8def847e758ab2415525edf8a2236cec71fc8f5393c1f80c 281e900c100ad29ef512c1c188800cbdf9c85166bc24a419583f2677b1c6fd23 288c2b8a892fccff6fb94aeb90ae791322892d5ac1949f19f71b1664edc19c28 2a5fc364ad77f25a6655467a3b07a6cb99ece0b266a582df0de7724de2473da6 2da3c027d41c6b3f913a9a21920ba6a5e5c562a3301c8a1410927a6ee039bdd2 2f878e7c5238448f04422067ca97bcebd5e105886a9542ac1a2ea21e42355f9f 3123f70fb616717c44599477734e0dd0aaa7efc1060d755bd6bd8f7ec89f6fb5 33a5ff49f019f2dcf8a400b3f98c5eb239078b7fb64302e22dd48ce50b0b344a 3566eeab1656ef8cc3f7ab32b1d13c256747a57a0d47cd8cfc37b7d4dc38061b 36c0408a369712bdf6b905849d5b8e3628dcaa903e9829378466a838f2265746 39b89bdc998fc9cb3c936b03156c1f185eaeec659ebabeac7b4fcb74bd75847d 3dc81cbb98731bdfe2b4caba9875129475c3fa101f6d458ed79185ada5eac4fd 4077f8d706a2d7cbd453f522d55e88cc7f90e84783510fa56000d800719f1852 4155f4a9d33c08e9ab0d38648930591de5c5376b3b1d551b0e16047d3648e021 42056770d4c7fec72a529126c4c727c715171295ea68e8f39a3b25e835c9c4a0 423b5645f797efdb72ce0e973e0c0d1b166a6b74b497b0a2e791405fb09683d8 4309e6dc5f9633106714d1a16f9300641d45d5062f5456cfb836d4e6d24ace95 43ccf1bf3334c7238b2fbc8ab9192859eccf7535a43332f2fc16e710a2123863 45a271892d1547013ff384d9f1c31195973d6513cd856175cef1cbdbee283a72 4870db29a47060a2a76a3d27ab4d60ae837b221f85f218a8c0fb7eb2d2525696 494e877644452516700834e3599b21a0916d80eef7eaefdbecdb1409e4b5f90d 4ad69083be6c8550af2cb9e9ac749d7c3439d71b542891238a6c749f393a00d5 4bce32e4f456767257a25646a70a370f5c40668c79f7a9f0aecabeddbe6dd795 4da2395efa22de5392cb6e4477f5c78d45f63feafa567960dd34cf7c0470b4ed 4defaa009bec775363b8d8878e592f3928333674d2cbe667e0a279367d6b62a1 4e3358f2c55a09345d65387f5f85ff330ddc18ec9223b773c32990433ae3cd57 4ea27173db2122ae4196e498c3149017aed3598494290b6f3de9aa81e3bfbef1 4f507144c8cd77b7e2f47c9c858ea90f9374b0303fa32eabaeb5221cf954f9dd 50c40dfeb02b23c2dc70cad821b22a7471a5cc87497b4a6abd8efc284a76e7e8 51c548b34c112b336d9e951942ae64ac46747147c2c618e86e6880726931e3a3 554daca78ae1578a4cf518079111961d36eb9e77aad70f659eec521d0d6ef4c7 5571b920ae6916b848cd5d543aad4799093583160ea44248b1a7e03c9222fe9d 55a1585d2deaee3dea3bcf83fee889ab9f312575d9974d09f001927ca3bfe869 5ad602845c426878cdea8c4fec4b2a09e3d2a9f19cf89f2c26b0543a64c67b2d 5b2dc2be60ce4e2b45f56c7e948d4cbf992bf03b491f88e9b38ba59451e94e91 5c4584bbe2f314fd016b3887b57a2ad2b1d7cf963adaf74323967fb75d777fc3 5ceaef4f19760db61a8537fe32f0edc51035c08f96f5bc744b32673956436139 5dcc73e97d260e969d28796b8627de32b248fe15e8688e6d62fe7bbdc2dd921c 5f037d9a6d3232b001d501328a679dd7966b61e70de6a89ca03ede1818fc120e 623534bf150f2538edb27e51ed56b92f464adb5da8e2db378ec3a666fcb64772 6385e64dce8e5cc723fba17edfddc8df6ba18ba2a05b5dd60ac474efb445789b 64ad814038c37cd199b1612c22329244a66d8fca4a0f9953cdd3d1b1ee7b2f95 65ca4e932133e8758c5f177ad6043b6a2d672b19eec3218019c53b3b46bf3fab 68f7e8b9a1a4b69ebe4fb7a5b57b890bd006e5eebaca1337eeca99f8f2d4b745 69642f95f35b3d14f1123de60819e66e59c8f125defb5-8d23b8766f498597de3 6b1db53cbd5dade029bac0a6c54f2d30b6c1579f39a345e7d72383ea7bc4f38c 6b642a070211563273f3ed151103c6e8c52df29e094a28624ff57af05fb8eb22 6b6d52d0f98ac22702ec61144ebd27552f939dadf10a835f995328c0789668ca 6d8d882611849b0e7ebbe464497c052fe027479f6814618457c9f0fa7724dac2 6edf51f455af63a82726d573a00b2b55c1086ee803991a063e5832c65fb3c790 6f52ecef23b4bd9b600ceecd4017a896499bee94cb28320d0828ecf84deedd45 71a7e0e7e1a13de9cd9ea55220196f7d4a9e928ed433c1dc6e257c49bb5c7f56 72db243b5-873aced1d539c01fd36e162cc84e72767508ce080af4ce89e3bf68c 739bc1cf80e017d48165fac50f95663c602587fbe3b6102db7724bfff39f825b 77f2a568d727a29761d4f9aa23b092ffb614f7a7533399fbc8bf45b2cbb84d13 7b52362ef06d1a8ec159d5fb0b2f81d3ed760102eaea86480b34292b480012d2 7cfa61d907f8ee9dd1d943559e59227f58d862a2705b7f673ac302f22fad4803 7e3cd407085c39e851eadc767a0d78443dd7fea16a919babe9dfd78e26d13c90 7eedc9a8b30e105c9d37f05ee94769778e7b02eb568847b0fe347d98d5caf026 7fc3b7342be53bb3933bbc9e69b3b841bf3618896a41fdf187d7b478f96e9e0b 81a058522752f8f11c5045ab81b70e673f79cc0504a9f1a565f324336064a3b7 83fcedc7c7581294bfe9f19fc6c400d8cd29eda746904e18c5b687d3560e2cca 8437510b14bef4d0c535dba910e1c20df0ae3a11284a44f5e1fa432accb0363e 8487084cac1881bc38d783df932733f4607704f30a0b7a9f6fbcec58902510ff 853ff0fa8a56c24ddd6db57f781921d2b205fa099acbfb6a23ce418e1c227307 858f83bf5fbc4eaf6900d3a481f23caf0c71519a5bd949506db04853a5847f44 87c7c23ff999c80b081423d40721ee44b8bf037d26d3452030b8a0f19837f27f 881b95b9064783c072f033052faca44fa4d53193a1f6ce9f754e77a68c2a7b71 88db2afc4b8b21fc9be21f9960e573fe8794562f4e9d952a73ed808aa8961c4d 8986a01fa210c49c7b51d206a83e2cf1f6bc69bc4dc4a346b0681408e58791e3 8b5-88bf5db57e8a9e4d50d62bffd0cfd154158c882533388f9e74fb26ea8d69e 8cbfaa1999cc16fc5f710a6427d2bab89ac62d678a50af17664c8907aad9cf23 8e655b359f96de6f88fdb2076ca78110c3b0eb77f918e8e99a4d7751ed112a7a 9024b2348e6bdba41cf7979fd09150b6311f3abd4e3eb3acbf86b259dbbf2a4f 907ab14013ca5b760d2a16082b315bdfc54b4e9d44985d8cfb23fa43bc719cc8 91377c7c09980e48c2c7aba5a3a66d71c9c6c471ca2dc02a186c7c9e72841438 940629870cba0bceef555d6b05238c3684a6954399b5a05fd2d2678a889eb8b5 948b3e9997588c5fa92cf17ea3606d621ab0fdb3a41f568c42b0d03f3112a676 94a3b5-867d9804f89ea9c1fc8581ba56c83a80f0e77491a380a919377c79af57 9881308b05c089b44390def980246fc830b67203b963d537358db157e9dfb4fe 9cd0186792e78c9f625255402fd784325b213ecbb16d53a62e3baf7c2faefdd5 9dbe3ad48a5c30ec5061da57a52a845129e2042e67ebb950f34b0465fa0b5387 9e94d03c8af6ca9d5ea7cfbf481970c615d0831452fe0edb2a8abcae8c190693 9ed430d3d6468cd2858d36cc9aa100b0c216a2778975ade55ac7f5dc6792d584 9fdd7fa506d1cecb650611897e8172e63e50486c002356eae490a2066141fd2c a03fd6e9683d8f48234081d994c8b2dc8ecd132004210894c0c7b4ed97f03208 a1e95c6769d83724dc68855540805d53ba1a1791c19c68aa176463ba376165e2 a3f943c77562107b681f066faa9c06001220c37ca48f1212a6e04ad27bc645de a41f3fe5481ea0c32d5a0eaf0706415cceed74075c9c752b1ccb402b04a96730 a4d093b5b4825d7d30d64f6a4ba80a2b1079e688ac1a576bdb3d082ff44eaec8 a85919e8611fd1368c4e125a0663e30cd457ca98328b8e4d1940fbb330ea5738 ab3b4397c9e95f9b894c89a8ddda3401ee04526336d497a8c0ee12f89f3710a3 ace6e1274963d34ec4f01b6a74dfb23cb0733daed1abd0611e7ac4ac7e5c8ceb b39eb6aca148f2e3fb491ef8bbfae6f3ea054a7894b36b431d4fb9a86a6be9d1 b3d3a285e35cba08647173ca33aa0744834f91b2af6ba95a374b8c8b89f83b35 b536b2e629251420a9cd824acd7e955540258c78ae7a14b10a787caee251dd40 b6b83a3aa0dd0a9bad132e432c6e8233d796ca6b1b1b831f1a94b7f3fc46ca1e b8412bb181f81254ea35558460f35867ed2e0d6bc59b0c7086124187b8ed01b4 b9e112ad02d419897d298b651a7d1eff532ffbcff0a49514754621422159f02a 3566eeab1656ef8cc3f7ab32b1d13c256747a57a0d47cd8cfc37b7d4dc38061b bbee4612529f7d934954d18b7571522a7045a05457179f83e669f8b4fce10231 bd84d6decb2f5405d0459a1aefe08f9d7634a4262365ceb2cd3b1a033e9c9313 bef717e1da549e205bf88459c537cc22bbd381d24769f399eaa49521df1b9908 c278e70ee10d071ee23868d91628071bb87654c299804b90e4b07b2780c2e070 c2efcc8fa76a41d46b7503cdfbbac52f59280fbbfa10ffe974af0b4edcf57c0f c320c2809e8b986fb4ac9db15bacd6a0f04e298b6be5d77d43099f94e8c51ca9 c3f78dea78b0ce6bed19c3c6d160758a8fd8b3f41e0d60211396eb88d856ab9d c6c6fa1e4521fc4815023611e041377d1722bbb363f6af3c0d91ed216fe5c594 c9e2452b4d231ce272ea3b0b887de1a6b0ddf8c68149953cf3e69866d5a9875c cae455e2cfdcefa11ee64beba30ebbec180490a0f452afcc0e00733d5ff1d944 cb981f01466ade4d1523068432875454e8fecb303ea56ef241ac5df51ba349c9 cd67795d0f8c61ab6269abd53f2bacb2d9d0ae7bcf00ffaba9b8794b9ac2440c cf433da0d2dbbbb026ab3feb9b6b7d44fd681ae33e56da6d41df7e3f6f2c4c46 cfdf291f05acac3bc6a60ab7e20574bfa745a56ea2a0e7c74e3ffee8b38427ca d515a54643d4e324938d2f9ae5d66491f3ed76c2045b681237b844bda801e2f3 d576d9e98452ac972fce6f787353f59587732aac6be8bd948fe38b4c23bbe682 d75818826396ad035834ffc9bbf5f59ad811c21ab6a0bba17911bf59b131b0ad d8c1ccb824ce06a0374f673803bb6247e364145984d25feeb61ae4cbbaa87861 d9bb02f1636ce3e2ad9a4113c3fa9510e5292bf0f63977c5c9e64952930bba54 da2e63cd0e4e23fa018d771a158189ce8d40756633c073695e5c1cffc50d7601 da4b4d0a00b1ea3d81d5fe360dcac86a120ed96617ffc067151c09ff72ff3e45 da79ff6d4487b461ed320011d552ef3ed4d1b1633ec4c51e91702401d0cf221e db6356982c1b324e7e89336abb544b93e9fa3b09b0d1a8fcdfaa22527a5cf66d e403fa45fff2bac7c2c5dfe6dd76eef07c4a707a75ce78ecd17721c931b49f66 e45b917d7b153fa59545b2cbb3c6437d5820aa80b5718946df1bd10401ea39b6 ed007a0a9c9f151652cdb12d82ad500023f001c77cb56acf9c2de44b272e8718 ed2645b0898b4ee7f05d140f1a06ac846fd3029116d020093575b92803468add eee171c3351b6772dc32ac7cf99b95753533ba42dc941034b22be674444a39ff f0565b2e110812686c2eb4ac4cfb0fef390b9bb4ce989b5-8321dcf5797ae7656 f72f70885f5d9d3ce506127606712aa6784cc9ae9a8f7c4375ca430d268027b7 f81a37d816c639fd977d7781f7fe54cc51e2e34aa3bb8bc877c74ae140025003 fa04dec727fa5606216775030ca542478acdbb2ebaceae945167d152bbd19a55 fa1c7b13454ab1857da9a6d6e69fdf328b3f13be7c700e8fa1435bce29abdd25 fa1c7b13454ab1857da9a6d6e69fdf328b3f13be7c700e8fa1435bce29abdd25 7eedc9a8b30e105c9d37f05ee94769778e7b02eb568847b0fe347d98d5caf026 fb11743c878695af326b0082709abac83a45a520545d455a1fc7c2bdb7877894 ff8c018ecabac99723b1851b1a50cab79629fce9151ed8ee5a1a2316f5d2ec88

参考来源

TalosIntelligence

本文参与 腾讯云自媒体同步曝光计划,分享自微信公众号。
原始发表:2021-09-27,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 FreeBuf 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
目录
  • AKCONSULT.LINKPC.NET
  • e29rava.ddns.net
  • bodmas.linkpc.net
  • groups.us.to
  • njRAT
  • H-WORM
  • 攻击者
  • 地理位置
  • 其他来源
  • 结论
  • IOC
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档