写在前面的话
在过去的两周时间里,研究人员又发现了一波新的Jupyter Infostealer攻击,这些攻击主要利用PowerShell命令和私钥签名尝试将恶意软件伪装成合法签名文件以实现入侵感染。研究人员观察到,近期Jupyter Infostealer的感染用户量正在稳步上升,目前总共有26例感染。
关于Jupyter Infostealer
凭证篡改
ТОВ “Чеб” ТОВ “Софт Енжін юа” ТОВ “Трафік Девелоп ЮА”
下图所示的事证书信息样例:
Jupyter 背后狡猾的威胁行为者似乎很喜欢去收集这类证书凭证,因为这些证书所提供的表面真实性,即使是安全分析师也可能无意中信任此类软件。
常见交付方法
当目标用户不小心下载了Jupyter Infostealer之后,他们的浏览器便会调用Jupyter的可执行程序。下面给出的是研究人员观察到的Jupyter初始文件所采用的不同命名方案:
An-employers-guide-to-group-health-continuation.exe How-To-Make-Edits-On-A-Word-Document-Permanent.exe 052214-WeatherPro-Power-Patio-Sport-Replacement-Fabric.exe Iv-Calculations-Practice-Questions-Pdf.exe Sister-Act-Libretto-Pdf.exe Coaches-Gift-Donations.exe Electron-Configuration-Practice.exe Environmental-Accounting-Education-Requirements.exe American-Born-Chinese.exe
伪造的安装工具
在分析过程中,研究人员发现并识别了一起安全事件。在此事件中,installer-bundle.exe部署了一个已签名的Autodesk Create Installer,而Autodesk是一种在过去的网络攻击中经常被利用的软件,主要被用作目标设备上的远程桌面应用程序。
接下来,No-Hoa-Letter-Mortgage.tmp将执行powershell.exe,并连接到位于荷兰的185[.]243.112.60 C2服务器。
然后代码将创建多个文件并以写入权限打开,包括上面PowerShell命令中显示的.dat文件,这些文件通常都存储在%Temp%目录中。
恶意软件会将一个PDF文件存储到目标设备的%Temp%文件夹中(如上图所示),而这个PDF文件则是一个诱饵文件。
这些文件会在初始化感染完成后的几分钟内被删除:
当恶意软件在目标设备上“立足脚跟”之后,便会执行下列命令并使用PowerShell与恶意C2服务器建立多条通信连接:
上述PowerShell命令将负责使用一个自定义XOR密钥解密.DAT文件(0AF84CcF99e5dcA1399141fB72F2B3f2.daT),下图显示的是解密后的PowerShell脚本代码段:
上述PowerShell脚本可以用于解密Infostealer Payload,并使用Reflection.Assembly::load方法在内存中加载DLL Payload:
总结