利用木马化TeamViewer针对多个国家政府机构的攻击行动
近日Check Point的研究人员发现了几起网络攻击事件,主要是针对美国财政部门的官员以及几位欧洲大使馆代表。此次攻击以伪装成机密文件的恶意附件开始,通过将TeamViewer(一个流行的远程访问和桌面共享软件)武器化来完全控制受感染的电脑。
在研究了此次攻击的感染链和基础设施后,我们将其比对了先前的攻击案例,并将攻击者锁定在了一位俄语黑客身上。
在本文中,我们将讨论感染链、攻击目标、攻击者使用的工具以及攻击背后的可能原因。
感染链
感染始于一个带有恶意宏的XLSM文档,该文档以“军事融资计划”(Military Financing Program)为主题,通过电子邮件发送给潜在目标:
电子邮件主题:军事融资计划
文档名称:“Military Financing Program.xlsm”
sha – 256:efe51c2453821310c7a34dca3054021 d0f6d453b7133c381d75e3140901efd12
图1:恶意文件
这份仿制精良的Excel文件,不光背景印上了美国标志,还在文档底部写上了“最高机密”。虽然攻击者努力使文档看起来具有说服力,但他们似乎忽略了文档中遗留的一些西里尔语的成分(比如工作簿的名称),而这可能会帮助我们揭示攻击源的更多信息。
图2:感染链
一旦宏启用,有两个文件将从XLSM文档中的十六进制编码单元格中被提取。第一个文件是一个合法的AutoHotkeyU32.exe程序,另一个则是AutoHotkeyU32.ahk,它是一个AHK脚本,负责向C&C服务器发送POST请求,并可以接收其他AHK脚本URL用以下载和执行。
另外,有三个不同的AHK脚本在服务器上等待响应以开启下一阶段:
· hscreen.ahk:负责截取受害者PC的屏幕截图并将其上传到C&C服务器。
· hinfo.ahk:将受害者的用户名和计算机信息发送到C&C服务器。
· htv.ahk:下载并执行TeamViewer的恶意版本,并将登录凭据发送到C&C服务器。
恶意TeamViewer DLL(TV.DLL)通过DLL side-loading技术加载,用于通过钩住程序调用的Windows API为TeamViewer添加更多“功能”。
修改的功能包括:
· 隐藏TeamViewer的接口,这样用户就不会知道它正在运行。
· 将当前TeamViewer会话凭据保存到文本文件中。
· 允许传输和执行额外的EXE或DLL文件。
图3:MoveFileW函数钩子:添加payload“执行”和“注入”功能。
攻击目标
如上一节所述,AutoHotKey脚本的首要用途之一是从受感染的PC上传屏幕截图。
这些截图上传到的目录是暴露的,可以通过浏览特定的URL查看:
图4:打开带有受害者截图的目录
但是,这些截屏文件会定期从服务器中删除,并且最终“open directory”视图会被禁用。
在那之前,我们能够确定此次攻击的部分受害者,因为大多数截屏都包含了身份信息。
根据我们在自己的遥测中观察到的目标,以及从服务器上收集到的信息,我们能够列出部分目标国家的名单:
· 尼泊尔
· 圭亚那
· 肯尼亚
· 意大利
· 利比里亚
· 百慕大
· 黎巴嫩
仅仅看它针对的国家名单,很难判断这场运动背后是否有地缘政治动机,因为它针对的不是某个特定地区,而且受害者来自世界各地。
不过,观察到的受害者名单显示,攻击者对公共金融部门特别感兴趣,因为他们似乎都是攻击者“精心挑选”的税务部门官员。
行动溯源
我们观察到,该攻击者在其以往的攻击行动中都用到了TeamViewer的木马化版本,但恶意DLL的特性以及感染的第一阶段都随着时间的推移发生了变化。
传播
威胁行为者使用的初始感染载体也随着时间的推移而发生变化,在2018年,我们曾在他制造的多起攻击案例中看到过自解压档案的多种用途,而不是使用AutoHotKey向用户显示诱饵图像的恶意文档。
例如,自解压档案“Положениеопрокуратурегорода(приказомпрокуроракрая)_25.12.2018.DOC.exe”(翻译成“市检察官办公室条例”(按区域检察官的命令)_25.12.2018.DOC.exe”)显示图像如下:
图6:诱饵图片
这张照片显示的是哈萨克斯坦的官员,发布于哈萨克斯坦外交部网站。该可执行文件的原始名称及其显示的内容似乎都表明,它的目标是俄语受害者。
还有其他一些行动也是针对俄语人群的,其中就有一份武器化的Excel文档中提到了需要启用宏才能显示文件完整的俄语内容:
图7:诱饵文件
SHA-256: 67d70754c13f4ae3832a5d655ff8ec2c0fb3caa3e50ac9e61ffb1557ef35d6ee
启用宏后文件将显示金融相关内容:
图8:启用宏后的诱饵文档
上述两种不同的传播方法都显示了攻击者的目标主要针对俄语人群,同时也显示了攻击者对金融世界的兴趣。
Payload
在所有攻击行动中,攻击者对恶意TeamViewer DLL功能进行了多项更改。 以下是每个版本的功能亮点:
第一个版本(?-2018):
· 通过TeamViewer进行远程控制。
· 发送和执行文件。
· 发送基本系统信息。
· 能够自我删除。
· 使用config.bin配置文件。
第二个版本(2018):
· 引入了一个新的C&C命令系统。
· 命令的部分列表,可以使用内部帮助命令查看(该命令还提供了多个俄语版本):
图9:恶意DLL中的帮助命令
· 银行,在线商店和加密市场的Chrome历史记录 – 可以要求DLL从预定义列表中返回所有在线服务的列表。(请见附录)
· 配置文件已由嵌入式配置替换。
第三个版本(2019年——)
· 移除命令系统。
· 添加DLL执行功能。
· 依靠外部AutoHotKey脚本进行信息收集和TeamViewer获取凭证。
归因
在此类行动中通常很难找出谁是幕后主使,但我们通过跟踪之前的行动找到了一个名为“EvaPiks”、经常活跃在`CyberForum [.] ru`论坛的用户,他要么是幕后黑手,要么就是使用工具的创建者。我们在多个帖子中有看到EvaPiks与其他用户交流技术的过程,其中大部分技术都在该系列行动中用到过。
以下是该论坛中某些主题的翻译片段:
图10:其他用户建议EvaPiks使用的宏代码
EvaPiks在最新的攻击中使用了上述的的宏代码,并且一些变量名称如“hextext”都没有改变。
在下面的屏幕截图中,我们看到EvaPiks对其他用户提供了一个“效果很好”的Delphi代码片段:
图11:EvaPiks向其他用户提供的PHP代码
图12:DLL代码中的面板URL
除了类似的Delphi用法外,在其中一次攻击中还使用了论坛“(newpanel_gate/gate.php)”中提到的URL。
早在2017年,EvaPiks就在论坛上寻求建议,提出了关于API函数调用截取的问题:
图13:2017年在论坛上寻找的建议
图14:DLL代码中的钩子
在我们观察到的样本中也使用了相同的“CreateMutexA”和“SetWindowTextW”函数挂钩技术。
该论坛的另一个屏幕截图显示了EvaPiks如何尝试新功能,其中一些功能已集成到恶意DLL中:
图15:来自论坛的开发截图
除了`CyberForum [.] ru`之外,我们还发现这个头像在一个非法的俄罗斯卡盗论坛上很活跃:
图16:EvaPiks在该卡盗论坛上对某用户的辱骂
攻击基础设施
观察到的几乎所有样本都使用相同的网络托管公司:HostKey。(有关URL列表,请参阅附录B)
此外,我们在恶意DLL使用的C&C服务器上观察到以下登录面板:
图17:“Cyber Industries”登录面板托管于193.109.69 [.] 5
图18:登录面板托管在146.0.72 [.] 180
总结
从我们调查调查结果来看,这似乎是一场经过深思熟虑的攻击,攻击者精心挑选了少数受害者,并使用量身定制的内容来诱骗目标受众。
另一方面,这次攻击的某些方面进行得不那么谨慎,并且暴露了通常在类似的活动中被很好掩盖的细节,比如犯罪者的个人信息和在线历史,以及他们对恶意活动的执行进展。
恶意DLL允许攻击者向受攻击的机器发送额外的有效负载并远程运行它们。由于我们无法找到这样的有效负载,也不知道除了DLL中提供的功能之外,它还引入了什么其他功能,所以最新一起攻击的真正意图仍然不清楚。然而,根据攻击者的历史信息,我们推测攻击可能的动机跟财务敲诈相关。
IOCs
DLLs
`013e87b874477fcad54ada4fa0a274a2
799AB035023B655506C0D565996579B5
e1167cb7f3735d4edec5f7219cea64ef
6cc0218d2b93a243721b088f177d8e8f
aad0d93a570e6230f843dcdf20041e1e
1e741ebc08af09edc69f017e170b9852
c6ae889f3bee42cc19a728ba66fa3d99
1675cdec4c0ff49993a1fcbdfad85e56
72de32fa52cc2fab2b0584c26657820f
44038b936667f6ce2333af80086f877f`
Documents
`4acf624ad87609d476180ecc4c96c355
4dbe9dbfb53438d9ce410535355cd973`
C&Cs
`1c-ru[.]net/check/license
intersys32[.]com/3307/
146.0.72[.]180/3307/
146.0.72[.]180/newcpanel_gate/gate.php
185.70.186[.]145/gate.php
185.70.186[.]145/index.php
193.109.69[.]5/3307/gate.php
193.109.69[.]5/9125/gate.php`
Appendix A: Yara Rule
`rule "TeamViwer_backdoor"
{
meta:
date = "2019-04-14"
description = "Detects malicious TeamViewer DLLs"
strings:
// PostMessageW hook function
$x1 = {55 8b ec 8b 45 0c 3d 12 01 00 00 75 05 83 c8 ff eb 12 8b 55 14 52 8b 55 10 52 50 8b 45 08 50 e8}
condition:
uint16(0) == 0x5a4d and $x1
}`
Appendix B: Online services of interest
Banks
`bankofamerica.com,pacwestbancorp.com,alipay.com,cbbank.com,firstrepublic.com,chase.com
citibank.com,bankamerica.com,wellsfargo.com,citicorp.com,pncbank.com,us.hsbc.com,bnymellon.com
usbank.com,suntrust.com,statestreet.com,capitalone.com,bbt.com,tdbank.com,rbs.com,regions.com
53.com,ingdirect.com,keybank.com,ntrs.com,www4.bmo.com,usa.bnpparibas.com,mufg.jp,aibgroup.com
comerica.com,zionsbank.com,mibank.com,bbvabancomerusa.com,huntington.com,bank.etrade.com,synovus.com
bancopopular.com,navyfcu.org,schwab.com,rbcbankusa.com,colonialbank.com,hudsoncitysavingsbank.com,db.com
peoples.com,ncsecu.org,associatedbank.com,bankofoklahoma.com,mynycb.com,firsthorizon.com,firstcitizens.com
astoriafederal.com,firstbankpr.com,commercebank.com,cnb.com,websterbank.com,fbopcorporation.com
frostbank.com,guarantygroup.com,amtrust.com,nypbt.com,wbpr.com,fult.com,penfed.org,tcfbank.com,lehman.com
bancorpsouthonline.com,valleynationalbank.com,thesouthgroup.com,whitneybank.com,susquehanna.net,citizensonline.com
ucbh.com,raymondjames.com,firstbanks.com,wilmingtontrust.com,bankunited.com,thirdfederal.com,wintrustfinancial.com
sterlingsavingsbank.com,boh.com,arvest.com,eastwestbank.com,efirstbank.com,theprivatebank.com,flagstar.com
becu.org,umb.com,firstmerit.com,corusbank.com,svb.com,prosperitybanktx.com,washingtonfederal.com
ucbi.com,metlife.com,ibc.com,cathaybank.com,trustmark.com,centralbancompany.com,umpquabank.com
pcbancorp.com,schoolsfirstfcu.org,mbfinancial.com,natpennbank.com,fnbcorporation.com,fnfg.com,golden1.com
hancockbank.com,firstcitizensonline.com,ubsi-wv.com,firstmidwest.com,oldnational.com,ottobremer.org
firstinterstatebank.com,northwestsavingsbank.com,easternbank.com,suncoastfcu.org,santander.com
everbank.com,bostonprivate.com,firstfedca.com,english.leumi.co.il,aacreditunion.org,rabobank.com
parknationalbank.com,provbank.com,alliantcreditunion.org,capitolbancorp.com,newalliancebank.com
johnsonbank.com,doralbank.com,fcfbank.com,pinnaclebancorp.net,providentnj.com,oceanbank.com
ssfcu.org,capfed.com,iberiabank.com,sdccu.com,americafirst.com,hncbank.com,bfcfinancial.com
amcore.com,nbtbank.com,centralpacificbank.com,banksterling.com,bannerbank.com,firstmerchants.com,communitybankna.com
hsbc.com,rbs.co.uk,bankofinternet.com,ally.com,bankofindia.co.in,boi.com.sg,unionbankofindia.co.in,bankofindia.uk.com
unionbankonline.co.in,hdfcbank.com,axisbank.com,icicibank.com,paypal.com,pnm.com,wmtransfer.com,skrill.com,neteller.com
payeer.com,westernunion.com,payoneer.com,capitalone.com,moneygram.com,payza.com`
Crypto Markets
`blockchain.info,cryptonator.com,bitpay.com,bitcoinpay.com,binance.com,bitfinex.com,okex.com
huobi.pro,bitflyer.jp,bitstamp.net,kraken.com,zb.com,upbit.com,bithumb.com,bittrex.com,bitflyer.jp
etherdelta.com,hitbtc.com,poloniex.com,coinone.co.kr,wex.nz,gate.io,exmo.com,exmo.me,yobit.net
korbit.co.kr,kucoin.com,livecoin.net,cex.io,c-cex.com,localbitcoins.net,localbitcoins.com,luno.com
allcoin.com,anxpro.com,big.one,mercatox.com,therocktrading.com,okcoin.com,bleutrade.com,exchange.btcc.com
bitkonan.com,coinbase.com,bitgo.com,greenaddress.it,strongcoin.com,xapo.com
electrum.org,etherscan.io,myetherwallet.com,bitcoin.com`
Online Shops
`ebay,amazon,wish.com,aliexpress,flipkart.com,rakuten.com,walmart.com
target.com,bestbuy.com,banggood.com,tinydeal.com,dx.com,zalando,jd.com
jd.id,gearbest.com,lightinthebox.com,miniinthebox.co`
