首頁 > 安全研究 > 研究報告 > 攻擊與威脅分析

“海黃蜂”:針對我國新興科技企業的竊密活動深度分析

發布時間 2022-04-28

一、概述


啟明星辰ADLab在近幾個月內,注意到多起將發件人偽裝為物流貨運公司的定向郵件釣魚活動,偽裝的對象包含“深圳市運**際物流有限公司”、“上海印**際貨運代理有限公司深圳分公司”和“中**運散貨運輸有限公司”。目前我們監測到的受攻擊目標有”徐州**光電科技有限公司”(主要從事光電器件研發)和“華**通股份有限公司”(主要從事智能汽車制造),可能還有更多的潛在攻擊目標未被發現,攻擊者似乎傾向于對一些新興科技行業發起攻擊,值得相關企業提高警惕,加強防范措施。通過溯源我們并沒有發現任何與本次攻擊相關的現有攻擊組織,該組織在竊密木馬中內嵌的用于竊密信息回傳的發送者郵箱和接收者郵箱均來自伊朗,這在一定程度讓我們誤以為攻擊者來自伊朗,但是通過更進一步分析發現,這些郵箱均是黑客組織竊取的郵箱,其中還包含大量的憑證。


由于該組織特別擅長偽裝,尤其喜歡使用已竊取的郵件憑證來攻擊目標,無論是惡意郵件攻擊,還是用于回傳數據的SMTP信道,都極難溯源和追蹤黑客,因此我們將該組織命名為“海黃蜂”,該組織就像“海黃蜂”一樣隱秘而不易被發現卻能給人致命一擊?!昂|S蜂”組織比較傾向于先攻下一些海運類公司并竊取這些公司郵箱憑證,然后以這些公司的名義對其真實的目標發起攻擊,攻擊的對象以新興的科技企業為主,當前可以確定的受害國家有中國、伊朗、韓國和阿聯酋。


目前所發現的攻擊活動主要以攜帶有竊密木馬的釣魚郵件為主,竊密使用了“Agent Tesla”,木馬采用C#編寫并經過層層加密保護,為了不留痕跡采用了不落地執行,竊密數據包含目標設備上的“FTP賬戶憑證”、“郵箱賬戶憑證”、“VPN賬戶憑證”、“遠程管理軟件憑證”以及“瀏覽器中存儲的賬戶憑證”等各種賬戶憑證信息。需要警惕的是,以往供應鏈攻擊事件中大部分都和重要賬戶的登錄憑證失竊有關?!癆gent Tesla”是一款知名的商業化竊密木馬,該木馬最早可以追溯到2014年,其最先出現在一個土耳其語的網站上售賣,價格根據選擇的功能在幾美元到幾十美元之間不等,現已出現在“海毒蛇”、“Gorgon”、“SWEED”等各個黑客組織的武器庫中。

雖然目前所發現的攻擊并不頻繁,但是從“海黃蜂”的攻擊目的來看,除了我們所發現郵件攻擊外,還可能暗含有更多直接攻擊比如通過VPN憑證、遠程管理軟件憑證進入企業內部所產生的未知潛在的攻擊威脅,這些憑證最危險的地方在于黑客能夠輕易地實施供應鏈攻擊,正如2020年發生的“太陽風供應鏈攻擊事件”那樣,黑客通過憑證進入了太陽風公司內部篡改遠程管理軟件的源代碼,從而導致下游使用該軟件的大量企業受害。



此外,通過對內嵌的攻擊郵箱進行關聯分析發現,該組織最早攻擊可以追溯到2020年年初,該組織成功入侵了伊朗的“Jindal Packaging”、“Voice of Port's Mariner Shipping Agency”等一些海運公司,并且竊取了該公司郵件憑證并以此來攻擊韓國的互聯網公司“NAVER”,攻擊“NAVER”的時間發生在2020年7月。


二、攻擊的目標企業


本次發現的“海黃蜂”攻擊中,攻擊者偽裝成 “深圳市運**際物流有限公司”某員工的郵箱“f***@wi***logistics.com”向“徐州**光電科技有限公司”的4名員工發送了內容一樣的釣魚郵件(圖1僅列出收件人為“ja***@l**t.com”的釣魚郵件)。釣魚郵件如圖1所示,郵件主題為“(SOA) OVERDUE FOR DEC. 2021”(SOA于2021年12月到期),郵件正文為“Please check theattached statement for DEC. 2021”(請查看2021年12月的附件)。附件是名稱為“updatedsoa.rar”的壓縮文件,其解壓后是名稱為“updated soa.exe”的惡意可執行程序。


圖片1.png

圖1 釣魚郵件


僅一周后,該攻擊者又偽裝成“上海印**際貨運代理有限公司深圳分公司”某員工的郵箱“***.wu@j***peed.com”向該公司的同樣4名員工發送了另一封內容一樣的釣魚郵件(圖2僅列出收件人為“ja***@l**t.com”的釣魚郵件)。釣魚郵件如圖2所示,郵件主題為“URGENT REQUEST”(緊急請求),郵件正文大意為“請根據郵件附件更新,剩下的文檔我會盡快發送”,附件是名稱為“Invoice.exe.xz”的壓縮文件,其解壓后是名稱為“Invoice.exe”、圖標偽裝成XML文檔的惡意可執行程序。


圖2.png

圖2 釣魚郵件


我們捕獲到的另外一次攻擊中,攻擊者偽裝成“中**運散貨運輸有限公司”某員工的郵箱“yuan-***@chi***ulker.com”向“華**通”公司的員工“***_gao@hum****orizons.com”發送釣魚郵件,見圖3。郵件主題為“TT Transmitted Copy”,郵件正文大意為“請查看附件中120,000.00美元的付款憑證并確認無誤”。附件是名稱為“SWIFT COPY.rar”的壓縮文件,其解壓后是名稱為“SWIFT COPY.exe”、圖標偽裝成Word文檔的惡意可執行程序,攻擊者企圖偽裝成“SWIFT”(環球銀行金融電信協會)的付款憑據誘使受害者點擊。


圖3.png

圖3 釣魚郵件


以上攻擊中,攻擊者投遞的惡意可執行程序執行后均會向感染設備釋放“Agent Tesla”木馬,以竊取攻擊目標主機的“FTP賬戶憑證”、“郵箱賬戶憑證”、VPN賬戶憑證”、“遠程管理軟件憑證”以及“瀏覽器中存儲的賬戶憑證”等各種賬戶憑證信息。


三、溯源與關聯分析


我們監測到的以攻擊“徐州**光電科技有限公司”為目標的攻擊郵件有8封(見表1)。黑客前后對該公司發起了兩輪攻擊,而且這兩輪攻擊所選定的目標和使用的竊密木馬都是相同的。第一輪攻擊發生于1月6日,攻擊者偽裝成“深圳市運**際物流有限公司”的員工向目標發送釣魚郵件;第二輪攻擊發生于1月13日,攻擊者這次偽裝成“上海印**際貨運代理有限公司深圳分公司”員工再次向目標投遞釣魚郵件。兩次攻擊活動的TTPs高度相似,攻擊目標均為該公司的4名內部人員,并使用了同樣的竊密木馬Agent Tesla以及同樣回傳郵箱“donya@fortunaship.com”。


表1.png

表1 關聯的釣魚郵件信息


通過對郵件攜帶的惡意載荷“Agent Tesla”木馬的分析發現,黑客通過木馬會將竊取到的憑證信息回傳給黑客控制的郵箱。黑客在木馬中內置了用于回傳竊密數據的發送者郵箱“info@jindalpackaging.in”、“nowzathali@ratllc.ae”和接收竊密數據的接收者郵箱“donya@fortunaship.com”。我們通過用于回傳竊密數據的發送者郵箱“info@jindalpackaging.in”關聯出另一個屬于該組織的Tesla木馬,并進一步對該木馬進行回溯分析,關聯出另外一封針對我國智能汽車制造相關公司“華**通”內部人員的釣魚郵件(見表2)。


表2.png

表2 關聯的釣魚郵件信息


“info@jindalpackaging.in”同樣關聯到了2020年7月攻擊目標為韓國公司的多起攻擊(https://asec.ahnlab.com/en/17550,How AgentTesla Malware is Being Distributed in Korea)。由此可以看出該組織至少從2020年就開始利用釣魚郵件和“AgentTesla”木馬進行網絡攻擊。另外,我們發現 “info@jindalpackaging.in”疑似和郵箱“jindal23396@yahoo.com”為同一個人持有的兩個不同郵箱,而從“jindal23396@yahoo.com”關聯出的信息(見圖4)來看,可以確認該郵箱的持有者供職于“Jindal Packaging”公司,并且位于伊朗(98開始的電話)。


圖4.png

圖4 郵箱和伊朗相關


同時,我們發現用于接收竊密數據的接收者郵箱 “donya@fortunaship.com”疑似是伊朗海運代理公司“Voice of Port's Mariner ShippingAgency”(http://vopmco.com/Aboutper.html)一職位為財務的員工郵箱(見下圖5)。結合前文木馬用于回傳竊密數據的發送者郵箱“info@jindalpackaging.in”的正常持有者也同樣為伊朗公司的員工,可以看出攻擊者似乎竊取了大量伊朗人員的正常郵箱,由此可以看出,攻擊者在早前攻擊過伊朗相關公司。


圖5.png

圖5 關聯到的伊朗某海運公司員工



由以上分析可知,“海黃蜂”組織在“Agent Tesla”木馬中使用的回傳竊密數據的發送者郵箱“info@jindalpackaging.in”和接收竊密數據的接收者郵箱“donya@fortunaship.com”都不是攻擊者自己的郵箱,而是攻擊者竊取其他用戶的正常郵箱。這和“海黃蜂”組織的攻擊特性相符,該組織長期主要以竊取各類登錄憑證為目的,其通過已竊取的憑證作為發送者郵箱,來隱藏自己的攻擊行為,防止自己被溯源定位。


我們根據此次攻擊中該黑客組織在木馬中內置的用于回傳竊密數據的發送者郵箱“info@jindalpackaging.in”關聯到該組織2020年7月攻擊目標為韓國互聯網公司“NAVER”的多起攻擊,這起攻擊中,用于發送和接收竊密數據的郵箱同樣屬于伊朗的兩家海運公司,這兩封郵箱分別為“info@jindalpackaging.in”和“donya@fortunaship.com”,相關的企業分別為分別為“Jindal Packaging”、“Voice of Port's MarinerShipping Agency”。而通過進一步分析發現,“海黃蜂”組織早在2020年初對伊朗的這兩家公司進行了攻擊并成功取得相關人員的登錄憑證。從黑客組織的目標我們可以看出,攻擊類似海運公司并取得憑證并不是該組織的真實目的,其真實目的只是想利用這些海運公司來打掩護,以更高的成功率更隱秘的方式來攻擊一些高科技企業。


四、攻擊樣本分析


如圖6所示,惡意郵件附件是名稱為“updated soa.rar”的壓縮包,其解壓后是名稱為“updated soa.exe”、圖標偽裝成“soa”更新程序圖標的惡意可執行程序?!皍pdated soa.exe”實際上是自動化工具“Agent Tesla”打包的木馬,其運行后分四個階段執行:“updated soa.exe”是經過大量混淆的母體外殼程序,其執行后會在內存中解密并不落地執行第二階段模塊“Bunifu.UI.dll”;“Bunifu.UI.dll”執行后會從母體“updated soa.exe”的資源段讀取名稱為“qdjSmj”的資源文件進行解密,并在內存中不落地執行第三階段模塊“js顧RFH顧 diQC”(exe可執行程序);“js顧RFH顧 diQC”模塊一方面負責母體程序“updated soa.exe”的持久化,另一方面解密、注入并執行最后階段模塊“AgentTesla”核心木馬?!癆gent Tesla”核心木馬執行后會竊取感染設備“FTP賬戶憑證”、“郵箱賬戶憑證”、“VPN賬戶憑證”、“遠程管理軟件憑證”以及“瀏覽器中存儲的賬戶憑證”等各種賬戶憑證信息后,以郵件的形式將這些信息回傳到攻擊者控制的郵箱。


圖6.png

圖6 攻擊流程圖


4.1 第一階段模塊


母體“updated soa.exe”主要用于解密并在內存中加載下一階段的功能模塊“Bunifu.UI.dll”,“updated soa.exe”將自身偽裝成“soa”的更新程序,以迷惑攻擊目標執行?!皍pdated soa.exe”使用自定義的函數將密文解密和字符串替換后,得到一串base64編碼的字符串,然后調用FromBase64CharArray函數解碼該字符串(見圖7)。解碼得到名稱為“Bunifu.UI.dll”的Dll文件(見圖8)并在內存中不落地執行。


圖7.png

圖7 Base64解碼字符串后,內存加載執行


圖8.png

圖8 Base64解碼后的“Bunifu.UI.dll”文件


4.2 第二階段模塊


該階段的模塊名稱為“Bunifu.UI.dll”,其執行后會從母體“updated soa.exe”的資源段讀取名稱為“qdjSmj”的資源文件(如圖9所示)進行解密,解密后是名稱為“js顧RFH顧 diQC”的exe可執行程序。


圖9.png

圖9 “updated soa.exe”中名稱為“qdjSmj”的資源文件


“Bunifu.UI.dll”的函數“Bunifu_TextBox”負責解密“qdjSmj”資源文件(如圖10所示),該函數首先遍歷圖9資源文件中的每個像素點,對每個像素點的RGB數據依次排列,然后使用自定義的異或算法對這些像素數據進行解密。


圖10.png

圖10 解密函數


“Bunifu.UI.dll”解密得到名為“js顧RFH顧 diQC”的 exe可執行程序后繼而在內存中不落地加載執行該程序。圖11為Bunifu.UI.dll解密母體“updated soa.exe” 中資源文件“qdjSmj”得到的“js顧RFH顧 diQC”可執行程序。


圖11.png

圖11 解密資源文件為可執行程序


4.3 第三階段模塊


 “js顧RFH顧 diQC”模塊經過了大量混淆(如圖12所示)。我們分析后發現該模塊主要有兩個功能:一是創建計劃任務實現母體“updated soa.exe”的持久化,二是解密并執行最后階段的“AgentTesla”核心木馬。


圖12.png

圖12 經過混淆的“js顧RFH顧 diQC”


4.3.1 持久化


該模塊首先會使用WriteAllBytes函數將母體“updated soa.exe”的副本寫入“C:\Users\username\AppData\Roaming\”目錄,并重命名為“KcSOZJHG.exe”,見圖13和圖14。


圖13.png

圖13 寫入第一階段模塊副本


圖14.png

圖14 寫入的第一階段模塊副本


然后該模塊會讀取感染設備主機名、用戶名等信息,使用“WriteAllText”函數向感染設備的“%tmp%”目錄寫入“.tmp”后綴的XML文件(見圖15)。


圖15.png

圖15 向感染設備的“%tmp%”目錄寫入XML文件


XML文件的內容見圖16:


圖16.png

圖16 XML文件內容


接著該模塊執行"schtasks.exe" /Create /TN \"Updates\\KcSOZJHG\"/XML \"C:\\Users\\ThinkPad\\AppData\\Local\\Temp\\tmp32C4.tmp\"命令創建計劃任務(見圖17),完成持久化,以達到惡意程序開機啟動的目的。


圖17.png

圖17 創建計劃任務,實現開機啟動


之后該模塊會刪除xml臨時文件(見圖18)。


圖18.png

圖18 刪除xml臨時文件


我們使用命令行查看該模塊創建的計劃任務(見圖19),可以看到該模塊創建了名稱為“\Updates\KcSOZJHG”的計劃任務,在系統每次啟動后運行惡意程序“C:\Users\username\AppData\Roaming\KcSOZJHG.exe”。


圖19.png

圖19 惡意代碼創建的計劃任務


4.3.2 解密并注入“Agent Tesla”核心木馬


完成持久化操作后,該模塊會在內存中解密出最后階段的模塊-“Agent Tesla”核心木馬,然后啟動“RegSvcs.exe”進程,使用進程鏤空的方式將“Agent Tesla”核心木馬注入到“RegSvcs.exe”進程中執行。RegAsm.exe 是 Microsoft .Net Framework 的官方組件,攻擊者將AgentTesla”核心木馬注入其中以規避安全檢測。圖20為內存中解密的“Agent Tesla”核心木馬數據。


圖20.png

圖20 內存中解密的“Agent Tesla”木馬數據


在進程注入方式上,該模塊調用了常見的進程注入API進行注入操作:使用 CreateProcess() 創建掛起的“RegSvcs.exe”進程,通過 VirtualAllocEx()、NtUnmapViewOfSection()、ReadProcessMemory()、WriteProcessMemory() 將“Agent Tesla”木馬注入掛起的“RegSvcs.exe”進程新分配的內存中,接著使用SetThreadContext()/Wow64SetThreadContext()、GetThreadContext()/Wow64GetThreadContext() 修改exe 的注冊表并修改 EIP 指針指向Agent Tesla核心木馬,最后調用 ResumeThread() 恢復執行“RegSvcs.exe”進程。圖21是該模塊部分API的截圖。


圖21.png

圖21 進程注入用到的部分API


4.4 最后階段模塊


“Agent Tesla”核心木馬執行后,先將自身拷貝到“C:\Users\ThinkPad\AppData\Roaming\tKZVPq”目錄,并重命名為tKZVPq.exe,然后通過設置注冊表“HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run”實現開機自啟動(見圖22),完成持久化。


圖22.png

圖22 設置開機自啟動


4.4.1 竊取信息


該“Agent Tesla”核心木馬中有設置Timer對感染設備進行屏幕截圖并回傳的代碼,但未啟用,其啟用了竊取目標設備上的“FTP賬戶憑證”、“郵箱賬戶憑證”、“瀏覽器中存儲的賬戶憑證”等各種賬戶憑證和瀏覽器Cookie的功能。該“Agent Tesla”核心木馬支持的回傳方式有SMTP、FTP和HTTP。本模塊選擇使用SMTP方式將竊取到的敏感信息回傳到攻擊者控制的郵箱賬戶中。

圖23是“Agent Tesla”核心木馬竊取賬戶憑證涉及到的部分瀏覽器截圖。


圖23.png

圖23竊取賬戶憑證的部分瀏覽器截圖


我們將這些瀏覽器整理到表3中。從表3中我們可以看到,“AgentTesla”核心木馬嘗試竊取包括Chrome、Edge、Safari、Firefox等主流瀏覽器、和國內QQ瀏覽器、360瀏覽器、UC瀏覽器、獵豹瀏覽器以及其他多個瀏覽器中所保存的賬戶憑證和Cookie。


表3.png

表3 竊取賬戶憑證的所有瀏覽器


我們將木馬竊取賬戶憑證涉及到的FTP應用、郵箱應用、VPN應用、遠程管理應用以及一些其他應用分別列到以下幾個表格中。


表4.png

表4 木馬竊取賬戶信息的FTP應用


表5.png

表5 木馬竊取賬戶信息的郵件應用


表6.png

表6 木馬竊取賬戶信息的VPN和遠程管理應用


表7.png

表7 木馬竊取賬戶信息的其他應用


4.4.2 回傳竊密信息


圖24顯示的是“Agent Tesla”核心木馬竊取到的感染主機Outlook郵箱應用保存的郵箱賬戶和郵箱密碼。


圖24.png

圖24 竊取到的Outlook郵箱賬戶和密碼


木馬竊取到感染主機的相關賬戶憑證信息后,會使用攻擊者事先竊取的郵箱將這些信息回傳給其控制的另一郵箱(如圖25所示)。


圖25.png

圖25 郵箱發送竊密信息


從上圖可以看到,回傳竊密數據的發送者郵箱為“info@jindalpackaging.in”,接收竊密數據的接收者郵箱為“donya@fortunaship.com”。郵件主題為PW_用戶名/主機名,郵件正文包括時間、感染設備的用戶名、主機名、操作系統名稱、CPU信息、內存信息、以及竊取到的Outlook郵箱賬戶名稱和密碼(如圖26所示)。


圖26.png

圖26 郵件主題和正文


五、總結


通過分析可以看出,“海黃蜂”組織目前能夠被發現的攻擊手段仍然以偽造的郵箱賬戶對目標進行定向攻擊,以向目標設備投放惡意木馬。在侵入目標設備后,惡意木馬再通過內存解密和多層嵌套加載、不落地執行來躲避安全檢查,最終在目標設備上長期潛伏。針對此類攻擊,企業應當做好企業郵箱SPF防護,以阻止來自偽造郵箱的攻擊。同時我們建議用戶不要隨意打開和下載未知來源的郵件附件、做好郵件系統的防護外,即便是收到的郵件來自已知來源或熟悉的合作伙伴公司也要謹慎對待,慎重打開其附件中的文件,如有必要聯系發送者進行確認,提高安全風險意識,一旦發現系統或服務器出現異常行為,應及時報告并請專業人員進行排查,以消除安全隱患。此外,“海黃蜂”組織主要目的是竊取并收集攻擊目標設備上的“FTP賬戶憑證”、“郵箱賬戶憑證”、“VPN賬戶憑證”、“遠程管理軟件憑證”以及“瀏覽器中存儲的賬戶憑證“等各種賬戶憑證信息,然后利用這些信息作為偽裝,進一步攻擊其他目標。更讓人不安的是,這些敏感信息可以讓黑客完全控制企業的內部系統,并且能夠輕易地實施隱蔽性更強、危害性更高的供應鏈攻擊。因此,我們除了對郵件提高警覺和防護外,還需要加強VPN、遠程管理軟件等等內部軟件的異常行為監測。

上一篇 下一篇