这篇文章由杰罗姆·塞古拉(Jérôme Segura)撰写,由侯赛因·贾齐(Hossein Jazi)、哈舍雷扎德(Hasherezade)和马塞洛·里韦罗(Marcelo Rivero)撰稿。

最近几周,我们观察到了一些针对大学的网络钓鱼攻击我们将其归因于沉默图书馆员APT集团。10月19日,我们在英属哥伦比亚大学(UBC)用假CVID-19调查确定了一个新的钓鱼文件。

然而,这次攻击和动机与之前记录的不同。该调查是一份恶意Word文档,其目的是下载勒索软件并勒索受害者以恢复其加密文件。

在发现后,我们联系了UBC报告我们的发现。他们已经意识到这场网络钓鱼活动,并很乐意与我们分享更多有关这起事件的信息。最终,由于UBC网络安全团队的快速反应,这次攻击没有成功。

向目标接受者分发强制性新冠病毒-19调查

攻击者用mailpoof.com服务创建了一个电子邮件地址,以便在Box.net和DropBox注册账户。攻击者没有直接通过电子邮件发送虚假调查,而是将文件上传到Box和DropBox上,并利用这些平台的共享功能来传播它。

这样做可能是为了规避垃圾邮件和网络钓鱼过滤器,这些过滤器会阻止来自新注册的低信誉电子邮件地址的邮件。相比之下,在不产生大量误报的情况下,从文件共享服务中检测垃圾邮件要困难得多。

攻击者声称自己是一名经理,并在文件共享邀请(UBC与我们共享)中添加了以下评论:

晚上好,姑娘们,小伙子们!这里是[编辑]的经理。我正在与你分享一项强制性调查,必须在周一前完成。它问了几个问题,关于你认为我们公司在远程工作等方面如何应对大流行。请尽快填好!

如果您需要任何必需品,您还可以在末尾找到一张表格,供您填写!必需品包括:手套、洗手液、口罩或消毒喷雾。我们将免费提供给那些填写表格的员工!只需在你的姓名首字母上签名,并填写你需要的内容和数量!在此之前,我们感谢您的反馈!谢谢大家!保持强壮!我明白像这样的时刻是很困难的!

图1:针对UBC员工的网络钓鱼文档

据UBC称,在一个特定部门内,只有不到一百人收到了访问共享文档的链接。下载该文件需要一个Box或Dropbox帐户,因为它是私下共享的,而不是公开共享的。这可能是为了逃避检测,也可能是攻击者预期目标组织已经在使用这两个共享服务之一。

网络钓鱼文档分析

网络钓鱼文档使用模板注入下载并执行一个远程模板(template.dotm),该模板使用一个恶意宏作为武器。该文件被上传到一个免费代码托管网站(notabug.org)。

图2:模板注入和宏视图

执行宏时,它会执行以下操作:

  • 得到% APPDATA%目录
  • 创造比克索%APPDATA%中的目录
  • 从下面的url下载一个文件,并将其写入Polisen.exe
  • notabug org/Microsoft-Office/Word-Templates/raw/master/lamnarmighar/polisen.exe。
  • 从下面的url下载一个文件,并将其写入Killar.exe
  • notabug[.]org/Microsoft Office/Word Templates/raw/master/lamnarmighar/killar.exe
  • 调用shell函数以执行killar.exe
  • 检查shell函数的输出是否成功(返回值为已执行应用程序的任务Id)
    • 如果成功,它将发送GET http请求到:
      canarytokens.com/about/d4yeyvldfg6bn5y29by4e9fs3/post.jsp
    • 如果不成功,它发送一个GET http请求到:
      canarytokens.com/articles/6dbbnd503z06qitej1sdzzcvv/index.html
图3:包含勒索软件有效负载的代码库

我们能够识别远程模板和有效负载的其他四种变体。在一些文件夹中,我们发现了一些使用瑞典语的文物,这可能表明威胁行为者熟悉这门语言。

打开网络钓鱼文档将通过canarytokens.com网站触发通知。通常,人们使用这种类型的服务来获得特定事件的警报。

这可以是非常有用的预警通知系统,入侵者已经访问了一个网络。在这种情况下,攻击者可能感兴趣的是有多少人打开了文档,以及他们来自哪里。

瓦根勒索器

部署后,勒索软件开始加密用户的文件并向其添加.VAGGEN扩展名。加密过程完成后,它会在桌面上放置一张勒索便条,要求以比特币支付相当于80美元的款项。

图4:赎金通知

这款勒索软件似乎是从头开始编写的,是一个相对简单的应用程序,用Go语言编写,它以一个名为“main_main”的函数开始。

其他属于主应用程序的函数有模糊的名称,如:main_FOLOJVAG, main_DUVETVAD, main_ELDBJORT, main_HIDDENBERRIES, main_LAMNARDETTA, main_SPRINGA。

main_LAMNARDETTA -> main_enumDir main_ELDBJORT -> main_encryptFile main_SPRINGA -> main_encryptAndRename main_FOLOJVAG -> main_runCommands main_DUVETVAD -> main_dropFile main_HIDDENBERRIES -> main_xteaDecryptAndWriteToFile

可以找到完整的函数列表以及它们的rva在这里

图5:文件枚举

恶意软件使用的某些字符串(即赎金通知的内容)在XXTEA的帮助下进行加密(使用库:茶点开始).加密的块首先从Base64解码。XXTEA键是硬编码的(“STALKER”)。在执行结束时,赎金通知被丢到桌面上。

文件的加密和重命名部署为标准Golang函数的回调:path.filepath.Walk。

图6:加密和重命名的回调函数

文件在GCM模式下使用AES-256(32字节长密钥)加密。

图7:AES-256密码

加密算法与演示的算法类似在这里.使用硬编码密钥和12字节长,由CryptGenRandom生成。文件内容是在gcm的帮助下加密的。密封功能。

图8:加密例程

输出文件的内容(扩展名为.VAGGEN)包含:

  • 12字节长的nonce
  • 加密内容
  • 16字节长的GCM标记
图9:突出显示的部分包含加密内容

恶意软件代码中的硬编码密钥“du_tar_mitt_hjart_mina_pengarna0”是瑞典语,意思是“你拿走我的心,我的钱”。用这把钥匙,我们可以轻松地解密内容。

图10:在代码中找到加密密钥

有了所有这些元素,我们实际上可以在不支付赎金的情况下恢复加密文件。看来恶意软件作者到目前为止还没有收到任何付款比特币地址

图11:显示没有支付的比特币地址

异常低的赎金金额

根据我们的调查结果,我们认为这不是一个老练的威胁行为人,也不是Ryuk等任何大型勒索团伙的成员。赎金数额异常低,与专业赎金软件不同,这种攻击可以相当容易地恢复。

然而,网络钓鱼攻击构思良好,模板设计良好,添加了金丝雀标记。目前还不清楚英属哥伦比亚大学是否是唯一的目标。

我们发现,正在对威胁参与者创建的其他存储库进行爬网其他Word模板文件他们使用了一个非常相似的宏来投币。这让人们对这次网络钓鱼攻击背后的动机产生了更多的疑问。

我们非常感谢英属哥伦比亚大学与我们分享的信息。这使我们能够更好地描述这次袭击,并了解目标是谁。

必威平台APP由于我们的无签名反攻击层,Malwarebytes客户已经得到了保护。

图12:Malwarebytes端点保护阻止的网络钓鱼文档必威平台APP

国际石油公司

变量1:
summerofficetemplate.dotm
634264996c0d27b71a5b63fb87042e29660de7ae8f18fcc27b97ab86cb92b6d4
notabug org/arstidar/VARLDVINNA/raw/master/irving.exe。
notabug org/arstidar/VARLDVINNA/raw/master/alderson.exe。
canarytokens[.]com/traffic/jnk5rpagi54vztro6tau6g1v6/index.html
canarytokens[.]com/traffic/articles/tags/z8yobwprmmopmyfyw8sb1fb0a/index.html
alderson.exe
34842EF9870EA15CE3B3F3EC8D80C6FD6A22F65B6BAE187D8ECA014F11AAFA5
irving.exe
00 c60593dfdc9bbb8b345404586dcf7197c06c7a92dad72dde2808c8cc66c6fe

变量2:
UBC-COVID19-Survey-Mandatory.docx
e869e306c532aaf348725d94c1d5da656228d316071dede76be8fcd7384391c3
template.dotm
334531228a447e4dfd427b08db228c62369461bb2ccde9ab1315649efd0316b1
notabug org/Microsoft-Office/Word-Templates/raw/master/lamnarmighar/polisen.exe。
notabug[.]org/Microsoft Office/Word Templates/raw/master/lamnarmighar/killar.exe
canarytokens[.]com/about/d4yeyvldfg6bn5y29by4e9fs3/post.jsp
canarytokens[.]com/articles/6dbbnd503z06qitej1sdzzcvv/index.html
polisen.exe
03420 a335457e352e614dd511f8b03a7a8af600ca67970549d4f27543a151bcf
killar.exe
43c222eea7f1e367757e587b13bf17019f29bd61c07d20cbee14c4d66d43a71f

变量3:
template1.dotm
225E19ABA17F70DF00562E89A5D4AD5E3818E40FD4241120A352ABA344074F4
notabug[.]org/Microsoft Templates/Template/raw/master/irving.exe
notabug[.]org/Microsoft Templates/Template/raw/master/alderson.exe
canarytokens[.]com/images/tags/8pkmk2o11dmp1xjv5i9svji32/contact.php
canarytokens[.]com/articles/traffic/5ayx8tydzeuzhmq6y5u2lxhpa/post.jsp

变量4:
smoothtemplates.dotm
ADA43EE41F70E3279441217473C536024CD9C90E25088A1A6C5CF895F59FE1
notabug org/arstidar/VARLDVINNA/raw/master/irving.exe。
notabug org/arstidar/VARLDVINNA/raw/master/alderson.exe。
canarytokens[.]com/traffic/jnk5rpagi54vztro6tau6g1v6/index.html
canarytokens[.]com/traffic/articles/tags/z8yobwprmmopmyfyw8sb1fb0a/index.html
alderson.exe
b4a1a0012abde1ae68f50fa1fe53df7a5d933ec5410731622ab0ad505915cfb6
irving.exe
00 c60593dfdc9bbb8b345404586dcf7197c06c7a92dad72dde2808c8cc66c6fe

变量5:
template.dotm:
7ad8a3c438f36cdfc5928e9f3c7c052463b5987055f583ff716d0382d0eb23b4
notabug org/Microsoft-Office/Office-Templates/raw/master/mrclean.exe。
notabug[.]org/Microsoft Office/Office Templates/raw/master/mrmonster.exe
canarytokens[.]com/images/feedback/tags/0xu6dnwmpc1k1j2i3nec3fq2b/post.jsp
canarytokens[.]com/traffic/about/images/ff6x6licr69lmjva84rn65hao/contact.php
mrmonster.exe
f42bbb178e86dc3449662b5fe4c331e3489de01277f00a56add12501bf8e6c23
mrclean.exe
71AADF3C1744F919CDDCC157FF5247B1AF2E2211B567E1EEE2769973B2F733A