新的矛网络钓鱼活动是针对沙特阿拉伯政府组织的目标。该攻击源自包含以阿拉伯语单词文档的网络钓鱼电子邮件。如果受害者打开它,它不仅会感染系统,而且通过他们的Outlook收件箱发送与其他联系人相同的网络钓鱼文档。

我们知道至少有大约十几个沙特机构的目标。这种电子邮件传播攻击利用社交工程来欺骗用户通过宏执行代码。威胁演员使用的恶意词文件表明他们花了时间让他们看起来是合法的,并从高级官员中添加的参考资料和名字,可能是诱惑似乎更可信。

来自此攻击的实际有效载荷是我们检测到Trojan.neuron的信息窃听。它有用于从受害者机器中收集感兴趣的文件的指示,并将数据牢固地剥离到远程服务器。

攻击摘要:

  • 受害者打开一个单词文档并启用宏,触发嵌入式Base64编码证书的解码(签名.crt.)。
  • 解码的模块被执行为sign.exe.(用.NET v4编写的文件),它是“神经元客户端”的滴管。
  • neuro-client.exe.文件已从中执行%programdata%文件夹并生成带有两个HTTPS服务器之一的keepalive数据包(mail.spa.gov.sa.webmail.ecra.)。
  • 用于加密通信和文件的密钥是机器GUID。
  • Keepalive数据包是使用该机器密钥加密的RC4,并且使用RSA 1024发送机器键本身以安全地发送和存储它。
  • 服务器和客户端之间的所有传输都是RC4加密的。客户端可以从C2服务器下载其他文件/插件并执行它们。

更新(03/27/2107)

我们收到了一个丢弃相同有效载荷的新的恶意单词文档(见IOC的帖子底部)。必威平台APPMalwarebytes用户仍然受到保护,无需任何签名。

技术分析

Word文档概述:

宏可能运行可执行文件包含混淆的宏码将DLL加载到自己的内存中运行删除可执行文件宏可以读取系统主要特征运行现有的可执行文件宏可能会覆盖文件访问Windows敏感数据:Windows地址簿可疑的延迟打开文档时启动宏代码搜索内部证书商店数据库收集系统主数据(MachineGuid,ComputerName,SystemBiosversion ...)检查用户主文件夹路径访问Windows敏感数据:Windows配置文件信息包含宏包含创建文件功能的宏删除.exe文件删除.dll文件访问Windows敏感数据:证书

快速分析奥特霍尔斯Olevba.)向我们展示来自精心设计的Word文档的宏中的部分:

有效载荷嵌入到Base64代码中的宏中。它使用了Certutil.将Base64解码为PE文件,然后执行:

删除二进制概述:

搜索内部证书商店数据库将DLL加载到自己的内存中收集系统主数据(MachineGuid,ComputerName,SystemBiosversion ...)访问Windows敏感数据:Windows配置文件信息访问Windows敏感数据:Windows地址簿删除.dll文件删除.exe文件访问Windows敏感数据:证书

让我们来看看掉落的二进制文件。它是在.NET中编码而未滥用。这是加密的有效载荷:

解密它我们可以看到主要有效载荷(neuro-client.exe.更名为firefox-x86-ui.exe这里))和两个帮助者DLL:

它通过任务计划程序设置自动重新启动的持久性:

这片恶意软件的目的似乎是窃取信息并将其上传到远程服务器:

总结

虽然恶意软件本身似乎没有过于复杂,但这种特殊的竞选活动在沙特阿拉伯政府的各个办事处都非常圆满。有时违反组织安全的最佳方法是使用社会工程使用非常常见的入学点,而不是一些花哨的零日。这是更便宜的更便宜,并且还可以对特定状态演员的归因更加困难,因为例如,宏被各种各样的罪犯使用。

最近几个月遭到沙特阿拉伯的袭击事件,特别是对高价值目标。此特定示例似乎没有与破坏性赛赛恶意软件共享属性,但在这种情况下,在这种情况下,肇事者在收集数据一旦收集数据就会很好地擦拭机器。确实推动赎金软件或损坏系统可用于使取证分析更加困难,并隐藏有价值的线索。

保护

据来自来源的报道,Malwarebytes反漏电者积极阻止了目标攻击,必威平台APP而不使用签名更新,因为它的应用程序行为保护层为Malwarebytes的所有消费者和公司用户的应用程序。必威平台APPMalwarebytes反恶意软件还会完全检测和修复威胁。

IOC:

词滴管:

MD5:3cd5fa46507657f723719b7809d2d1f9 0e430b6b203099f9c305681e1dcff375 SHA256:a6dbc36c472b3ba70a98efd0db35e75c340086be15d3c3ab4e39033604d0bcf9 bbe3700b5066d524dd961bd47e193ab2c34565577ce91e6d28bdaf609d2d97a8

二进制有效载荷:

MD5:4ED42233962A89DEAA89FD7B989DB081 SHA256:A96C57C35DF18AC20D83B08A8885202071MD0033ADD0914B951ADBD1639B0B873

有效载荷名称:

C:\ ProgramData \ * \ *  -  86-ui.exe与*是这些之一:火狐|铬|歌剧|艾比| Mozilla浏览器|谷歌| hewlet |爱普生|施乐|理光|土坯| Corel公司| java的| NVIDIA |瑞昱| Oracle | Winrar | 7zip | VMware |杜松| Kaspersky |麦克菲|赛​​门铁克|雅虎| GoOG

网络通信:

mail.spa.gov.sa/ews/exchange/exchange.asmx webmail.ecra.gov.sa/ews/exchange/exchange.asmx.
62.149.118.67 85.194.112.9 93.184.220.29