挖掘工具包活动一段时间相对安静,偶尔有正如大家所知道的那样竞选活动提醒我们,逐行下载仍然是一个威胁。

然而,在过去的几天里,我们注意到我们的遥测中的飙升似乎是一个新的漏洞套件。仔细检查后,我们意识到它实际上是非常难以捉摸的绿色日落ek。

它背后的威胁行动者有一个独特的做法,包括由网站所有者运行的损害广告服务器。从本质上说,他们能够通过这种独特的方式毒害受影响的发行商所提供的广告正如大家所知道的那样

在这篇博客中,我们审查了他们最新的竞选负责推动勒索制造器小马和一个硬币矿工。许多出版商已经受到损害,第一次看到GreenFlash日出EK广泛地扩大了这一标志。

隐身妥协

起初,我们认为攻击来自一个广告网络,但我们能够通过查看流量捕获来确定攻击的来源。受影响的出版商之一是在线视频转换器[。com是一个很受欢迎的网站,可以将YouTube和其他平台的视频转换成文件。根据materverweb.,它每月推动2亿访客:

过去几个月的统计数据显示出高交通量

导航到页面以将YouTube视频转换为MP4格式的人将被发送到漏洞利用套件,但只有在一些非常仔细的指纹识别之后。完整重定向序列如下所示:

导致利用套件的网络流量

重定向机制被巧妙地隐藏在一个虚假的GIF图像中,而这个图像实际上包含了一段模糊的JavaScript代码:

智能方式隐藏图像中的JavaScript

经过一些痛苦的调试,我们可以看到它链接到fastimage[.]站点:

调试JavaScript揭示了链中的下一跳

接下来的几个会话包含了更有趣的代码,包括一个从fasttimage [.]site/uptime.js加载的文件,它实际上是一个Flash对象。

另一种表演隐蔽重定向的幻想方法

这对我们识别为GreenFlash Sundown Exploit套件的一部分来执行重定向。它使用Flash Exploit来通过PowerShell提供其编码的有效载荷:

利用PowerShell很有趣,因为它允许在决定是否丢弃负载之前进行一些预检查。例如,在本例中,它将检查环境是否为虚拟机。如果环境是可接受的,它将提供一个非常明显的有效载荷在SEON勒索软件:

Seon的赎金瓶笔记

该勒索软件使用批处理脚本来执行一些任务,如删除影子副本:

批处理帮助删除备份

GreenFlash Sundown EK还将放弃小马和硬币矿工,而受害者挣扎着决定最好的行动,以恢复他们的文件。

更广泛的运动

我们之前与GreenFlash Sundown EK的接触,例如在我们的2019年冬季开发套件审查,总是仅限于韩国。但是,根据我们的遥测,此活动在北美和欧洲活跃,这是对此威胁小组的有趣偏离。

遥测统计显示我们在哪里找到Greenflash日落最活跃

必威平台APPMalwarebytes用户已被保护逐攻击攻击,我们向发布商通知了妥协,以便他们可以采取行动。

妥协指标

Greenflash日落基础设施:
hxxps [: / /] fastimage[]网站/
hxxp [: / /] adsfast[]网站/
hxxp [://] digitaledsettings [。] cdn-cloud [。]俱乐部/
104.248.42 [。] 143
172.105.66 [。] 231
198.211.126 [。] 118

seon ransomware:
a89591555b9acb65353c2b854e582bc41db2fbc0eda2210b89a877d1862084df
591E7F5EB141C22919A406508F63A558E3BD732FE38844CEBBEA938D6662B.

小马:
C772BDF4BD05AB63D90F4399E97A1D7EEC2891C221739E3B843F9A8C9EDDF4D3
9FF00B46B949BD76923137C0B0ED3CD4E252D6E88A55E9B4798525FA40164850

硬币矿工:
58002D0B8ACD1A539503D8EA02FF398E7AD079E0B856087F0CA30D767581BE4E.

[更新:2019-06-28趋势科技的Joseph Chenbl关于ShadowGate战役的回归