这个博客帖子由Erika Noerenberg撰写
介绍
在过去的几个月里,Malwarebytes的必威平台APP研究人员一直在跟踪一个独特的恶意垃圾邮件活动,该活动通过以财务为主题的电子邮件发送Remcos remote access特洛伊木马(RAT)。Remcos通常通过包含脚本或可执行文件的恶意文档或归档文件交付。与其他老鼠一样,Remcos让威胁参与者完全控制受感染的系统,并允许他们捕获击键、屏幕截图、凭证或其他敏感系统信息。然而,与大多数被恶意行为者使用的老鼠不同,Remcos被该公司作为一种管理工具在市场上销售,该公司在网上公开出售Remcos网站.
分布
REMCOS通常通过将特制的设置文件嵌入到Office文档中来感知系统,允许攻击者欺骗用户运行恶意代码而无需额外通知。已观察到该REMCO的此变体通过具有附加存档文件的目标垃圾邮件分发。电子邮件和附件名称主要是在经济上主题;示例电子邮件如下所示:
有关插图,下表列出了来自2021年的电子邮件主题和附件名称的示例:
| 日期 | 主题 | 附件名称 | 内容 |
|---|---|---|---|
| 1月21日 | 单独汇款通知书:纸质文件号9604163 | 付款咨询.IMG. | 付款通知.vbs |
| 4月26日 | 贷款申请评估报告11003354677341 | Appraisal.reportl1100335467734.zip. | 验证.vbs. Property.hta* |
| 5月18日 | FWD:贷款申请评估报告-1100788392210 | Appraisalreportl1100788392210.zip | 评估…vbs |
| 6月28日 | Fwd:提醒:您7月的约会-11002214991 | transaction_completed11003456773311..3 | Report-Slip.vbs |
| 7月6日 | Fwd:提醒:您7月的约会-11003456773312 | 交易完成11003456773312.zip | - 11003456773312. -根据报告 |
在大多数Remcos垃圾邮件活动中,有效负载是包含在附加存档(.zip)或磁盘映像(.img)文件中的可执行文件,尽管有时也会使用恶意文档。然而,在本次活动中,电子邮件包含一个包含Visual Basic脚本(.vbs)的zip存档,该脚本可下载和执行其他脚本,并最终安装Remcos负载。
* Eariler版本还包括一个“property.hta”文件,该文件仅包括以HTML包裹的VB脚本如下所示。有趣的是,此HTML的正文仅由文本“演示”组成,这表明这可能是测试代码。
分析
REMCOS是一个完全运行的大鼠,使威胁演员完全控制受感染的系统,并允许它们收集击键,音频,视频,屏幕截图和系统信息。因为它有完全控制,REMCO也能够在系统上下载和执行其他软件。此REMCOS分发利用一系列脚本,最终导致将REMCOS有效载荷注入Windows系统二进制文件aspnet_compiler.exe..该变体的感染链样本如下所示:
下面分析的样品来源于附件Appraisalreportl1100788392210.zip(SHA256 4 e712de8a3d602ccf55321a85701114c01f9731af356da05fb6e3881a13bb23e)。与所有分析样品一样,感染链遵循上述工艺流程;初始的Visual Basic脚本开始了一系列模糊脚本的下载和执行,最终导致最终Remcos有效负载的注入aspnet_compiler.exe..
虽然上面的脚本由于混淆而冗长,但它最终达到以下简单的PowerShell命令,该命令下载并执行第二个Visual Basic脚本:
第一个下载的脚本(ALL.TXT)也使用简单的去混淆技术来执行一些简单的任务。该脚本中的$JUANADEARCO变量包含base64编码的数据,该数据由脚本的最后一行解码(该数据显示在下面的高亮显示框中已解码)。该脚本执行以下操作:
- 创建目录C:\Users\Public\Run
- \ users \ public \ run\ Run.vbs命令功能
- 下载Lerveri.txt (saved as Users\Public\Run\——Run+++++++++.ps1)
- 将HKCU:\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders\Startup设置为“C:\Users\Public\Run”
- 设置HKCU:\ Software \ Microsoft \ Windows \ CurrenceVersion \ Explorer \ shell文件夹\启动到“C:\ Users \ public \运行”
Shell文件夹注册表项是仍然存在备份兼容性的传统密钥。将这些注册表项的“启动”值设置为恶意软件的执行目录有效设置在系统启动时执行该目录的内容,确保持久性。
Run.vbs以与初始Visual Basic脚本类似的方式被混淆:
此脚本(下面的deobfuscated)仅对执行包含嵌入二进制文件的主PowerShell脚本负责,以全文在明文中编码。
其中一个编码的二进制文件——运行 +++++++++. ps1是加载到合法窗口二进制的Remcos有效负载aspnet_compiler.exe.. powershell脚本中的以下函数将Remcos PE加载到二进制文件中:
尽管自2021年1月以来,该活动的所有分析Remcos样本都回拨到相同的IP地址和端口,但未观察到实际的C2通信量。所有脚本下载都指向合法网站us.archive.org上的地址,有效负载已连接(尽管仅通过TCP握手)到8888端口上的IP地址185.19.85[.]168。
因为这个IP地址在几个月内没有改变,所以我们调查了被动DNS记录,看看这个基础设施是否在最近的其他攻击中使用过。我们发现该IP地址在过去几个月内具有以下解决方案:
| 地址 | 第一次见到 | 最后一次露面 |
|---|---|---|
| Shugardaddy.ddns.net. | 5月26日21 | <当前截至写入> |
| ch-pool-1194.nvpn.to | 5月24日 | 6月30日21 |
| tippet.duckdns.org. | 5月21日 | 5月16日21 |
| mail.swissauto.top. | 5月29日20 | 5月11日 |
| randyphoenix.hopto.org | 4月4日4月4日 | 4月14日21 |
对该IP地址的检查显示多个端口上有多个托管服务。上面突出显示的日期范围很有趣,因为它似乎是邮件服务器,Spamhaus Zen将此地址分类为由于垃圾邮件而被阻止。此外,,分析还显示#totalhash恶意软件数据库包含早在2013年就与此地址相关的恶意软件。与此地址相关的其他恶意软件显示了连接到同一IP的几个其他版本的Remcos示例(许多到shugardaddy.ddns.net端口5946)-显示了一些最近的示例下:
| SHA256散列 | 最后一次见到的日期 |
|---|---|
| 15cf9daf5bad1a5a78783f675eb63850e216a690e0f3302738ce3bd825ba6fc1 | 6 7月21 |
| 0 ea2e136c0604fe2336a37c9d7b5a6150abd58e48311fa625ea375468189931e | 5 7月21 |
| 8 d0dfc2239405eebc7a9d5483492a0225963fae4c110ecbd12f1f39ce1ef937a | 6月29日21 |
| 22634 cbaf1a60ca499a9b692aae881cffdaf205a4755ee34915e5512ea87cab4 | 25日6月21日 |
| 898020967DBEC06A60B63269D54B15AD968E2F1146F10FDBF22E79E2339425D2 | 25日6月21日 |
| D7AEDE3703CE5EC7BB4C333D4DDB6551FB5032825E756B7132367625107A36 | 21日6月21日 |
来自此广告系列的一个识别因素是使用US.Archive.org到主机有效载荷。虽然这不是恶意软件活动的独特之一,但它是我们分析的Remcos活动是独一无二的 - 只观察到VBS分发方法以显示此行为。
在一个分析研究人员分析了HCrypt装载机样品,发现其感染链与前面讨论的Remcos样品相似。虽然阶段和脚本并不相同,但是中间步骤有一些相似之处,例如下载脚本的文件名ALL.txt、Server.txt,以及更新的示例中的Bypass.txt。这些脚本也有一些共同的函数名,但是HCrypt示例具有在Remcos示例中没有的反分析和反病毒规避功能。需要进一步的研究来确定这组脚本是通用的包,还是特定于特定的参与者并在活动中被重用。
尽管这场运动背后的参与者或组织尚不清楚,但散布这种恶意软件的电子邮件的零星性质表明,它在本质上可能是目标。Remcos是一个成熟的木马,已经进化了很多年;尽管基本功能保持不变,但分发和安装的方法仍在不断变化。因为它是可以在网上公开购买的软件,所以很难追踪或将其使用归于某个特定的行为人。然而,考虑到网络基础设施和安装方法的一致性,有可能确定这些攻击背后的动机或参与者。必威平台APP恶意软件分析人员继续监视和跟踪这一威胁,并将根据需要更新检测和指标。
保护
必威平台APPMalwarebytes通过使用实时保护保护用户免受Remcos的影响。
参考文献
https://www.anomali.com/blog/threat-actors-use-msbuild-to-deliver-rats-filelessly
https://www.cybereason.com/blog/cybereason-expose-malware-targeting-us-taxpayers.
https://blog.morphisec.com/tracking-hcrypt-an-active-crypter-as-a-service.
IOC.
分析样品:
| 类型 | 名称/主题 | SHA256 |
|---|---|---|
| 邮件主题 | FWD:贷款申请评估报告-1100788392210 | 673B315A95B8C816502C0DC3CAE79CF14E0D7C09139C2FC4B9202FB09B5B753 |
| 附件 | Appraisalreportl1100788392210.zip | 4 e712de8a3d602ccf55321a85701114c01f9731af356da05fb6e3881a13bb23e |
| 提取样本 | 评估…vbs | 1F8853601030AD92BD78FD3F0FBF39ACD2F39F47317914B67AAA26DFD57FA176 |
Remcos VB脚本:
| 92A7E167629BD14C88A03EF1B6719ACD143082C495972A829F20CC588FD6E084 b1849476d3b8900288d6bf7c9ac229eba5e64d665398302a0842c335259f6560 BA4B51AE64C68B32D126322B51B41DCE7C300C01FAED97ACA35FF142E121A914 5 a69f279426b012b64a3099d778cd57aeca9db135d9701c2e11f71d55c3fb5e3 DB01D69A7AE17947F77B50CFB03B2BE6B784EECDABFBB966B61ECDB3490D3AD. 109A40435AD446C7B03AF30BB049F55275A659C0271FA7A8A1A59D5871D18C10 a5ae2e0f9a8f1c50e21ea93f4a195097753cd16436ffa4e946add38da873c8cb A465BB35F4E7BAFB2FEA17156C39DAEE286E49C3F10463CB8D29766E2D0B200 d2d9b66c9aad0e6cc20a786a89299a8b4a65a5a344db369dfd7bfbad3fb40b55 5F06DA67169389577EC237BFB0C3E0E9203833048F48081被认定为7B6201AD18C27 7519540343e10c7846979809166df1cd0f01087ea53bf20fd5dd416dc6ebad14 dae93e987a854255ff55ce9f62729f17f57d3f8a56933a57cb8de89b698e81f0 b61f6b794f38f736e90ae8aa04e5f71acc8d5470c08ef8841c16087b6710a388 6 f4f4f4b980e471c5f8f5d0d95bff5a7ec98e3e2377f18f7fc0d44828cbe33a6 |
相关的Remcos样本:
| 15cf9daf5bad1a5a78783f675eb63850e216a690e0f3302738ce3bd825ba6fc1 0 ea2e136c0604fe2336a37c9d7b5a6150abd58e48311fa625ea375468189931e 8 d0dfc2239405eebc7a9d5483492a0225963fae4c110ecbd12f1f39ce1ef937a 22634 cbaf1a60ca499a9b692aae881cffdaf205a4755ee34915e5512ea87cab4 898020967DBEC06A60B63269D54B15AD968E2F1146F10FDBF22E79E2339425D2 D7AEDE3703CE5EC7BB4C333D4DDB6551FB5032825E756B7132367625107A36 A80C2E71F7CC69A729035941D13C79FD210290E7F82CEFCE14CEEF7DBA3F3026 1AA8163FC4947FEC127350ABC420E4832A5E7A3430109201F6796FC12292DFC 4A7D54B6013B6296DF3576A8D62F00CBC4AF18FBBBFA97B831C38C664B4D70CE. c55dffdcb320a06872faa4cc7777bafd81051a17533e919fbee3fc27e8f47135 adf94da54bc49abc6fdb2a36523eb726f26dacd5598a0fdc64e61b8d500edad8 59 aafb3dd9c6cdb95ff662299e1faf3efb01d5ef8479dbbb8032b4b9cb3c3d91 adf94da54bc49abc6fdb2a36523eb726f26dacd5598a0fdc64e61b8d500edad8 1 d969ace725bf5185e64c3c4a6ab122a3ff4eaafe25f56bd8c1d7b7ba2df0aac a54f4ee320b21c1cfde3358a25131476127b9fb1fd5cad9fd03fa2be1f4fd0e2 92A7E167629BD14C88A03EF1B6719ACD143082C495972A829F20CC588FD6E084 46 b1d3c565a615b2df02a567f507a2dc7f75d088fc2b52b1f1e1ce7a92594175 1a7ceaddf547d47cf7d2d7eda0357d38f489eaeb3b06ea3027ae87df6e5c8195 47287127BCC7BF1502D8B84AF3C9050A6B46CAA9E1558AB27A2C1B0883505B15 509FB00B3A458A86563737C0CE278F6FB713AFE90DA7E14AA0D54566E172A81 e06220108f931bb43ecf136844cdfede4b9a1bbc637b6ff8a3870710e709fe0e 109A40435AD446C7B03AF30BB049F55275A659C0271FA7A8A1A59D5871D18C10 0 fe5a7d7d6a2c077b4b641f4d2077f2fa476a2317283323801bed7a7a6770906 A465BB35F4E7BAFB2FEA17156C39DAEE286E49C3F10463CB8D29766E2D0B200 0 d74a33006727ab086e281681cc8ee3d71ee7843f19b6fa52a86efc92b0444a1 5F06DA67169389577EC237BFB0C3E0E9203833048F48081被认定为7B6201AD18C27 5CA6AE0CF402083BB06F267962B62D812151C8193A6B7265C8193A6B726F1B84A2ED7CA5EF2 |
其他国际组织:
| 185.19.85.168 ia601401.us.archive.org IA601502.US.Archive.org. ia601405.us.archive.org ia601406.us.archive.org Shugardaddy.ddns.net. ch-pool-1194.nvpn.to tippet.duckdns.org. mail.swissauto.top. randyphoenix.hopto.org |
评论