IcedID已經(jīng)代替Valak成為攻擊電子郵件的頭號惡意軟件

luochicun
最初的誘餌是欺騙電子郵件鏈的電子郵件,這些電子郵件鏈?zhǔn)菑南惹笆芨腥局鳈C上的電子郵件客戶端檢索的。該消息有一個附帶的ZIP文件和一條消息,通知用戶打開該附件所需的密碼。

2345截圖20200908083720.png

TA551(也稱為Shathak)是基于電子郵件的惡意軟件傳播活動,通常針對說英語的地區(qū)?;仡櫄v史,TA551曾經(jīng)推出過不同的竊取信息的惡意軟件系列,比如Ursnif和Valak。在2020年7月中旬之后,另一個信息竊取程序IcedID惡意軟件被TA551研發(fā)出來。

攻擊鏈

從2020年7月中旬到11月,TA551的感染過程一直保持一致,流程圖如圖1所示。

2345截圖20200908083720.png

從2020年7月到2020年11月,TA551(Shathak)的攻擊鏈

最初的誘餌是欺騙電子郵件鏈的電子郵件,這些電子郵件鏈?zhǔn)菑南惹笆芨腥局鳈C上的電子郵件客戶端檢索的。該消息有一個附帶的ZIP文件和一條消息,通知用戶打開該附件所需的密碼。

在打開ZIP文件后,受害者發(fā)現(xiàn)了一個帶有宏的Microsoft Word文檔。如果受害者在易受攻擊的Windows計算機上啟用宏,受害者的主機將檢索IcedID惡意軟件的安裝程序DLL。這將感染易受攻擊的Windows計算機。有關(guān)針對日語受害者的最新示例,請參見圖2-7。

2345截圖20200908083720.png

2020年11月4日針對日語受害者的TA551電子郵件的示例

2345截圖20200908083720.png

使用消息中的密碼打開ZIP文件

2345截圖20200908083720.png

ZIP文件中的Word文檔

2345截圖20200908083720.png

來自Wireshark過濾的感染的流量

2345截圖20200908083720.png

在Windows主機上的感染過程中創(chuàng)建的文件和目錄

2345截圖20200908083720.png

在被感染的Windows主機上保持IcedID持續(xù)存在

IcedID的出現(xiàn)

研究人員有一個GitHub存儲庫,可以跟蹤TA551最近的活動。該倉庫包含了自2020年7月6日以來TA551發(fā)動的每一波攻擊的信息。從2020年7月14日開始,我們在這波攻擊中只看到了IcedID惡意軟件。

自2020年7月14日以來,這些垃圾郵件就一直針對英語地區(qū)的受害者,直到2020年10月27日,開始出現(xiàn)日語模板的Word文檔。從10月27日至11月,TA551一直以講日語的受害者為目標(biāo)。2020年20月20日。在針對日本的攻擊大約進行了三周之后,TA551從2020年11月24日開始回到講英語地區(qū)的受害者。

無論針對哪個目標(biāo)群體,TA551都繼續(xù)將IcedID用作其惡意軟件有效載荷。

TA551在2019年的歷史

我們早在2019年2月就發(fā)現(xiàn)了TA551,其特點如下:

1.TA551已經(jīng)傳播了不同系列的惡意軟件,包括Ursnif(Gozi/ISFB),Valak和IcedID。

2.TA551惡意垃圾郵件會根據(jù)從先前受感染的Windows主機檢索到的數(shù)據(jù)來欺騙合法電子郵件鏈,它將這些電子郵件鏈的副本發(fā)送給原始電子郵件鏈的收件人。

3.偽造的電子郵件包括一條短信息,它作為鏈中的最新項目。這是一個通用語句,要求收件人使用提供的密碼打開附加的ZIP文件。

4.ZIP的文件名使用電子郵件中被欺騙的公司的名稱,例如,如果被欺騙的發(fā)件人是someone companyname.com,則ZIP附件將被命名為companyname.zip。

5.在2020年,我們還開始看到帶有info.zip或request.zip作為附件ZIP文件名稱的電子郵件。

6.這些受密碼保護的ZIP附件包含一個Word文檔,其中包含用于安裝惡意軟件的宏。

7.提取的Word文檔的文件名遵循隨著該活動的進行而發(fā)展出的明顯模式。

8.由關(guān)聯(lián)的Word宏生成的URL也遵循引人注目的模式,該模式也隨著該活動的進行而發(fā)展。

TA551在2019年的活動

圖8顯示了我們可以從此活動中確認(rèn)的最早電子郵件,該電子郵件的日期為2019年2月4日。該電子郵件針對以英語為母語的收件人,并傳播了Ursnif惡意軟件。

2345截圖20200908083720.png

從2019年2月開始的TA551垃圾郵件示例

與以上示例相關(guān)聯(lián)的文件:

SHA256哈希值:3dab8a906b30e1371b9aab1895cd5aef75294b747b7291d5c308bb19fbc5db10;

文件大?。?57696字節(jié);

文件名:Request11.doc;

文件描述:Word文檔,帶有Ursnif的宏(Gozi/ISFB);

SHA256哈希值:3afc28d4613e359b2f996b91eeb0bbe1a57c7f42d2d4b18e4bb6aa963f58e3ff

文件大?。?84160字節(jié);

文件位置:hxxp://gou20lclair[.]band/xap_102b-AZ1/704e.php?l=zyteb12.gas;

文件描述:通過Word宏檢索的Windows EXE示例——Ursnif的安裝程序;

圖9顯示了來自該活動的日期為2019年4月2日的電子郵件。該電子郵件以說意大利語的收件人為目標(biāo),并傳播了Ursnif惡意軟件。

2345截圖20200908083720.png

從2019年4月開始的TA551垃圾郵件示例

與以上示例相關(guān)聯(lián)的文件:

SHA256哈希值:582213137bebc93192b0429f6687c859f007ef03e6a4c620eada8d98ca5d76ba;

文件大?。?1136字節(jié);

文件名稱:doc_02.04.doc;

文件描述:帶有Ursnif宏的Word文檔;

SHA256哈希值:8 c72d5e5cb81f7a7c2b4881aff3be62cdc09caa52f93f9403166af74891c256e

文件大?。?06208字節(jié);

文件位置:hxxp://seauj35ywsg[.]com/2poef1/j.php?l=zepax4.fgs;

文件說明:安裝Ursnif的Windows EXE示例,該Ursnif由與這波Word文檔相關(guān)的宏檢索;

圖10顯示了該活動的一封日期為2019年10月30日的電子郵件,該電子郵件以說德語的收件人為目標(biāo),并傳播了Ursnif惡意軟件。

2345截圖20200908083720.png

從2019年10月開始的TA551垃圾郵件示例

與以上示例相關(guān)聯(lián)的文件:

SHA256哈希值:10 ed909ab789f2a83e4c6590da64a6bdeb245ec9189d038a8887df0dae46df2a;

文件大?。?69312字節(jié);

文件名稱::info_10_30.doc;

文件描述:具有Ursnif宏的Word文檔;

SHA256哈希值:9e5008090eaf25c0fe58e220e7a1276e5501279da4bb782f92c90f465f4838cc

文件大小:300032字節(jié);

文件位置:hxxp://onialisati[.]com/deamie/ovidel.php?l=brelry2.cab;

文件描述:通過Word宏檢索的Windows EXE示例——Ursnif的安裝程序;

注意上面示例中的URL是如何以.cab結(jié)尾的,直到2020年10月下旬,這種模式對于TA551 Word文檔中的宏所生成的URL都相當(dāng)一致。

圖11顯示了該活動于2019年12月17日發(fā)送的電子郵件,該電子郵件以日語用戶為目標(biāo),并傳播了Ursnif惡意軟件。

2345截圖20200908083720.png

從2019年12月開始的TA551垃圾郵件示例

與以上示例相關(guān)聯(lián)的文件:

SHA256哈希值:3b28f3b1b589c9a92940999000aa4a01048f2370d03c4da0045aabf61f9e4bb6;

文件大?。?01528字節(jié);

文件名稱:info_12_18.doc;

文件描述:具有Ursnif宏的Word文檔;

SHA256哈希值:3a22d206858773b45b56fc53bed5ee4bb8982bb1147aad9c2a7c57ef6c099512

文件大?。?650176字節(jié);

文件位置:hxxp://vestcheasy[.]com/koorsh/soogar.php?l=weecum5.cab;

文件描述:通過Word宏檢索的Windows EXE示例——Ursnif的安裝程序;

請注意,受Ursnif感染的主機有時會檢索后續(xù)惡意軟件。例如,在2019年12月19日,通過TA551感染Ursnif的Windows主機又感染了后續(xù)惡意軟件IcedID和Valak。

TA551在2020年的歷史

圖12顯示了2020年3月26日來自TA551的一封電子郵件,該電子郵件以說德語的收件人為目標(biāo),并傳播了ZLoader(Silent Night)惡意軟件。

2345截圖20200908083720.png

2020年3月以來的TA551垃圾郵件示例

與以上示例相關(guān)聯(lián)的文件:

SHA256哈希值:62ecc8950e8be104e250304fdc32748fcadaeaa677f7c066be1baa17f940eda8

文件大?。?27757字節(jié);

文件名稱:information_03.26.doc

文件描述:Word doc with macro for ZLoader(Silent Night)

SHA256哈希值:9b281a8220a6098fefe1abd6de4fc126fddfa4f08ed1b90d15c9e0514d77e166

文件大?。?86400字節(jié);

文件位置:hxxp://x0fopmxsq5y2oqud[.]com/kundru/targen.php?l=swep7.cab;

文件描述:Windows DLL為ZLoader檢索的Word宏;

圖13顯示了該活動于2020年4月28日發(fā)送的一封電子郵件,該電子郵件以說英語的收件人為目標(biāo),并傳播了Valak惡意軟件。

2345截圖20200908083720.png

2020年4月以來的TA551垃圾郵件示例

與以上示例相關(guān)聯(lián)的文件:

SHA256哈希值:bd58160966981dd4b04af8530e3320edbddfc2b83a82b47a76f347d0fb4ca93a

文件大?。?1233字節(jié);

文件名稱:docs,04.20.doc;

文件描述:Word文檔和Valak宏;

SHA256哈希值:9ce4835ef1842b7407b3c8777a6495ceb1b69dac0c13f7059c2fec1b2c209cb1

文件大小:418816字節(jié);

文件位置:hxxp://qut6oga5219bf00e[.]com/we20lo85/aio0i32p.php?l=nok4.cab;

文件說明:通過Word宏檢索到的Windows DLL示例——Valak的安裝程序

此時,文檔名稱已經(jīng)改變了格式。從那時起,我們開始看到從每天的攻擊中提取的Word文檔的幾個不同的名稱。

圖14顯示了一封來自該活動的電子郵件,日期為2020年5月22日。該電子郵件針對以英語為母語的收件人,并傳播了Valak惡意軟件。

2345截圖20200908083720.png

2020年5月以來的TA551垃圾郵件示例

與以上示例相關(guān)聯(lián)的文件:

SHA256哈希值:3562023ab563fc12d17981a1328f22a3d3e4c358535b9a0c28173a6e4ad869ba;

文件大小:74338字節(jié);

文件名稱:file_05.20.doc;

文件描述:Word文檔和Valak宏;

SHA256哈希值:4468 edc18de42e61b64441c75aedcb15d553410d473e77fc8ae31b358acd506a

文件大?。?84832字節(jié);

文件位置:hxxp://s6oo5atdgmtceep8on[.]com/urvave/cennc.php?l=haao1.cab;

通過Word宏檢索到的Windows DLL示例——Valak的安裝程序

到了此時,ZIP附件的密碼格式已更改為三位數(shù),后跟兩個字母,并且模板樣式也已更新。

我們繼續(xù)看到Valak被TA551推到了2020年7月初。值得注意的是,Valak是一個惡意軟件下載者,我們經(jīng)常看到IcedID是這些感染的后續(xù)惡意軟件。

然而,到2020年7月中旬,TA551開始直接從Word文檔宏中傳播IcedID了。

最近的發(fā)展

最近幾周,TA551改變了通信方式。在2020年10月19日之前的幾個月中,Word宏生成的用于檢索安裝程序二進制文件的URL遵循了一個明顯的模式。該模式包括:

1.URL路徑中的php?l=;

2.以.cab結(jié)尾的URL;

自2020年10月20日以來,這些模式發(fā)生了巨大變化。表1顯示了從10月份開始的變化。

2345截圖20200908083720.png

由TA551傳播的Word文檔中的宏生成的URL模式

到2020年10月27日,TA551宏生成的URL在HTTP GET請求的開頭包含更新或共享之類的英語術(shù)語。這些URL由四到六個小寫英文字母組成的系列結(jié)尾,后面跟著從1到18的數(shù)字。這些URL的長度不一致,它們可能很短,也可能很長。

自2020年11月以來,我們還注意到IcedID感染期間產(chǎn)生的偽造圖像的細微變化,包括TA551活動之外的偽造圖像。

例如,到2020年11月初,安裝程序dll創(chuàng)建的IcedID dll最初保存到受害者的AppDataLocalTemp目錄,并且文件名以波浪號(?)開頭并以.dll結(jié)尾,如圖6所示。在2020年11月,我們開始看到一個變化:最初的IcedID dll保存到受害者的AppDataLocal,文件名以.dat結(jié)尾,如圖15所示。

2345截圖20200908083720.png

2020年11月24日從TA551 IcedID感染中看到的偽造圖像

這些變化可能是惡意軟件開發(fā)者為了逃避檢測而做出的努力。至少,它們可能會讓正在對被感染主機進行分析的人感到困惑。

這樣的變化在惡意軟件家族中是常見的,因為它們隨著時間的推移而演變。我們可以期待在接下來的幾個月里看到更多關(guān)于IcedID惡意軟件和TA551的變化。

最后,在2020年11月期間,通過TA551 Word宏檢索的安裝程序DLL的運行方法發(fā)生了變化:

舊方法:regsvr32.exe[installer DLL filename];

新方法:rundll32.exe[installer DLL filename],ShowDialogA-r;

但是,必須有最新信息才能確保正確檢測到不斷發(fā)展的活動,例如TA551。

總結(jié)

自從我們上次在2020年7月對部署Valak惡意軟件的攻擊者進行審查以來,TA551一直在迭代。在過去的幾個月中,我們經(jīng)常將IcedID視為TA551安裝的Valak和Ursnif感染的后續(xù)惡意軟件。目前Valak和Ursnif等惡意軟件下載程序已經(jīng)被淘汰,現(xiàn)在最流行的是IcedID。

雖然TA551已經(jīng)決定使用IcedID作為惡意軟件的有效載荷,但隨著惡意活動的發(fā)展,我們繼續(xù)看到流量模式和感染現(xiàn)象的變化。

本文翻譯自:https://unit42.paloaltonetworks.com/ta551-shathak-icedid/

THEEND

最新評論(評論僅代表用戶觀點)

更多
暫無評論