最近被发现的网络钓鱼活动背后的网络犯罪分子使用了伪造的NortonLifelock文档形式的巧妙诡计,欺骗受害者安装了通常用于合法目的的远程访问工具(RAT)。
恶意活动具有经验丰富的威胁参与者的标志,这些参与者熟悉规避技术和有助于安装有效负载的攻击性安全框架。
钩住受害者
感染链从带有恶意宏代码的Microsoft Word文档开始。威胁参与者依靠一种创新策略来诱使受害者加入启用宏,这些宏在Office套件中默认情况下处于禁用状态。
以带有个人信息的受密码保护的NortonLifelock文档为借口,要求受害者启用宏并键入最有可能在网络钓鱼电子邮件中提供的密码。
来自Palo Alto Networks威胁情报小组第42部门的安全研究人员发现,密码对话框仅接受大小写字母“ C”。
输入错误的密码后,会弹出错误消息,提示“错误的密钥”。在这种情况下,恶意操作不会继续。
逃避与坚持
如果用户提供了正确的输入,则宏将继续执行并构建命令字符串,最终安装NetSupport Manager(合法的远程控制软件)。
这可以通过VBA shell函数分三步实现:
- 通过/ c参数启动cmd.exe-执行命令并退出
- 构造一个名为“ alpaca.bat”的批处理文件
- 执行新创建的批处理脚本
使用Windows Installer服务中的“ msiexec”命令下载并安装RAT二进制文件。传送来自似乎已被攻击者为此目的破坏的域(quickwaysignstx [。] com / view.php)。
但是,仅当请求具有用户代理字符串“ Windows Installer”(这是“ msiexec ”命令的一部分)时,才会执行此过程。使用其他用户代理将显示良性图像。
在今天的一份报告中,研究人员指出,以这种方式检索的MSI有效负载会在不向用户发出任何警告的情况下安装,并在Windows%temp%文件夹中添加PowerShell脚本。
它用于持久性,其作用是用于安装NetSupport Manager远程访问工具的备份解决方案。在继续之前,脚本将检查Avast或AVG防病毒软件是否存在,并在受害主机上运行这两者中的任何一个时停止。
如果全部清除,该脚本会使用随机名称将NetSupport Manager所需的文件添加到文件夹中,并为主要可执行文件’presentationhost.exe 创建一个注册表项(’ HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run ‘)持久性。
启动RAT后,受害计算机的名称会自动发送给攻击者,并且所有PowerShell脚本将从%temp%文件夹中删除。
第42部队在1月初发现了战役,但他们跟踪了到2019年11月初的相关活动,表明行动规模更大。
最初确定的相关活动依赖于Proton电子邮件地址,该电子邮件地址具有与目标公司公开关联的人或来自电影或印刷业的公众人物的名字。
电子邮件主题主题通知了退款状态或未经授权的信用卡交易。与财务相关的主题在后来的攻击中仍然存在,但是附件的名称遵循“ .doc ” 模式。
帕洛阿尔托网络公司(Palo Alto Networks)在其GitHub页面上发布了 与该威胁参与者的活动有关的一组危害指标。
*编译:Domino
*来自:Bleeping