安恒信息中央研究院猎影实验室持续跟进一起由黑产团伙(安恒信息内部追踪代号“GRP-LY-1001”)伪装聚合支付平台定向投递恶意木马进行网络盗刷获利的活动。目前该黑产活动仍在持续进行,各相关聚合支付接入商户需提高安全警惕,提升员工安全意识,不随意打开来历不明的链接或文件,在进行网页支付前检查网站是否属于官方网址。同时可在企业侧部署相关安全检测防护产品。目前安恒信息相关产品已支持对该组织的作案行为检测。
该团伙类似活动已存在一段时间,至少可追溯到2021年年中。分析观察到其主要活动形式为通过社工等手段投送伪装为支付平台的钓鱼链接,诱导下载伪装为“安全控件”、“支付密钥”等程序的恶意木马,受害人执行中招后恶意程序自动收集信息(包括浏览器缓存、QQ号QQ好友QQ群组信息、击键记录信息等PC中关键信息),后续该团伙根据获得信息通过一定手法进行盗刷获利。
经过分析推测该团伙的产业链如下图所示:
团伙画像
该团伙画像如下:
团伙性质 |
黑产团伙 |
活跃时间 |
至少从2021年8月开始至今 |
攻击动机 |
信息窃取与盗刷获利 |
涉及平台 |
Windows |
疑似攻击来源 |
国内 |
目标地域 |
国内 |
涉及行业 |
金融、电商等涉及聚合支付接入的单位 |
常用工具 |
Gh0st远控软件、大灰狼远控软件、开源项目KCP和HP-Socket等 |
攻击方式 |
钓鱼网站、社会工程等 |
由于在最新版本的样本中在收集系统信息时出现了中文描述信息如:“忙”、“闲”、“显示器”、“数量”、“硬盘”、“内存”等字符,因此推断该团伙成员可能为国内人员。
该团伙至少从2021年8月开始活动,通过发布钓鱼网站针对使用网银支付的用户发起信息窃取和银行卡盗刷攻击。捕获的样本中包含“安全控件”、“公钥”等关键词,最终载荷中包含经过魔改的远控木马如Gh0st、大灰狼等,魔改后的远控木马能够窃取受害者的敏感信息,在受害者不知情的情况下盗刷银行卡。
团伙攻击手法分析该团伙通过一定的手段,引诱受害者点击伪造的“支付平台”等具有迷惑性的网站,通过层层诱导下载包装为控件、密钥等程序的恶意木马。
目前我们观察到至少8类伪装为支付页面的站点,包括“易联支付”、“敏付”、“杉德支付”、“农银汇理基金”、“中睿合银”、“盛付通”、“聚合支付”等。其中3类示例如下:
01第一类钓鱼站点
该类钓鱼网站通过伪造“敏付”支付页面,以“1分钱体验”为主题诱导用户进行支付。
点击移动端支付时会跳出提示,让用户只能点击PC端支付。
点击PC端支付后会让用户选择银行和卡类型。
点击支付后会跳转到伪造的下载安全控件的页面。
点击后会下载包含恶意软件的压缩包。
02第二类钓鱼站点
该类网站伪造了“易联支付”DNA手机支付页面,进入网站后显示的是登录界面,诱导输入用户名和密码进行登录。
登录后的页面制作粗糙,甚至网页代码的模板都没有进行替换。
页面提示用户进行验卡,但是无论是否填写信息,都会跳出提示点击指定链接。
点击链接将下载包含恶意软件的压缩包。
03第三类钓鱼站点
该类网站伪造了杉德支付平台。
同时,在安恒威胁分析平台中发现一个样本攻击手法与该团伙攻击手法完全吻合,并且文件名为“杉德公钥.rar”, 目前该钓鱼网站已关闭。
该团伙使用的木马程序经过多个版本的迭代,投递过程到最终载荷落地分为多个阶段,最终载荷为老牌远控程序进行魔改,版本越新越轻量化,通过插件化形式实现一些特定功能。经统计发现从2021年8月至2022年1月出现的样本的最终载荷为最初的版本(也可能有更早的版本,这里设定为新控第一代版本),从2022年2月至2022年4月的最终载荷为第二代版本,从2022年5月至今的最终载荷为第三代版本。
样本大致攻击流程图如下图所示:该团伙通过钓鱼网站诱导用户下载恶意软件,软件执行后通过回连C2服务器下载一个压缩包*.zip(*表示任意字母或数字)和一个解压软件8z.exe,通过创建的lnk文件运行8z.exe解压*.zip,压缩包中共包含4个文件,最终会将svchost.txt中包含的最终载荷加载至内存并执行。
统计的样本中还发现部分样本文件信息伪装成其他软件如qq音乐、360浏览器、skype、酷狗音乐等,说明该团伙的投递样本可能不仅限于支付页面的钓鱼网站。从时间上来看,该团伙每隔一小段时间就会更换载荷分发服务器的ip网段,每隔一大段时间就会更换载荷分发服务器的ip。
此外,以地址“hxxp://118.99.36[.]1:280/*.zip?=0”为例,对全部可能的地址进行遍历请求,发现其响应的的最终载荷回连了不同命令分发服务器,足以见得该团伙的基础设施实力不容小觑。该行为可能由于该团伙考虑到被害主机的规模,均衡各个命令分发服务器的负载。
最终载荷功能分析
01版本一
最初版本的最终载荷基于Gh0st远程控制软件进行魔改,通过接收服务器的命令实现不同的功能。
部分命令功能尚不明确,已知的功能包括如下:
命令号 |
实现功能 |
0 |
将某一标志位置为1 |
1 |
获取磁盘信息 |
8 |
创建对话框 |
0xA |
枚举系统服务 |
0x10或0x1C |
监控屏幕 |
0x27 |
执行指定文件 |
0x28 |
关闭explorer.exe |
0x29 |
清理浏览器痕迹 |
0x2A |
获取Chrome浏览器用户配置信息 |
0x2B |
获取skype软件聊天信息 |
0x2C |
删除firefox用户配置文件 |
0x2D |
获取360浏览器用户配置信息 |
0x2E |
获取qq浏览器用户配置信息 |
0x2F |
获取搜狗浏览器用户配置信息 |
0x3F |
击键记录 |
0x45 |
录音记录 |
0x46 |
发送qq快速登录请求,登录成功后收集好友列表和群列表 |
0x48 |
收集系统信息 |
0x5A |
弹出消息框 |
0x5B |
在注册表"SYSTEM\\CurrentControlSet\\Services\\BITS"创建子键"0683ac706ca80d19b68edaf8b3dd38b5" |
0x5C |
执行指定命令并获取输出结果 |
0x5D |
关闭指定窗口 |
0x5F |
卸载自身 |
0x60 |
清除事件日志 |
0x64 |
其他功能如:打开或关闭cd口、发出声响、震动当前窗口等 |
0x72 |
从指定链接下载文件并保存 |
0x74 |
安装自启动 |
0x75 |
修改显示配置 |
0x76或0x77 |
向temp路径写入文件名以“Ru”开头的文件 |
0x78 |
向temp路径写入“Plugin32.dll”文件 |
0x79 |
通过ie后台打开指定网页 |
0x7A |
通过默认浏览器后台打开指定网页 |
0x7B |
向注册表“HKEY_LOCAL_MACHINE\SYSTEM\Setup”的“host”键写入指定值 |
0x7F |
获取系统信息和远程桌面状态 |
0x9F |
获取谷歌浏览器用户信息 |
02版本二
第二代版本的最终载荷中集成了“大灰狼”远程控制木马的插件,包含命令控制模块如下:
部分命令功能尚不明确,已知的功能包括如下:
命令号 |
实现功能 |
0 |
关闭指定进程 |
1 |
卸载自身 |
2 |
写入配置文件Remark项 |
4 |
写入配置文件Group项 |
6 |
从指定域名下载并保存文件 |
7 |
更新或卸载插件 |
8或9 |
使用ie后台打开网页 |
0xA |
使用指定浏览器后台打开网页 |
0xC |
执行指定命令 |
0x66 |
DllScreen插件:获取桌面像素信息并截图 |
0x69 |
DllShell插件:远程执行cmd命令 |
0x6A |
离线键盘记录 |
0x6B |
DllKeybo插件:键盘记录 |
0x6D |
DllSerice插件:枚举服务插件 |
0x6E |
DllReg插件:枚举注册表插件 |
0x6F |
DllProxy插件 |
0x70 |
DllSerSt插件:遍历所有系统用户信息 |
0x71 |
结束explorer.exe进程 |
0x72 |
清理浏览器痕迹 |
0x73 |
获取谷歌浏览器用户配置信息 |
0x74 |
获取Skype聊天信息 |
0x75 |
获取Firfox浏览器用户配置信息 |
0x76 |
获取360浏览器用户配置信息 |
0x77 |
获取qq浏览器用户配置信息 |
0x78 |
获取搜狗浏览器用户配置信息 |
0x79 |
写入自启动 |
0x7A |
修改显示设置 |
0x83 |
DllScreenhide插件 |
03ATT&CK
第三代版本的最终载荷中出现的大量的汉字用于描述收集的系统信息和命令执行结果,说明攻击者极有可能来自国内。命令控制模块中减少了可选的命令,但包含加载插件的功能。
已知的功能包括如下:
命令号 |
实现功能 |
0 |
将某一标志位置为1 |
1 |
尚不明确 |
2或3 |
出现”加载成功”字符串,并分配内存区域,修改保护权限,可能是通过进程注入加载插件 |
4 |
出现字符串“清理插件完成”,并释放分配的内存区域,可能为卸载插件功能 |
6 |
枚举运行的进程的窗口标题 |
7 |
写入指定内容到文件并执行该文件 |
8 |
从指定域名下载、保存并执行文件 |
9 |
写入自启动 |
0xA |
修改指定注册表键值 |
0x64 |
开启连接 |
0x65 |
关闭连接 |
此外,在第三代版本的最终载荷与命令控制服务器建立连接后每10秒判断一次系统忙闲状态并发送至服务器,如果系统挂机时长超过3分钟,则转为“闲”状态。
通过这种忙闲状态判断能够让攻击者知道用户是否在操作主机,以便能够在主机空闲时悄悄操控主机,避开用户使用阶段。
总结
该团伙在半年多的活动时间里,攻击手法始终变化不大,都是通过回连载荷分发服务器获取包含最终载荷的压缩包和解压软件,并通过“白加黑”的加载方式将最终载荷注入到内存中,躲避反病毒软件的检测。经过关联分析发现了该团伙掌握着大量的ip和域名,足以见得该团伙规模,而经过溯源发现的以支付页面为主题的钓鱼网站很有可能只是“冰山一角”。
防御建议目前安全数据部已具备相关威胁检测能力,对应产品已完成IoC情报的集成:
●安恒产品已集成能力:
针对该事件中的最新IoC情报,以下产品的版本可自动完成更新,若无法自动更新则请联系技术人员手动更新:
(1)AiLPHA分析平台V5.0.0及以上版本
(2)AiNTA设备V1.2.2及以上版本
(3)AXDR平台V2.0.3及以上版本
(4)APT设备V2.0.67及以上版本
(5)EDR产品V2.0.17及以上版本
● 安恒云沙盒已集成了该事件中的样本特征:
用户可通过云沙盒,对可疑文件进行免费分析,并下载分析报告
安恒安全数据部, 下设猎影实验室、零壹实验室、析安实验室和回声实验室,团队以数据分析与技术研究为核心,致力于数据驱动安全创造用户价值。
猎影实验室, 是一支关注APT攻防的团队,主要的研究方向包括:收集APT攻击组织&情报、APT攻击检测、APT攻击分析、APT攻击防御、APT攻击溯源以及最新APT攻击手段的研究。
,