一、概要
6月11日,绿盟科技捕获到两封携带cve-2017-11882漏洞利用载荷的钓鱼文档。两封文档分别伪装成土耳其货运公司ALATLI的海关报表以及土耳其制造商mgt air filters物流部门相关工作人员的参会表。两封文档使用了类似形式的漏洞利用,会从同一个网络地址下载封装后的AgentTesla间谍木马并运行。
通过分析漏洞利用载荷形式和AgentTesla木马的封装形式,我们确认这两封文档的制作者为黑客组织Sweed。
二、组织信息
Sweed组织是一个至少从 2017 年就开始运营的从事间谍活动的黑客组织,最早由Cisco Talos发现[1]。
Sweed组织主要使用带有恶意附件的鱼叉式网络钓鱼电子邮件进行攻击,常用的攻击工具包括疑似自主开发的office文档公式编辑器漏洞利用工具、恶意office宏制作工具、AgentTesla木马、Formbook木马、Lokibot木马。 Sweed组织的主要攻击目标包括波黑、加拿大、中国、吉布提、法国、德国、香港、印度、意大利、摩纳哥、俄罗斯、卡塔尔、新加坡、南非、韩国、瑞士、台湾、土耳其、阿联酋、英国、美国等[2]。
绿盟科技曾经报道过Sweed组织对常用的漏洞利用工具的升级过程[3]。
三、攻击过程分析
钓鱼文档
如下图所示,两封钓鱼文档在打开后分别显示:
土耳其货运公司ALATLI的海关报表:
土耳其制造商mgt air filters物流部门相关工作人员的参会表:
两封文档都携带了cve-2017-11882漏洞利用载荷,其中,ALATLI文档中的载荷形式符合Sweed组织新版本漏洞文档制作工具的特征:
mgt air filters文档中的载荷形式则符合Sweed组织旧版本漏洞文档制作工具的特征:
两封文档的漏洞利用部分包含的shellcode代码逻辑大致相同,功能为通过UrlMon提供的API下载指定网络地址的内容。
两封文档中硬编码的网络地址相同,为hxxp://membranehartebeest.org/v/A59xKtY2T8jNDEt.exe:
间谍木马
上述钓鱼文档下载的可执行文件,是带有近期主流封装形式的AgentTesla间谍木马。
带有这种封装形式的Dropper程序,会在C#主程序的资源部分存储一个读取器以及一张隐写图片:
读取器会获取隐写图片的二进制内容,组合为第二阶段的Dropper程序。
第二阶段的Dropper程序是一种带有少量附加功能的进程注入器,主要功能为提取并使用xor_dec逻辑解密一段资源,将其注入至系统进程中。
该注入器最终注入的文件是AgentTesla本体程序。
该AgentTesla程序的CnC地址为ftp.manpowerpooling.ro,当前IP为89.43.19.227。
木马功能
常见的AgentTesla间谍木马会尝试:
a.搜集受害主机以下浏览器中保存的账号密码等用户数据:
| Opera Browser |
| Yandex Browser |
| Iridium Browser |
| Chromium |
| 7Star |
| Torch Browser |
| Cool Novo |
| Kometa |
| Amigo |
| Brave |
| CentBrowser |
| Chedot |
| Orbitum |
| Sputnik |
| Comodo Dragon |
| Vivaldi |
| Citrio |
| 360 Browser |
| Uran |
| Liebao Browser |
| Elements Browser |
| Epic Privacy |
| Coccoc |
| Sleipnir 6 |
| QIP Surf |
| Coowon |
| Chrome |
| SRWare Iron |
| Brave Browser |
| CoolNovo |
| Epic Privacy Browser |
| Fenrir |
| QQ Browser |
| UC Browser |
| uCozMedia |
b.搜集以下浏览器的应用数据:
| Firefox |
| IceCat |
| PaleMoon |
| SeaMonkey |
| Flock |
| K-Meleon |
| Postbox |
| Thunderbird |
| IceDragon |
| WaterFox |
| BlackHawk |
| CyberFox |
c.搜集以下FTP相关应用中存储的用户信息:
| CoreFTP |
| FTP Navigator |
| SmartFTP |
| WS_FTP |
| Cftp |
| FTPCommander |
| FTPGetter |
d.主机基本软硬件信息;
e.屏幕截图;
f.键盘记录;
g.窗口程序文本内容。
AgentTesla会定期将收集到的信息通过SMTP服务上传到攻击者的邮箱中。
五、小结
对事件的分析表明,近期高度活跃的Sweed组织开始对土耳其物流行业进行鱼叉邮件钓鱼攻击。这些攻击活动倾向使用公式编辑器漏洞和内容可信度较高的诱饵,使受攻击目标难以分辨和规避这些攻击。
通过关联分析,绿盟科技确定已有土耳其政府官员收到该次攻击的影响。
参考链接
[1] https://blog.talosintelligence.com/2019/07/sweed-agent-tesla.html
[2] https://apt.thaicert.or.th/cgi-bin/showcard.cgi?g=Sweed&n=1
[3] https://blog.nsfocus.net/cve-2018-0798/
版权声明
本站“技术博客”所有内容的版权持有者为绿盟科技集团股份有限公司(“绿盟科技”)。作为分享技术资讯的平台,绿盟科技期待与广大用户互动交流,并欢迎在标明出处(绿盟科技-技术博客)及网址的情形下,全文转发。
上述情形之外的任何使用形式,均需提前向绿盟科技(010-68438880-5462)申请版权授权。如擅自使用,绿盟科技保留追责权利。同时,如因擅自使用博客内容引发法律纠纷,由使用者自行承担全部法律责任,与绿盟科技无关。