折翼的雏鹰 来自尼日利亚黑客组织的金融诈骗攻击

2017-12-20 17:25:56 东巽科技 安在


1
概述


今年9月份开始,东巽科技的铁穹高级持续性威胁预警系统监测到多例同类木马的攻击事件,2046Lab团队利用东巽TIP威胁情报平台展开追溯分析,发现木马回连的C2服务器(也称C&C,指木马的控制和命令服务器)mail*****ting.gdn依然在持续接收窃取的数据,且在持续跟踪过程中意外发现颇具戏剧性的一幕:攻击者在测试过程中给自己使用的PC终端植入了KeyBase木马,而该木马的截屏功能意外记录下了攻击者实施攻击的全过程以及与同伙之间的内部交流。


通过分析缴获到的工具、截图和残余数据,2046Lab确定这是一起具有典型APT攻击特点的金融欺诈类威胁事件,潜在受害者涉及140多个国家的外贸公司数万人,攻击组织成员多位于尼日利亚,通过转移受害者个人或所属机构的资金财产而最终受益,组织内部分工明确且手段高度流程化:


  • 侦查员负责利用搜索引擎、LinkedIN等社交网络搜集潜在受害者信息;

  • 投递员负责群发精心构造的钓鱼邮件诱,诱骗受害者点击捆绑木马的邮件附件;

  • 欺诈者负责专门诱骗潜在的高价值受害者打开捆绑木马的文件;

  • 收割者负责分析木马键盘记录截获的银行帐号密码。


本文将全面揭露该攻击组织的真实身份、攻击过程和攻击意图等TTPs信息。


图 C2中的攻击者截屏内容


2
 攻击者


通过分析缴获到的数据和C2上的FTP日志,团队整理出多个攻击者常用IP地址,通过去重、地理位置分析和IP运营商归属地等分析,团队判断攻击者在实施攻击时使用了从midphase.com购买的美国的VPS以及VPN来隐蔽自身,而真实IP地理位置则极大可能位于尼日利亚拉哥斯(Nigeria Lagos,尼日利亚海港及最大城市带)。


IP

地理位置

是否代理

105.112.*.*

尼日利亚   拉哥斯(Nigeria Lagos)

动态地址

154.120. *.*

尼日利亚   拉哥斯(Nigeria Lagos)

动态地址

174.127. *.*

美国

midphase.com的VPS

191.101. *.*

美国

SoftEther VPN

41.190. *.*

尼日利亚   拉哥斯(Nigeria Lagos)

动态地址

174.127. *.*

美国

midphase.com的VPS

197.210. *.*

尼日利亚   拉哥斯(Nigeria Lagos)

动态地址

197.210. *.*

尼日利亚   拉哥斯(Nigeria Lagos)

动态地址

197.210. *.*

尼日利亚   拉哥斯(Nigeria Lagos)

动态地址

197.210. *.*

尼日利亚   拉哥斯(Nigeria Lagos)

动态地址




表 攻击者常用IP分析


其次,查看攻击者邮箱登陆位置、google搜索默认区域,发现均为尼日利亚区域,如下图所示:


图 攻击者frank***@yahoo.com邮箱的登陆位置


图 攻击者默认google搜索引擎为Nigeria(尼日利亚)


再者,通过对截图数据和攻击者邮箱中残留内容分析,团队还发现了部分攻击者之间的交流记录,根据交流记录推测出攻击组织至少有5名成员。


结合Facebook的关联搜索,团队溯源找出了这几名攻击者的Facebook身份,发现成员Facebook上的位置仍然是尼日利亚区域。


图 攻击者之间使用facebook和teamviewer进行交流


图 成员之一Daniel Briggs的facebook主页


Facebook名称

使用设备

地理位置

角色

Daniel Briggs

USER

MININT-07FG89M

尼日利亚 哈科特港

搜集情报,发送钓鱼邮件

Emmanuel Omonode

未知

尼日利亚 哈科特港

控制受害者,挖掘信息

Becky Richies

AQUARIUS

尼日利亚拉哥斯

木马测试

Briggs Soibibo

未知

尼日利亚 哈科特港

推测外联,协助木马免杀

Oluwa Carti

DHEVID_POPO

尼日利亚拉哥斯

发送钓鱼邮件、社工欺诈

表 攻击组织成员汇总


这些线索相互印证,2046Lab团队最终判断攻击组织成员多位于尼日利亚。


3
受害者

在缴获的截图数据中,2046Lab发现了攻击者搜集潜在受害者信息的过程,以及已经搜集到的包含潜在受害者邮箱的几个文档名称、时间、大小。团队依据这些片段信息,利用搜索引擎从互联网上找到了部分原版文档。


图 攻击者搜集到的包含受害者邮箱的文档列表


对上述部分原版文档进行统计分析后发现,潜在受害者(收到钓鱼邮件,未确定攻击成功与否)数量巨大,超过1.8万邮箱账号,涉及140余个国家。


从区域来看,暂未发现有明显的地区倾向,但涉及中国的邮箱占比较高;


从行业来看,受害者多属于制造业,共同的特点是都与外贸供需有关,推测是因为供需暴露了邮箱信息。统计结果如下表:


文件

文件内容

数据

(中国)

数据

(总量)

行业
  (GB/T 4754-2017 国民经济行业分类)

111届广交会鞋帽采购商名录.xls

鞋帽采购商的姓名、邮箱、联系方式等信息

2380

6982

制造业/纺织业

广交会照明类采购商信息3068个.xls

照明类采购商的姓名、邮箱、联系方式等信息

499

3066

制造业/通用制造业

listofmills.xls

一种木质复合材料的供应商信息,包含公司、联系人邮箱、电话等信息

720

1212

制造业/木材加工也

doc44.xls

迪拜地区一些批发零售供应商信息,包含公司、邮箱、联系方式等

46

2021

批发零售业/批发

13.xls

五金类如锁具供应商信息,包含公司、联系人、邮箱、电话等信息

1808

5401

制造业/通用制造业


合计

5453

18682



此外,团队还发现攻击者利用google搜索在石油进出口相关的“@sina.com”邮箱,意图搜集石油进出口相关华人的邮箱。因此,团队判断在一定的时期内,攻击者对攻击目标的行业和地域会有一定的倾向性。


图 攻击者通过google搜索科威特(国际区号965)石油进出口公司包含sina邮箱的文档


4
攻击手段


对攻击者之间的关系分析,2046Lab发现该组织分工非常明确,不同人员实施不同阶段的战术攻击。而根据截图、代码、文件和攻击者发件箱中的邮件内容分析来看,该攻击组织的战术可分为伪装隐藏、情报搜集、钓鱼攻击、社交欺诈、植入木马几个阶段。


4.1
伪装隐藏


攻击者具备较强的安全意识,在攻击的过程中使用了多条线路VPN以及购买VPS来隐藏自己的真实IP,这些VPN的IP地址多数位于美国,与攻击者地理位置分析中的IP地址相吻合,如下图。


图 USER设备使用的VPN相关客户端


图 USER设备正使用SoftEther VPN


4.2
情报搜集


如上述受害者分析,攻击者一方面会使用google搜索引擎的方式来搜集潜在受害者的邮箱,另一方面会通过LinkedIN的应聘信息来筛选潜在受害者。


2046Lab推测第一种是为了广撒网发钓鱼邮件,第二种是为了针对性选择高价值目标来实施社交欺诈攻击。如下图所示:


图 攻击者通过google搜索英国(国际区号+44)所有进出口公司包含sina邮箱的文档


图 攻击者利用LinkedIN搜集应聘者人留下的电话和邮箱


4.3
钓鱼邮件


搜集到受害者邮箱后,攻击者会向这些受害者批量发送精心准备钓鱼邮件。


图 攻击者将搜集的邮箱导入为邮件列表待批量发送钓鱼邮件


图 攻击者批量发送钓鱼邮件


攻击者发送的钓鱼邮件内容迥异,总结起来可以分为邀请函、银行回执、大型交易等几类模版。


图 攻击者在制作钓鱼邮件模版

图 伪装为VIP邀请函的钓鱼邮件


图 攻击者在制作银行回复的钓鱼邮件


图 冒充西联,发送带有木马的邮件


图 冒充尼日利亚海军人员


这些钓鱼邮件诱骗受害者回复邮件或者打开邮件中暗藏木马的附件,受害者一旦被木马非法控制,木马将实时窃取受害者的账号、密码、键盘记录、粘贴板内容和屏幕截图。


4.4
社交欺诈


在持续跟踪过程中,2046Lab发现攻击者对高价值的受害者也会绕过钓鱼邮件攻击步骤,直接通过社会工程学攻击的方式实施社交欺诈,如伪装成企业回复应聘者、伪装成俊男靓女欺骗异性,引诱受害者执行暗藏木马的文件或套取个人信息。


图 攻击者伪装成雇主联系应聘者


图 攻击者伪装成女性在google voice实施社交欺诈


图 攻击者的社交欺诈剧本


图 攻击者伪装成男性在hi5和mingle2交友网站注册进行社交欺诈


4.5
木马控制


团队在截图中发现该攻击组织使用了HawkEye和DarkComent RAT、keybase三个远程控制和键盘记录黑客工具;在C2服务器的后台代码中,又发现其存有ABStealer键盘记录工具。综合来看,该攻击组织综合使用了至少4种黑客工具。


在数据分析期间,2046Lab发现攻击组织几乎每隔一天就会更新一次服务器上的木马文件,以保持木马不被杀毒软件检测,如下图。


图 C2网站目录下的木马


黑客使用的工具截图

描述

该攻击组织用途

Keybase,键盘记录器,会记录email/ftp/web等账号密码、键盘操作以及屏幕截图。

该组织部署了多个keybase接收端,但记录到的数据多是该组织成员的自己的数据和截图(本次溯源分析数据多数源于这些残留数据),少有受害者的数据。

DarkComet RAT,远程控制软件,会记录键盘操作,账号密码,远程开启摄像头、远程访问文件、控制计算机操作等。

在邮件附件和网站目录下均发现了该工具的样本,推测攻击组织主要使用该工具操作受害者屏幕和访问文件。

HawkEye,键盘记录器,记录键盘操作、屏幕截图、web登陆等信息。

在邮件附件中发现该工具样本,攻击者使用该工具获取受害者的密码、剪贴板信息和截图等内容。

ABStealer,键盘记录器,仅有简单的密码记录功能。

C2的代码中发现了该工具文件,并且已经配置好,推测攻击者进行了测试,但效果不好没有使用。

表 黑客使用工具汇总


以下给出捆绑了HawkEye木马的一个样本RFQ-2475.doc的分析过程,该样本利用宏病毒来释放并安装木马。


01


提取VB代码:使用oledump.py提取doc中的vb代码,从下图可以看出A3是存在宏,于是导出A3得到VB代码。


图 提取文档中的宏


02


分析VB代码:发现VB经过混淆,木马是和word绑在一起的,下图中的Shell(vbHH, 1)是关键,截取后的pe文件存到了vbHH中,而vbHH实际是一个指向木马的路径“%ALLUSERSPROFILE%\Memsys\ms.exe”。其中,ms.exe是一个HawkEye的执行端,执行后会经过加启动项、改注册表、加键盘钩子等操作。



03


流量分析:当用户点击文档启用宏后,木马会在后台运行一段时间,然后主动连接服务器传输窃取的数据,如下图。本例中的HawkEye木马会将窃取的密码、键盘记录等信息通过ftp的方式上传到ftp.mail***.gdn服务器上,与本次发现的C2是同一个域名。


图 实验环境下HawkEye木马通过ftp传输受害者存储的密码


从缴获的截图数据中也包含攻击者使用FTP下载这些窃取数据的证据,如下图所示。


图 攻击者从ftp下载Hawkeye木马窃取数据


5
攻击意图


综合上述攻击者战术分析和受害者分析,2046推测出攻击者利用社交欺诈和钓鱼邮件相结合的方式实施攻击,期望获取受害者的在线支付等金融类账号密码或者远程控制受害者计算机,最终目的是获取受害者银行卡账号和密码,然后转移财物,这个推测在攻击者邮箱的邮件内容中得到了证实。


如下图所示,一名攻击者在催同伙把受害者银行账号的详细信息发给他。


图 攻击者之间传递受害者账号和密码


图 攻击者之间传递受害者银行账号和密码


根据上述邮件内容我们推测,攻击者组织中可能还存在专门负责转移受害者资金财物的洗劫人员。


6
总结


本次的威胁攻击事件属于典型的结合了APT攻击手段的金融欺诈类威胁事件,受害者多为涉及外贸的企业工作人员,涉及140余个国家。


攻击者来自尼日利亚,采用了目标情报搜集、伪装隐藏、发送钓鱼邮件、长期控制、社交欺诈、窃取银行账号等一系列的攻击手段。


关键项

本次攻击事件情况说明

主要攻击目标

外贸相关的供需企业,一定时期内会有行业侧重,多数属于广撒网

目标国家

世界各国,中国占比较多

关键作用点

Email和社交网络

攻击手法

目标情报收集->社交欺诈+Email钓鱼->木马控制->获取账号

攻击目的

金融欺诈,窃取受害者银行账号等密码

漏洞使用情况

暂未发现

工具使用情况

HawkEye、DarkCometRAT、Keybase、ABStealer远控和键盘记录工具

免杀技术

一般,木马免杀期不长

活跃程度

活跃

反追踪能力

强,使用VPN和vps设备隐藏自己,还申请多个假的邮箱、Facebook

攻击源

尼日利亚

表 TTPs(Tactics、Techniques & Procedures)总结


本次跟踪溯源是一次全面、彻底的跟踪溯源活动。团队从发现到持续跟踪和分析耗时近3个月时间,不仅掌握了攻击者的各种攻击手段、工具、流程,还成功溯源出该攻击组织多个成员的Facebook账号和信息,并最终证实了攻击者的意图。


通过本次溯源,团队有两点发现:


1

欺诈不分国界、不分种族,预测结合APT攻击手段的网络欺诈将越来越多。和陌生人聊天时建议不要泄露过多的个人信息,更不要轻易点击对方发来的任何文件,保护好自己的隐私、保护好自己的钱包。


2

邮件钓鱼依然是攻击者最喜欢的手段。打开陌生人邮件附件时要格外小心,在管理手段之外建议企业采用专业技术手段来实时保障,比如部署东巽铁穹、明镜一类的安全产品,及时发现邮件中的恶意文件和已被植入木马的计算机。


东巽威胁情报中心,是东巽科技在威胁情报领域的一款平台级产品。产品基于云计算、安全大数据思想构建,可以部署在互联网上或用户私有云上,为用户提供便利的全球威胁情报查询及威胁深度分析等云安全服务。其中的全球C2的存活状态的监控子平台,用于监控C2的存活情况和分析攻击者的活跃程度,为用户提供威胁情报,访问地址https://ti.dongxuntech.com/c2.html。

铁穹高级持续性威胁预警系统,是东巽科技自主研发的针对网络流量进行深度分析、实现APT攻击预警的软硬件一体化产品。旁路部署在网络边界,针对网络流量进行深度分析,实现APT攻击预警的软硬件一体化产品。旁路部署在网络边界,通过对流量中的各类恶意代码及攻击行为,文件、邮件、网页等攻击载体进行全面采集,结合新一代虚拟执行分析、流量行为分析、全球威胁情报、大数据和机器学习等安全技术,实时发现各类已知威胁,深度挖掘APT攻击中的ODAY/NDAY漏洞攻击、特种木马等未知威胁,帮助金融、能源、电力、涉密、军队、科研、政府等行业用户及时发现传统IDS/IPS等无法检测的高级攻击手段,保障核心信息资产/运营系统的安全。

明镜木马深度检测系统,是东巽科技自主研发的新一代终端检测和响应(EDR)系统。产品进行全面的终端数据采集,结合明镜智能分析平台的大数据分析、全球威胁情报、木马行为模式分析等新一代终端安全技术,帮助用户有效发现和处置各类隐藏在终端上、逃避传统杀毒软件查杀的木马和间谍软件等高级恶意软件,帮助用户切断APT攻击中的终端恶意代码活动。

2046Lab,东巽科技的安全研究实验室,主要从事样本研究、异常流量研究、Web攻防研究、C2跟踪、机器学习等网络安全方面的研究,已申请多个相关专利。



- 推荐阅读 -


☞ 专注APT防御体系,东巽科技如何完成4000万A轮融资 ? | 安创汇