针对制药行业及政企的黑客组织最新攻击运动深度剖析

宣布时间 2019-11-07

近期，优发国际网站官网ADLab发明大宗使用高危误差CVE-2017-11882举行网络攻击的事务，其中一批攻击载荷引起了我们的注重，他们均以类似“付款收条”、“银行确认”等字样作为攻击载荷名称。该批攻击载荷大部分通过邮件附件的方法举行垂纶攻击，在剖析历程中，我们发明了黑客的窝点并找到了受害人相关信息，此批黑客已经乐成渗透进了德国和印度尼西亚的多家制药企业，以及西班牙的政府、企事业单位等机构，并且偷取了大宗的敏情绪报。我们通过溯源剖析确定此次攻击来自于尼日利亚，并且由目今攻击关联出了更多黑恶意域名和样本。通过对该批样本的剖析发明此次攻击运动最早可追溯到2019年7月，阻止现在，相关的设施依然在使用中并一连在网络情报信息。该黑客组织还攻陷了西班牙一家大型船舶治理公司的官方网站作为情报窃取的神秘回传点，试图隐藏自身身份。

在本次攻击中，黑客组织通过邮件将全心结构的Office文件（针对CVE-2017-11882误差制作的）作为附件发送给目的邮箱，并诱使受害者点击以侵入目的系统（虽然这种以社工形式找到目的邮箱并通过邮件的方法举行攻击的手法老套，但却是黑客最常用的攻击手法之一，并且团结社工信息伪造的邮件也具有很高的乐成率, 部分行业和企事业单位由于未举行相关误差补丁更新而易受到攻击）。攻击载荷会凭证地理位置的差别而在受害者电脑上下载并装置Agent Tesla、HawEye Keylogger、NanoCore RAT或NetWire RAT等多款特工木马，以对攻击目的实验恒久的监控控制、敏感信息窃取等恶意行为。

本文将对黑客组织所实验的攻击历程举行详细地剖析和溯源，并对其所使用的特工软件和基础设施举行透彻地剖析。

1、攻击历程剖析

此次攻击始于一个携带CVE-2017-11882误差的EXCEL文档，黑客使用伪装成“银行确认”的垂纶邮件发送给攻击目的，当用户翻开文档后便会执行shellcode代码，并从指定的服务器上下载Payload并执行。该Payload会在内存中解密出新的PE并注入到系统历程RegAsm.exe中，乐成注入后便最先举行实时监控、窃密等行为，最终将窃取到的用户信息回传到托管服务器。

1.1 攻击流程

下图展示了此次攻击运动完整的流程：

优发国际·随优而动一触即发

图1 攻击流程图

1.2 攻击目的

被攻击公司信息及相关邮件1：

垂纶邮件是分发到德国的一家家族企业公司。该公司是专门研究动植物质料的提取，其主要营业是研究制药、化妆品和生物等手艺。

优发国际·随优而动一触即发

图2 目的公司1

通过图2可以看到，攻击者可以从该公司的主页上获取邮箱地点，并将自身伪装成“付款确认”等通知邮件，诱使受害者翻开附件文档。

优发国际·随优而动一触即发

图3 垂纶邮件1

被攻击公司信息及相关邮件2：

另一名受害者是德国的一家医疗药品器械公司。该收件邮箱地点同样可在其官网上获取。

优发国际·随优而动一触即发

图4 目的公司2

发送给目的公司的垂纶邮件示例如下图：

图5 垂纶邮件2

两起垂纶邮件的附件均是名为“bank cconfirmation”的XLSX文档，而该附件文件是我们捕获的众多使用CVE-2017-11882误差的恶意文档之一。

1.3 诱饵邮件

两封邮件的内容、发件人以及恶意文档的名称，均坚持着高度的一致性。随后，我们将对邮件信息做进一步的剖析，以便挖掘出更多的关联线索。

优发国际·随优而动一触即发

图6 邮件头部信息

通过对邮件信息举行剖析可以看到如图6所示，发件地点里列出的现实电子邮件地点为”mana00.balaempre.com”。凭证邮箱后缀名举行盘问，发明其所对应的是一款名为“AutoPMTA”的自动化电子邮件分发服务器，并在外洋的网站中凭证详细功效收取差别的用度。由此我们推测黑客组织就是使用此款软件来举行邮箱地点的网络和邮件的批量分发。

优发国际·随优而动一触即发

图7 AutoPMTA邮件分发器

而在另一封邮件中，我们首次发明了一个属于尼日利亚的远程IP地点，该线索的泛起在后续的关联溯源中起着主要的作用，在这里先将其纪录下来。

优发国际·随优而动一触即发

图8 IP地点盘问信息

2、样天职析

2.1 恶意文档

在未修复CVE-2017-11882误差的盘算机上，当用户翻开恶意EXCEL文件时，Office文档中的公式编辑器会启动EQNDT32.EXE历程。当Equation工具中保存标记为字体名称的超长字节约，则程序在处置惩罚该字符串的历程中，会触发栈溢出误差。而此恶意文档即是使用该误差将指向shellcode的栈地点笼罩了原始返回地点，从而执行远程payload的下载。

审查ole工具的目录结构，可以看到ole工具已被识别为CVE-2017-11882：

优发国际·随优而动一触即发

图9 OLE工具的目录结构

由于该缓冲区溢出函数处于EQNDT32历程中，以是我们提前将EQNDT32.EXE加载起来并找到误差溢来由下断点，重新翻开诱饵文档后，发明栈中返回地点0x004115D8被笼罩，从而转向shellcode执行。

优发国际·随优而动一触即发

图10 栈中生涯的原始函数返回地点

优发国际·随优而动一触即发

图11 被笼罩后的函数返回地点

2.2 shellcode

Retn执行后程序会转到0x0012F350处，这里存放的就是FONT[name]数据，也就是shellcode代码位置。

优发国际·随优而动一触即发

图12 shellcode代码执行处

该段shellcode的功效是，将远程服务器“http[:]//34.87.19.73/pqis/11a.exe”上的Payload下载到外地，并生涯为“%AppData%Roaming\powerpoint.exe”，最后运行该程序。

优发国际·随优而动一触即发

图13 联网下载Payload

2.3 Payload

名为11a.exe的Payload是使用MS Visual Basic语言编写的。当恶意程序运行时，会在辖档唾时目录下先建设“subfolder”子目录并天生两个文件（explorer.exe和explorer.vbs），接着运行explorer.vbs剧本并竣事自身历程。explorer.vbs剧本的详细内容如下图：

优发国际·随优而动一触即发

图14 explorer.vbs剧本内容

从图14的VBS文件内容可以看出，剧本中使用了wscript shell下令做了两件事。首先将自身添加到注册表开机自启动项中，以便每次在系统启动时都能自动运行explorer.vbs文件，用以实现其长期性；其次，运行可执行文件explorer.exe。

优发国际·随优而动一触即发

图15 添加注册表项

2.4 Agent Tesla

通太过析，可以确定explorer.exe程序是污名昭著的特工软件“Agent Tesla”。该木马运行后会连忙重新建设一个挂起的自身子历程。子历程的相关属性如下图：

优发国际·随优而动一触即发

图16 子历程属性信息

然后子历程会从资源数据中解密出另一个由.NET编写的PE文件，其将会在内存中直接运行。下图是在剖析工具中显示的该.NET程序的主要功效：

优发国际·随优而动一触即发

图17 主要功效代码部分截图

该程序会实验会见“checkup[.]amazonaws.com”，以此来获取外地机械的外网IP地点。

优发国际·随优而动一触即发

图18 获取外地IP地点

从图17的内容可以看到，程序代码使用了混淆手艺来增添剖析难度。别的，其还会对VM、沙箱、调试器和其他监控工具等做一系列的检测。如运行情形清静，.NET程序则最先监视并网络受害者的信息，并使用SMTP协议将监控日志发送给远程服务器“smtp[.]diagnosticsystem.in”。

Agent Tesla家族

基于已知的相关资料，从2014年起迄今为止，Agent Tesla已存活长达5年之久。随着时间的推移，该木马在陆续一直的迭代更新，最新版本现在可凭证需求在互联网上随意购置。

Agent Tesla可实时监控和纪任命户的键盘输入、窃取剪切板数据、屏幕截图、获取主机信息，以及网络各大浏览器和邮箱的用户凭证并回传至黑客服务器。也正由于其功效很是强盛，以是近几年以来经常被黑客组织所使用。

下图是从其网站上摘取下来的部分功效先容：

优发国际·随优而动一触即发

图19 Agent TeslaX相关功效

阻止到现在，鉴于我们剖析的这款新变种和旧版的木马在功效和手艺上类似，并没有发明太多的转变点。以是本文在这里不再过多的详细形貌其详细的手艺细节，若有需要各人可审查文末的参考文献。

3、溯源与关联剖析

3.1 恶意域名剖析

我们首先从恶意文档触发误差后执行的shellcode中提取出一个硬编码的链接地点：“http[:]//34.87.19.73/”。经事后台大数据的样本关联剖析后，从该托管的外部主机上挖掘出该黑客组织自2019年9月起使用的诸多类型的特工木马。

优发国际·随优而动一触即发

图20 托管主机上的木马信息统计

接着，提取该批木马样本使用的C2域名进一步的关联出部分可疑的CC地点。例如，部分木马会将SMTP流量发送到smtp[.]diagnosticsystem.in，而该域名剖析的IP地点为208[.]91[.]199[.]143。

DNS盘问此域名，发明其注册时间为2019年9月19日，这与该批木马的撒播起始时间正好吻合。域名盘问信息如下图：

优发国际·随优而动一触即发

图21 域名的注册时间

再次对线索做扩展和对该域名举行深入的追踪剖析后，我们获得了更多的恶意样本，以及这些域名曾剖析到的主机IP地点。

优发国际·随优而动一触即发

图22 域名剖析的IP地点

我们从获取的大宗恶意样本中整理出近期较量活跃的，通过手动剖析确定了此次攻击运动中使用的大宗C2域名。经由盘问剖析后发明，这些域名均是以上IP地点“208.91.199.**”和“208.91.198.143”的CNAME“us2.smtp.mailhostbox.com”的又名。

优发国际·随优而动一触即发

图23 域名盘问信息

图中枚举了部分活跃样本和其会见的域名，详细对应关系如下所示：

优发国际·随优而动一触即发

图24 恶意样本与C&C服务器的关系图

3.2 关联邮件

凭证同源剖析，我们发明了另外一封针对西班牙地区的垂纶邮件。该邮件的发件地点是西班牙一家名为“MAJ AGROQUIMICOS”的农药行业公司。

优发国际·随优而动一触即发

图25 MAJ AGROQUIMICOS公司首页

邮件内容使用的是西班牙语，大致意思是付款确认书，垂纶邮件的附件是一个伪装成.img名堂的ISO文件。虽然文件名称与邮件的内容有所差别，可是从发件地点来看，其泉源也有可能会是攻击目的的相助商或供应商之类，这样便可增添邮件的真实性，同样有时机诱使受害者下载附件。邮件详细内容如下图所示：

优发国际·随优而动一触即发

图26 西班牙语的垂纶邮件

优发国际·随优而动一触即发

图27 邮件翻译后的内容

3.3 ISO文件

ISO映像是一种光盘的存档文件，其中包括将要写入光盘的所有信息。通常用于建设CD或DVD的备份。由于ISO文件的尺寸相对较量大，以是有可能导致许多电子邮件网关扫描程序无法准确识别此类型的附件。并且自Win 8及以上的更高版本后，Windows都自带ISO运行工具，用户就像翻开EXE文件一样，直接双击ISO文件即可运行。因此这次攻击中黑客使用了ISO文件作为恶意附件。

3.4 恶意附件

嵌入在IOS恶意附件中的可执行文件如下图所示：

优发国际·随优而动一触即发

图28 嵌入的可执行文件

嵌入的可执行文件

使用剖析工具可以看到，这个名为“SOA300329042943243_pdf.exe”的可执行文件现实上是一个AutoIt诠释器，并嵌入了AutoIt编译剧本作为资源。

优发国际·随优而动一触即发

图29 可执行文件的资源信息

该可执行文件运行后，会在%User\Public%目录下释放恶意的VBS剧本文件并将该目录添加到注册表的Run启动项中，以实现其长期性。接着再将内存中解密出的的PE文件注入到系统文件“Regasm.exe”中。

图30 在注册表中添加自启动项

新PE文件

通太过析内存中解密出的新PE文件，我们确定该EXE是另一版使用.NET框架编写的Agent Tesla木马。在木马程序乐成注入到Regasm.exe历程并运行后，便最先实验与远程服务器举行毗连。

我们在恶意代码剖析历程中发明了黑客C&C服务器上的相关信息，C&C文件目录如下图：

优发国际·随优而动一触即发

图31 服务器上的文件目录

通过进一步的剖析，我们发明C&C服务器上生涯着大宗的从受害者机械回传的监控日志，凭证其贮存的文件名称名堂和内容等特征，再次确定该木马是“Agent Tesla”家族。

以后，我们还追踪到了该黑客组织所网络的受害者信息，这些信息以html和jpeg文件的形式存储在C&C服务器上，其中html存储的是本机信息、键盘纪录、账号密码等信息，jpeg存储的是截屏信息。下图是截取了部分监控日志：

优发国际·随优而动一触即发

图32 回传到服务器的监控日志

从这些文件名中的：“Keystrokes”（键盘纪录）、“Screen”（屏幕截）、“Recovered”（密码恢复）等要害字可以看出，木马是凭证黑客的控制指令来窃取受害者的相关信息，且凭证“功效-用户名-盘算机名-时间（年-月-日-时-分-秒）”的结构命名并生涯为HTML名堂的文件。

我们将一个以“Recovery”开头的html文件使用IE浏览器翻开，能够看到木马详细网络了哪些信息。其中包括受害者的盘算机用户名、主机信息、系统名称、CPU信息、内存信息、IP地点以及Chrome浏览器凭证信息等。

优发国际·随优而动一触即发

图33 HTML文件的内容详情

3.5 基础设施剖析

通过网络与该C&C服务器相关的回传信息举行整理剖析后，我们发明了几个要害信息。团结前文中搜集到的线索，我们进一步简直认了该服务器是被黑客组织攻陷后，专门用作吸收木马回传受害者信息的服务器。而该组织早在7月份的时间就已最先实验攻击运动，并且受害者大都是来自于西班牙地区的企事业单位事情职员。黑客组织惯于使用Agent Tesla或Hawkeye Keylogger、Nanocore RAT和NetWire RAT等特工木马来窃取目的职员的登录凭证等信息，且此次攻击运动是由来自于尼日利亚的黑客组织策划与实验。

3.5.1 受攻击服务器剖析

我们注重到，W-EAGLE目录下生涯着一个名为“W-EAGLE PMS Deck.zip”的压缩包。解压并翻开某DOC文档，发明这是一个带着公司logo的西班牙语文件，问题在谷歌翻译为“甲板妄想的维护/检查手册”。

优发国际·随优而动一触即发

图34 W-EAGLE目录下的文件内容

凭证公司名称搜索后证实，这是西班牙一家大型船舶治理公司，主要从事干散货船的运营。

优发国际·随优而动一触即发

图35 W MARINE INC公司主页信息

如图35所示，该公司的网址同黑客所使用的服务器名称相同，由此证实此服务器现实是属于此公司。并且凭证服务器上生涯的与该公司有关的文档建设时间是2016年10月中下旬左右，我们推测此服务器因恒久被闲置而无人维护，致使被黑客组织加以使用。

3.5.2 监控日志信息

我们将数目近2万的监控日志举行整理剖析，数据显示黑客组织现实上从2019年7月便已最先处于活跃状态，受害者的主机信息以及小我私家登录凭证一连的被回传到此服务器上。阻止现在为止，Keystrokes文件的占比率相对较量大，其次是Screen文件，Recoverey文件相对较少。不但云云，我们监测到此类文件在服务器上仍然不中止的新增。

文件类型	建设时间	文件数目
Keystrokes	2019年7月16日	8383
Screen	2019年8月10日	5447
Recovery	2019年7月16日	3859

表1 服务器上的日志统计

3.5.3 受害者地区和行业漫衍

受害者IP地点主要漫衍在西班牙、印度，以及少量来自阿联酋和墨西哥地区，其或许占比率如下图：

优发国际·随优而动一触即发

图36 受害者地区漫衍图

基于我们对黑客组织的攻击信息统计显示，此次攻击运动涉及到西班牙地区的市政府、农业机械行业、水利工程行业和对外商业行业，以及印度和阿联酋等其他行业。下表展示了部分的相关统计信息：

公司名称	公司信息
FEMAC	位于西班牙的一家农业机械公司
XUNTA DE GALICIA	西班牙加利西亚地区的费斯特拉市政厅
ICINCO	位于西班牙加纳利群岛的修建水利工程公司
GALACANARIA	位于西班牙大加纳利群岛的一家食物，饮料和烟草批发商业公司
AIRSAT	西班牙一家互联网供应商
Al Serh Al Kabeer	位于阿联酋的一家修建公司
AFS Logistics International Pvt.Ltd	位于印度的一家国际物流货运署理公司
Vanity Case	位于印度的一家自然护肤产品分销商
sanbe-farma	印度尼西亚外地领先的制药公司

表2 被攻击的部分公司信息

3.5.4 黑客的归属位置

别的，我们还注重到一些HawkEye Keylogger日志似乎是从黑客的电脑中上传的，文件名中的HawkEye Keylogger和编号Rebornv9（该木马的最新版本号），以及要害字“PasswordsLogs”和“TestLogs”等，疑似是黑客的测试日志。

优发国际·随优而动一触即发

图37 测试日志截图

日志文本里详细列出了黑客组织几个用于测试的邮箱登录凭证，部分信息如下。

示例1：

优发国际·随优而动一触即发

图38 日志信息截图1

优发国际·随优而动一触即发

图39 Movistar邮箱登录界面

示例2：

优发国际·随优而动一触即发

图 40 日志信息截图2

优发国际·随优而动一触即发

图41 Suite Correo Profesional 邮箱登录界面

我们提取出了该日志的IP地点“197.210.226.51”。盘问后得出该地点位于尼日利亚地区：

优发国际·随优而动一触即发

图42 IP地点盘问后的相关信息

别的，在另外的Keystrokes日志中再次发明的IP地点“41.203.73.185”与前文中我们纪录的IP地点相同，其也是指向尼日利亚地区。详细信息如下图：

优发国际·随优而动一触即发

图43 Keystrokes日志中的信息

然后，我们从同源的Recovery日志中找到了黑客不小心泄露的外洋ANY.RUN（在线恶意软件沙箱）平台的账号和密码。

优发国际·随优而动一触即发

图44 Recovery日志中的信息

乐成登录后审查扫描历史，我们可以看到黑客组织在7月份的时间便最先将木马上传举行查杀检测。同时凭证沙箱扫描效果显示，再次确认该批木马属于Agent Tesla和HawkEye Keylogger家族。

优发国际·随优而动一触即发

图45 ANY.RUN上传历史纪录

4、总结

恒久以来，用以窃取敏感信息的特工木马一直在一直的更新换代。随着灰色市场的兴起，键盘纪录程序、窃密程序和远控程序正在逐渐地趋向于商业化，以至于攻击者在此方面无须投入太多的时间和精神，而将关注点放在其攻击手段和社会工程学的能力上。

通过对服务器上一连更新的回传文件监测，我们可以看出该黑客组织的攻击运动正在一连举行，受害者的人数仍然呈上升趋势。别的，通过对攻击运动的溯源和后台数据统计，我们推测后续的攻击目的重点偏向于西班牙和印度等地区。

在此优发国际网站官网ADLab提醒各企业单位及小我私家用户提高小心，不从泉源不明的网站下载软件，不要容易点击泉源不明的邮件附件，不要随意启用宏，实时下载补丁修复。

IOC：

SHA-256

DE01B6A27D4EBA814FE3CE5084CFC23FDEEB47D50F8BEC5A973578E66B768A48

D5F2418628B818FCFFDD7F3A31F9A137761FA307D1C05C9B783E9040E008DE90

CA56DAD3CABD5AD85411B88C5E094055BEAA96DF6F9B37B9E9FD03AFF823CBAF

4DE32AD800A7847510925D34142B16AE6D7C3C0E44E33EC54466F527FCC93F41

F183992B4BC36F3B33F967EAB83B53A2448260ADA4A92A4B86F32284285EEFED

D6F5AAD82A21C384171BC8FE1BFBC47867151CCE9E8FA54FA21903191A63FD9E

BB3A12EDEFB5A96D6BDBFDC86ED125757ABC3C479EDAF485444A05F4A1D9F9B6

0514990857770F5AF20C96B97D7B63DC8248593D223A672D60C5C6479910C84B

1DD9B3CBB1AAC20E3A3954A1CFBE1BC8CB746C1BF446512A0AB6795546A9774F

C2域名

smtp[.]diagnosticsystem[.]in

kartelicemoneyy[.]duckdns[.]org

virtualhost19791[.]duckdns[.]org

参考链接：

https://www.fortinet.com/blog/threat-research/in-depth-analysis-of-net-malware-javaupdtr.html

服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

优发国际网站官网

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

专业清静服务

清静运营中心

知白学院

威胁情报中心

清静转达

研究报告

清静团队

渠道系统

售后服务

升级通告

软件升级

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系优发国际网站官网

清静研究

针对制药行业及政企的黑客组织最新攻击运动深度剖析

关于优发国际网站官网

解决计划

清静研究

联系优发国际网站官网

服务热线