背景介绍
近期山石网科捕获到了一批疑似与黑客组织DuckTail相关的针对数字营销人员进行的安全事件。Ducktail 组织由国外安全厂商于2022年披露,其攻击活动至少从2021年开始。组织活动以经济利益驱动,常针对Facebook Business账号展开窃密行 动,目的是操纵页面并获取财务信息。该组织的攻击目标覆盖全球多个国家,活动范围较广。
事件概述
在本次捕获到的事件中攻击者使用了压缩文件进行投递,通过压缩文件内的lnk快捷方法来加载远程服务器中的hta文件以完成执行的动作。
详细分析
初始载荷
压缩包内包含的内容如下,为服装产品图以及一段mp4视频作为伪装,实际用于代码执行的为其中的快捷方式文件。
载荷执行分析
对lnk文件进行解析,可以看到在该快捷方式会调用powershell.exe来执行mshta,以加载远端服务器的hta文件。
在hta文件中,使用十进制数加上定值的方式来对部分代码进行混淆,解混淆之后可以实际为一段downloader的代码。即从http://51.79.244[.]21/dwmm.exe下载文件到本地执行。
攻击组件分析
dwmm.exe
通过lnk下载的样本软件为使用Nuitka进行封装的python脚本。Nuitka是一款以Cpython对python文件进行封装的python编译器。样本程序在执行时会将Loader以及所需要的环境释放到路径为%temp%onefile_[当前进程号]_[当前时间]的文件夹下,文件列表如下:
其中dwmm中就是Nuitka用于实际执行python代码的load,在其中我们可以找到被编译为PyCodeObject的python代码,将该对象dump出来进行修补反编译,既可以得到如下的python代码:
可以看到此处还对核心功能代码做了一层加密,解密后动态编译执行。
功能代码分析
在该部分python代码首先会通过gspread从google共享文档中获取文件名和文件数据,将文件数据content_file写入路径LOCALAPPDATA{name_file_txt}.txt中,并打开。以用于做为伪装。
随后会检测文件
从远端服务器
http://51.79.244[.]21/Microsoft.hta
获取设备中浏览器的Cookies、Password、Credit Card、History等数据,浏览器名和扫描的路径对应如下:
浏览器名 |
路径 |
“Chromium” |
“{LocalAppData}ChromiumUser Data” |
“Thorium” |
“{LocalAppData}ThoriumUser Data” |
“Chrome” |
“{LocalAppData}GoogleChromeUser Data” |
“Chrome (x86)” |
“{LocalAppData}Google(x86)ChromeUser Data” |
“Chrome SxS” |
“{LocalAppData}GoogleChrome SxSUser Data” |
“Maple” |
“{LocalAppData}MapleStudioChromePlusUser Data” |
“Iridium” |
“{LocalAppData}IridiumUser Data” |
“7Star” |
“{LocalAppData}7Star7StarUser Data” |
“CentBrowser” |
“{LocalAppData}CentBrowserUser Data” |
“Chedot” |
“{LocalAppData}ChedotUser Data” |
“Vivaldi” |
“{LocalAppData}VivaldiUser Data” |
“Kometa” |
“{LocalAppData}KometaUser Data” |
“Elements” |
“{LocalAppData}Elements BrowserUser Data” |
“Epic Privacy Browser” |
“{LocalAppData}Epic Privacy BrowserUser Data” |
“Uran” |
“{LocalAppData}uCozMediaUranUser Data” |
“Fenrir” |
“{LocalAppData}Fenrir IncSleipnir5settingmodulesChromiumViewer” |
“Catalina” |
“{LocalAppData}CatalinaGroupCitrioUser Data” |
“Coowon” |
“{LocalAppData}CoowonCoowonUser Data” |
“Liebao” |
“{LocalAppData}liebaoUser Data” |
“QIP Surf” |
“{LocalAppData}QIP SurfUser Data” |
“Orbitum” |
“{LocalAppData}OrbitumUser Data” |
“Dragon” |
“{LocalAppData}ComodoDragonUser Data” |
“360Browser” |
“{LocalAppData}360BrowserBrowserUser Data” |
“Maxthon” |
“{LocalAppData}Maxthon3User Data” |
“K-Melon” |
“{LocalAppData}K-MelonUser Data” |
“CocCoc” |
“{LocalAppData}CocCocBrowserUser Data” |
“Brave” |
“{LocalAppData}BraveSoftwareBrave-BrowserUser Data” |
“Amigo” |
“{LocalAppData}AmigoUser Data” |
“Torch” |
“{LocalAppData}TorchUser Data” |
“Sputnik” |
“{LocalAppData}SputnikSputnikUser Data” |
“Edge” |
“{LocalAppData}MicrosoftEdgeUser Data” |
“DCBrowser” |
“{LocalAppData}DCBrowserUser Data” |
“Yandex” |
“{LocalAppData}YandexYandexBrowserUser Data” |
“UR Browser” |
“{LocalAppData}UR BrowserUser Data” |
“Slimjet” |
“{LocalAppData}SlimjetUser Data” |
“Opera” |
“{AppData}Opera SoftwareOpera Stable” |
“OperaGX” |
“{AppData}Opera SoftwareOpera GX Stable” |
“Discord” |
‘{AppData}discord’ |
“Discord Canary” |
‘{AppData}discordcanary’ |
“Lightcord” |
‘{AppData}Lightcord’ |
“Discord PTB” |
‘{AppData}discordptb’ |
归属关联分析
总结
本次分析的样本中含有多处越南的特征,如在字符串中使用越南语,将时间转为越南时区作为文件名等等。攻击者似乎并未想要隐藏自己的背景。在国外的报告《A Look Into DuckTail》[1]一文中提到DuckTail对于他们获取的facebook信息会放到越南地下市场,如tg群组等进行售卖。
目前并未发现该组织有存在于中国活动的迹象,但是我们可以从上述的功能分析中看到收集的浏览器信息中也包含了360浏览器。也许未来的某一天该组织也会将中国纳入活动区域。
处置建议
可使用山石网科防火墙和NIPS产品的C2和AV防护模块来防范该风险,请确保将特征库升级至截止20240202的最新版本。山石网科防火墙与态势感知云景可以有效地预警并拦截与DuckTail组织相关的威胁情报(IOC)和恶意行为。
IOC
SHA256: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:
http://pdfmicrosoft.ddns.net/Chrome.exe
http://pdfmicrosoft.ddns.net/csrss.exe
http://pdfmicrosoft.ddns.net/Chrome.hta
http://pdfmicrosoft.ddns.net/svchost_window.exe
http://pdfmicrosoft.ddns.net/Chrome.hta
http://pdfmicrosoft.ddns.net/svchost.hta
http://pdfmicrosoft.ddns.net/svchost.exe
https://pdfmicrosoft.ddns.net/
http://51.79.244[.]21/L.exe
http://51.79.244[.]21/dwm.exe
http://51.79.244[.]21/Notepad.hta
https://51.79.244[.]21/Microsoft.exe
引用
[1] https://www.zscaler.com/blogs/security-research/look-ducktail
关于山石网科情报中心
山石网科情报中心,涵盖威胁情报狩猎运维和入侵检测与防御团队。 山石网科情报中心专注于保护数字世界的安全。以情报狩猎、攻击溯源和威胁分析为核心,团队致力于预防潜在攻击、应对安全事件。山石网科情报中心汇集网络安全、计算机科学、数据分析等专家,多学科融合确保全面的威胁分析。我们积极创新,采用新工具和技术提升分析效率。团队协同合作,分享信息与见解,追求卓越,为客户保驾护航。无论是防范未来威胁还是应对当下攻击,我们努力确保数字世界安全稳定。其中山石网科网络入侵检测防御系统,是山石网科公司结合多年应用安全的攻防理论和应急响应实践经验积累的基础上自主研发完成,满足各类法律法规如 PCI、等级保护、企业内部控制规范等要求。
原文始发于微信公众号(山石网科安全技术研究院):疑似DuckTail组织针对性攻击活动分析