疑似DuckTail组织针对性攻击活动分析

APT 8个月前 admin
140 0 0

背景介绍

近期山石网科捕获到了一批疑似与黑客组织DuckTail相关的针对数字营销人员进行的安全事件。Ducktail 组织由国外安全厂商于2022年披露,其攻击活动至少从2021年开始。组织活动以经济利益驱动,常针对Facebook Business账号展开窃密行 动,目的是操纵页面并获取财务信息。该组织的攻击目标覆盖全球多个国家,活动范围较广。


事件概述

在本次捕获到的事件中攻击者使用了压缩文件进行投递,通过压缩文件内的lnk快捷方法来加载远程服务器中的hta文件以完成执行的动作。

疑似DuckTail组织针对性攻击活动分析


详细分析

初始载荷

压缩包内包含的内容如下,为服装产品图以及一段mp4视频作为伪装,实际用于代码执行的为其中的快捷方式文件。

疑似DuckTail组织针对性攻击活动分析

载荷执行分析

对lnk文件进行解析,可以看到在该快捷方式会调用powershell.exe来执行mshta,以加载远端服务器的hta文件。

疑似DuckTail组织针对性攻击活动分析

在hta文件中,使用十进制数加上定值的方式来对部分代码进行混淆,解混淆之后可以实际为一段downloader的代码。即从http://51.79.244[.]21/dwmm.exe下载文件到本地执行。

疑似DuckTail组织针对性攻击活动分析

攻击组件分析

dwmm.exe

通过lnk下载的样本软件为使用Nuitka进行封装的python脚本。Nuitka是一款以Cpython对python文件进行封装的python编译器。样本程序在执行时会将Loader以及所需要的环境释放到路径为%temp%onefile_[当前进程号]_[当前时间]的文件夹下,文件列表如下:

疑似DuckTail组织针对性攻击活动分析

其中dwmm中就是Nuitka用于实际执行python代码的load,在其中我们可以找到被编译为PyCodeObject的python代码,将该对象dump出来进行修补反编译,既可以得到如下的python代码:

疑似DuckTail组织针对性攻击活动分析

可以看到此处还对核心功能代码做了一层加密,解密后动态编译执行。

功能代码分析

在该部分python代码首先会通过gspread从google共享文档中获取文件名和文件数据,将文件数据content_file写入路径LOCALAPPDATA{name_file_txt}.txt中,并打开。以用于做为伪装。

疑似DuckTail组织针对性攻击活动分析

其中本次获取的文件内容为MANGO集团的数字营销经理JD说明。

疑似DuckTail组织针对性攻击活动分析

随后会检测文件

LOCALAPPDATAMicrosoft.lock
是否存在,若文件存在则退出程序,以避免样本程序重复运行,否则则创建该文件。

从远端服务器

http://51.79.244[.]21/Microsoft.hta

下载hta文件到本地执行,该后续文件以及样本与本此介绍的hta文件以及dwmm.exe代码逻辑基本一致,此处就不再多做赘述。
从ip-api.com获取设备出口IP和位置信息,使用以下格式创建文件夹,将设备的屏幕进行截图,并保存到该文件夹。
[{CountryCode}_{IP}]{COMPUTERNAME}

疑似DuckTail组织针对性攻击活动分析

获取设备中浏览器的Cookies、Password、Credit Card、History等数据,浏览器名和扫描的路径对应如下:

浏览器名

路径

“Chromium”

“{LocalAppData}ChromiumUser Data”

“Thorium”

“{LocalAppData}ThoriumUser Data”

“Chrome”

“{LocalAppData}GoogleChromeUser Data”

“Chrome (x86)”

“{LocalAppData}Google(x86)ChromeUser Data”

“Chrome SxS”

“{LocalAppData}GoogleChrome SxSUser Data”

“Maple”

“{LocalAppData}MapleStudioChromePlusUser Data”

“Iridium”

“{LocalAppData}IridiumUser Data”

“7Star”

“{LocalAppData}7Star7StarUser Data”

“CentBrowser”

“{LocalAppData}CentBrowserUser Data”

“Chedot”

“{LocalAppData}ChedotUser Data”

“Vivaldi”

“{LocalAppData}VivaldiUser Data”

“Kometa”

“{LocalAppData}KometaUser Data”

“Elements”

“{LocalAppData}Elements BrowserUser Data”

“Epic Privacy Browser”

“{LocalAppData}Epic Privacy BrowserUser Data”

“Uran”

“{LocalAppData}uCozMediaUranUser Data”

“Fenrir”

“{LocalAppData}Fenrir IncSleipnir5settingmodulesChromiumViewer”

“Catalina”

“{LocalAppData}CatalinaGroupCitrioUser Data”

“Coowon”

“{LocalAppData}CoowonCoowonUser Data”

“Liebao”

“{LocalAppData}liebaoUser Data”

“QIP Surf”

“{LocalAppData}QIP SurfUser Data”

“Orbitum”

“{LocalAppData}OrbitumUser Data”

“Dragon”

“{LocalAppData}ComodoDragonUser Data”

“360Browser”

“{LocalAppData}360BrowserBrowserUser Data”

“Maxthon”

“{LocalAppData}Maxthon3User Data”

“K-Melon”

“{LocalAppData}K-MelonUser Data”

“CocCoc”

“{LocalAppData}CocCocBrowserUser Data”

“Brave”

“{LocalAppData}BraveSoftwareBrave-BrowserUser Data”

“Amigo”

“{LocalAppData}AmigoUser Data”

“Torch”

“{LocalAppData}TorchUser Data”

“Sputnik”

“{LocalAppData}SputnikSputnikUser Data”

“Edge”

“{LocalAppData}MicrosoftEdgeUser Data”

“DCBrowser”

“{LocalAppData}DCBrowserUser Data”

“Yandex”

“{LocalAppData}YandexYandexBrowserUser Data”

“UR Browser”

“{LocalAppData}UR BrowserUser Data”

“Slimjet”

“{LocalAppData}SlimjetUser Data”

“Opera”

“{AppData}Opera SoftwareOpera Stable”

“OperaGX”

“{AppData}Opera SoftwareOpera GX Stable”

“Discord”

‘{AppData}discord’

“Discord Canary”

‘{AppData}discordcanary’

“Lightcord”

‘{AppData}Lightcord’

“Discord PTB”

‘{AppData}discordptb’

当存在facebook的cookie时,则会通过facebook的api获取facebook中企业管理账号中的信息、绑定的银行卡信息等。
最终通过telegram Bot将收集到的信息发送到群组中,完成信息窃取流程。

疑似DuckTail组织针对性攻击活动分析


归属关联分析

基于以下几个维度,我们认为本次攻击活动与DuckTail组织存在较强的关联:
1、活动背景
对于本次攻击活动事件而言,我们可以看到较为鲜明的活动人员背景(越南)、攻击目标范围(数字营销人员),这些均与DuckTail组织高度重合。
2、TTP技战术关联
通过对本次攻击链的分析,可以看到的是,在多种技战术的使用上,均与DuckTail均在高度重合,如将mp4+图片+恶意载荷进行打包作为诱饵、使用nuitka对python软件进行封装、盗窃facebook Business Manager 凭证、通过telegramBot传输数据等等。

疑似DuckTail组织针对性攻击活动分析


总结

本次分析的样本中含有多处越南的特征,如在字符串中使用越南语,将时间转为越南时区作为文件名等等。攻击者似乎并未想要隐藏自己的背景。在国外的报告《A Look Into DuckTail》[1]一文中提到DuckTail对于他们获取的facebook信息会放到越南地下市场,如tg群组等进行售卖。

疑似DuckTail组织针对性攻击活动分析

目前并未发现该组织有存在于中国活动的迹象,但是我们可以从上述的功能分析中看到收集的浏览器信息中也包含了360浏览器。也许未来的某一天该组织也会将中国纳入活动区域。


处置建议

可使用山石网科防火墙和NIPS产品的C2和AV防护模块来防范该风险,请确保将特征库升级至截止20240202的最新版本。山石网科防火墙与态势感知云景可以有效地预警并拦截与DuckTail组织相关的威胁情报(IOC)和恶意行为。


IOC

SHA256:

8e427a2e57281f9ad78bc15745adc9174af786cc82c586c0701f7da034a48259

1c3523a634233de83ee39dca72a5a4a91c5ed76414ae4aa1b6412052bb5eb3d6

6bfda4bef788b11e0e6e1ea9250c431fdaaf3391b2286d1b7dda8e1f00c8541f

2aacda8bb28da8c9f7e0cedd5602cfb7a6682266d36e819029f548eda68cebee

4ef4f2c41a2d3bede7ec45a799bfe8f4452a33aeb8c1c65d035495481c824073

78d7e8a550b9d76189a02459be907920398c7bdf3f553421e328d4ca3340e9ca

0da8df85bc7b7f0888e8dd70e982483e35a54d3c617ae567c74f578a617a575e

2a5f378c1b6825cf28a75a257dccc2464dc64145d299d49aaa47e1bec4dbfe3b

2aacda8bb28da8c9f7e0cedd5602cfb7a6682266d36e819029f548eda68cebee

4a3a73691f58785eee3bd2223fd0d052a60919c8fc96a0f09b95e616836c7045

5e0cacbe597939b971feae27330dcba247f841c7eaa12d60e35c51215afedceb

6bfda4bef788b11e0e6e1ea9250c431fdaaf3391b2286d1b7dda8e1f00c8541f

8ff64c8a7b4d94826b11f9b6c2a5e8f1afb9beb881f970fb63deb299a889a7f5

9a40e427338e65a3729b8bf1d01e368c2e096d8e3131196beada0d6c7e8bca7f

9d88ecdd4dce40bea6c22e721b10b2e9e49650679734ca411f6232ea4097e83d

b0e601a0b905e52a8031586992ca643ccfd1c7a63aa612bb060797d06599c2b3

b941221aa5aa83278c8d3da3519c598f1e59ddf76c053a237c1ed026acdc8972

cbaa1ac972808df33925e7ef26a8ad9cdf0318607230bd2f8a6f886a02a8df7f

df83e668b60f36f5e35109179bc94c07e36fc3beef46b02397b1100d7de08eba

ed9fec75ada3273b6f076742a0c7fa5697174429175646100bc56368be6c0d33

f38ca2e624e8b511a5fddf1377c4fef82b47fb18394fbcec27ad574982ec4505

fcc5eb1ea535d509f9de453fbcfbe70d5efd29192b60304ae3934b14d925eae4

f38ca2e624e8b511a5fddf1377c4fef82b47fb18394fbcec27ad574982ec4505

9d88ecdd4dce40bea6c22e721b10b2e9e49650679734ca411f6232ea4097e83d

url:

http://pdfmicrosoft.ddns.net/Chrome.exe

http://pdfmicrosoft.ddns.net/csrss.exe

http://pdfmicrosoft.ddns.net/Chrome.hta

http://pdfmicrosoft.ddns.net/svchost_window.exe

http://pdfmicrosoft.ddns.net/Chrome.hta

http://pdfmicrosoft.ddns.net/svchost.hta

http://pdfmicrosoft.ddns.net/svchost.exe

https://pdfmicrosoft.ddns.net/

http://51.79.244[.]21/L.exe

http://51.79.244[.]21/dwm.exe

http://51.79.244[.]21/Notepad.hta

https://51.79.244[.]21/Microsoft.exe

http://51.79.244[.]21/Notepad.exe


引用

[1] https://www.zscaler.com/blogs/security-research/look-ducktail


关于山石网科情报中心

山石网科情报中心,涵盖威胁情报狩猎运维和入侵检测与防御团队。 山石网科情报中心专注于保护数字世界的安全。以情报狩猎、攻击溯源和威胁分析为核心,团队致力于预防潜在攻击、应对安全事件。山石网科情报中心汇集网络安全、计算机科学、数据分析等专家,多学科融合确保全面的威胁分析。我们积极创新,采用新工具和技术提升分析效率。团队协同合作,分享信息与见解,追求卓越,为客户保驾护航。无论是防范未来威胁还是应对当下攻击,我们努力确保数字世界安全稳定。其中山石网科网络入侵检测防御系统,是山石网科公司结合多年应用安全的攻防理论和应急响应实践经验积累的基础上自主研发完成,满足各类法律法规如 PCI、等级保护、企业内部控制规范等要求。

原文始发于微信公众号(山石网科安全技术研究院):疑似DuckTail组织针对性攻击活动分析

版权声明:admin 发表于 2024年2月26日 下午4:53。
转载请注明:疑似DuckTail组织针对性攻击活动分析 | CTF导航

相关文章