“Eternity”组织:持续活跃的商业武器库

点击上方"蓝字"
关注我们吧!



01
概述
2022年5月,安天CERT发布了报告《活跃的Jester Stealer窃密木马及其背后的黑客团伙》[1],报告中不但分析了一个同时释放窃密木马和剪贴板劫持器的恶意样本,还提到了一个活跃的Jester黑客团伙。
Jester黑客团伙自2021年7月开始活跃,主要通过售卖其开发的窃密木马、剪贴板劫持器、僵尸网络等不同类型的恶意代码获利。2022年2月,该黑客团伙声称由于仿冒者太多而被各地下论坛封禁,所以决定更名为Eternity(后文都采用此名)。目前该黑客团伙已经形成了一定的规模,具有多名成员,能够根据购买者的反馈对其开发的恶意代码进行修改,增加新功能,并开始出售勒索软件和蠕虫等更多类型的恶意代码,形成了MaaS(恶意软件即服务)的运营模式,对用户的设备和数据安全形成威胁。
安天CERT在本篇报告中除了对该黑客团伙进行更多介绍之外,还会对其开发的蠕虫及勒索软件进行详细分析,帮助用户了解其恶意功能,以便进行更好的防护。经验证,安天智甲终端防御系统(简称IEP)可对该黑客团伙开发的恶意代码进行有效查杀。


02
事件对应的ATT&CK映射图谱

事件对应的技术特点分布图:


“Eternity”组织:持续活跃的商业武器库

图2‑1 技术特点对应ATT&CK的映射


具体ATT&CK技术行为描述表:


表2‑1 ATT&CK技术行为描述表

“Eternity”组织:持续活跃的商业武器库



03
防护建议

为有效防御此类恶意代码,提升安全防护水平,安天建议企业采取如下防护措施:

3.1 终端防护


1.安装终端防护系统:安装反病毒软件,建议安装安天智甲终端防御系统

2.加强口令强度:避免使用弱口令,建议使用16位或更长的密码,包括大小写字母、数字和符号在内的组合,同时避免多个服务器使用相同口令;

3.部署入侵检测系统(IDS):部署流量监控类软件或设备,便于对恶意代码的发现与追踪溯源。安天探海威胁检测系统(PTD)以网络流量为检测分析对象,能精准检测出已知海量恶意代码和网络攻击活动,有效发现网络可疑行为、资产和各类未知威胁;

3.2 网站传播防护


1.建议使用官方网站下载的正版软件。如无官方网站建议使用可信来源进行下载,下载后使用反病毒软件进行扫描;

2.建议使用沙箱环境执行可疑的文件,在确保安全的情况下再使用主机执行。安天追影威胁分析系统(PTA)采用深度静态分析与沙箱动态加载执行的组合机理,可有效检出分析鉴定各类已知与未知威胁。

3.3 遭受攻击及时发起应急响应


联系应急响应团队:若遭受恶意软件攻击,建议及时隔离被攻击主机,并保护现场等待安全工程师对计算机进行排查;安天7*24小时服务热线:400-840-9234。

经验证,安天智甲终端防御系统(简称IEP)可实现对该窃密木马、挖矿程序等恶意软件的有效查杀。


“Eternity”组织:持续活跃的商业武器库

图3‑1 安天智甲为用户终端提供有效防护



04
关联分析

4.1 黑客团伙构成


根据该团伙在Telegram频道等位置发布的公开信息,以及此前Jester Stealer中出现的用于下载载荷的Github地址,可以总结其主要相关成员及频道信息如下。

4.1.1 团伙成员


表4‑1 Eternity成员

早期成员

EternityDeveloper

TheRealDrKust0m

PrincipeDiBeler


成员

LightM4n

Github: L1ghtM4n

userpro9(用户名失效)

savethekiddes

MalwareCompany

客服

user2speedBot

EternityDealer

EternityTeams(用户名失效)



其中LightM4n的Github信息如下,可看出该用户对恶意代码开发有一定了解。

“Eternity”组织:持续活跃的商业武器库

图4‑1 成员的Github信息


4.1.2 消息频道


该组织陆续开设了多个频道用于进行恶意软件销售,相关频道如下。

表4‑2 Eternity相关消息频道

功能

主频道

恶意软件销售

用户评论

新闻

用户反馈

频道

JesterLab

EternityMalwareTeam

EternityReviews

eternitymalwareRE

EternityUpdateRequests


4.1.3 地区属性


该黑客团伙开发的恶意软件目前均会绕过系统语言为乌克兰语的设备,且在恶意代码的日志文本及黑客团伙的通知频道中存在多处相关言论,因此推测其核心成员来自乌克兰。部分信息如下。

“Eternity”组织:持续活跃的商业武器库

图4‑2 频道中的相关信息


4.2 恶意软件介绍


Eternity组织有多种正在活跃维护及运营的恶意软件,包括窃密木马、挖矿程序、剪贴板劫持器、勒索病毒、蠕虫传播器等,另外还有DDoS程序处于开发阶段,还未公开出售。

“Eternity”组织:持续活跃的商业武器库

图4‑3 Eternity网站导航页


网站上还存在上述恶意软件的文字、视频介绍和购买链接。

“Eternity”组织:持续活跃的商业武器库

图4‑4 Eternity网站恶意代码介绍页


该团伙还会通过投票等方式为后续的恶意软件开发做调查。结合其设置客服账号、建立多种不同功能的Telegram频道、搭建网站等行为,可以看出该组织已经形成了一定的商业销售模式。

“Eternity”组织:持续活跃的商业武器库

图4‑5 频道中的投票

 


05
样本分析

5.1 Eternity蠕虫分析


表5‑1 蠕虫样本标签

病毒名称

Trojan[Worm]/Win32.Eternity

原始文件名

EternityWorm.exe

MD5

80094CDFC9743EA1E4DECFE916105B76

处理器架构

Intel 386 or   later, and compatibles

文件大小

1.29 MB  (1,355,264字节)

文件格式

BinExecute/Microsoft.EXE[:X32]

时间戳

2054-12-14  07:46:01 UTC(伪造)

数字签名

加壳类型

编译语言

.NET

VT首次上传时间

2022-10-19  02:30:02 UTC

VT检测结果

60/71


检查系统语言是否为乌克兰语,若是则直接退出程序不再执行。

“Eternity”组织:持续活跃的商业武器库

图5‑1 检测系统语言区域


创建互斥量“lpgdntaivz”避免重复执行。

“Eternity”组织:持续活跃的商业武器库

图5‑2 创建互斥量


下载并执行勒索软件。

“Eternity”组织:持续活跃的商业武器库

图5‑3 下载并执行勒索软件


该蠕虫后续通过多种方式进行感染、传播。

▶ 自动发送Telegram钓鱼消息

下载Telegram传播模块。

“Eternity”组织:持续活跃的商业武器库

图5‑4 下载Telegram传播模块


该模块为使用PyInstaller打包的Python程序,功能为利用受害者系统中Telegram客户端登录的账号发送钓鱼内容,诱导受害者的Telegram联系人下载恶意程序。

“Eternity”组织:持续活跃的商业武器库

图5‑5 通过Telegram传播


▶ 自动发送Discord钓鱼消息

从受害者安装的Discord客户端中获取用户关注的频道(一种可以收、发消息的群聊)。

“Eternity”组织:持续活跃的商业武器库

图5‑6 获取Discord频道


向获取的Discord频道中发送钓鱼消息,诱导频道成员下载恶意程序。

“Eternity”组织:持续活跃的商业武器库

图5‑7 发送Discord钓鱼消息


▶ 感染Python标准库

感染Python标准库中的os.py,向其中植入下载器代码。

“Eternity”组织:持续活跃的商业武器库

图5‑8 感染Python库


▶ 感染本地文件

将当前用户的“桌面”“图片”“文档”三个文件夹中exe、pdf、docx、xlsx、bat、txt、mp3、mp4、py、png、pyw、jar等扩展名的文件替换为恶意程序。

“Eternity”组织:持续活跃的商业武器库

图5‑9 感染本地文件


对zip压缩包内的文件进行替换。

“Eternity”组织:持续活跃的商业武器库

图5‑10 感染Zip压缩包内的文件


对除C盘之外的可移动磁盘和固定磁盘(本地磁盘)进行上述感染处理。

“Eternity”组织:持续活跃的商业武器库

图5‑11 感染磁盘文件


最后对网络驱动器以及Dropbox、OneDrive、Google网盘的默认同步文件夹进行感染。

“Eternity”组织:持续活跃的商业武器库

图5‑12 感染网络驱动器


上述功能的配置信息如下。

“Eternity”组织:持续活跃的商业武器库

图5‑13 蠕虫程序配置信息


5.2 释放的Eternity勒索软件分析


表5‑2 勒索软件样本标签

病毒名称

Trojan[Ransom]/Win32.Eternity

原始文件名

Eternity.exe

MD5

27063953E8334BC1D395274A3FF8E66F

处理器架构

Intel 386 or   later, and compatibles

文件大小

111.00 KB  (113,664字节)

文件格式

BinExecute/Microsoft.EXE[:X32]

时间戳

2103-10-13  03:19:28 UTC(伪造)

数字签名

加壳类型

编译语言

.NET

VT首次上传时间

2022-10-19 02:27:27  UTC

VT检测结果

51/68


Eternity勒索软件的勒索信样式如下。

“Eternity”组织:持续活跃的商业武器库
图5‑14 勒索信样式


检查系统语言是否为乌克兰语,若是则直接退出程序不再执行。

“Eternity”组织:持续活跃的商业武器库

图5‑15 检查系统语言区域


创建互斥量“wsrciuxcaz”避免重复执行。

“Eternity”组织:持续活跃的商业武器库

图5‑16 创建互斥量


将自身复制到%LocalAppdata%ServiceHub文件夹下,并建立计划任务每分钟执行一次。

“Eternity”组织:持续活跃的商业武器库

图5‑17 建立计划任务持久化


通过注册表禁用系统自带的任务管理器,避免用户查看系统进程。

“Eternity”组织:持续活跃的商业武器库

图5‑18 禁用任务管理器


创建线程持续检测系统中是否出现特定的进程管理、进程监控、系统管理软件进程并将其结束。

“Eternity”组织:持续活跃的商业武器库

图5‑19 结束部分工具进程


删除系统还原点。

“Eternity”组织:持续活跃的商业武器库

图5‑20 删除系统还原点


删除卷影备份。

“Eternity”组织:持续活跃的商业武器库

图5‑21 删除卷影备份


通过修改注册表劫持资源管理器中.exe程序的双击启动,使用户启动.exe时启动的是勒索程序。

“Eternity”组织:持续活跃的商业武器库

图5‑22 劫持资源管理器中exe文件的启动


生成随机的AES密钥,使用内置的RSA公钥加密后存储到注册表HKCUSoftwareFirefoxEncryptedKeys中。

“Eternity”组织:持续活跃的商业武器库

图5‑23 生成密钥并加密存储在注册表中


使用AES算法对文件进行加密,并使用Deflate压缩后写回原文件。

“Eternity”组织:持续活跃的商业武器库

图5‑24 对文件进行加密


加密后的文件扩展名为“.ecrp”,相关配置信息如下。

“Eternity”组织:持续活跃的商业武器库

图5‑25 勒索软件配置信息



06
总结

Eternity Worm蠕虫除了具备传统的本地文件感染功能外,还具备多种依托于互联网公共网站传播的功能。蠕虫一旦落地,还能自动下载勒索软件在内的其他恶意程序并执行,对用户系统安全造成极大的威胁。其背后的Eternity黑客团伙经过一年多的发展,已经成为具有一定规模的黑客团伙。

安天CERT将会继续追踪该黑客团伙的相关技术变化和特点,并提供相应的解决方案。安天智甲终端防御系统(IEP)不仅具备病毒查杀、主动防御等功能,而且提供终端管控、网络管控等能力,能够有效防御此类威胁攻击,保障用户数据安全。



07
IoCs

80094CDFC9743EA1E4DECFE916105B76

27063953E8334BC1D395274A3FF8E66F

http[:]//111.90.151[.]174:7777/Ransomworm.exe

http[:]//111.90.151[.]174:7777/Ransomware.exe


参考资料:

[1] 活跃的Jester Stealer窃密木马及其背后的黑客团伙分析

https://www.antiy.cn/research/notice&report/research_report/20220510.html

[2] Lilith僵尸网络及其背后的Jester黑客团伙跟进分析

https://www.antiy.cn/research/notice&report/research_report/20220902.html


“Eternity”组织:持续活跃的商业武器库
往期回顾

“Eternity”组织:持续活跃的商业武器库
“Eternity”组织:持续活跃的商业武器库
“Eternity”组织:持续活跃的商业武器库

“Eternity”组织:持续活跃的商业武器库

原文始发于微信公众号(安天集团):“Eternity”组织:持续活跃的商业武器库

版权声明:admin 发表于 2022年12月23日 下午7:37。
转载请注明:“Eternity”组织:持续活跃的商业武器库 | CTF导航

相关文章

暂无评论

暂无评论...