TA505武器之隐形电子邮件窃取器

简介

Yoroi安全实验室发现，已有越来越多的证据在表明针对银行业的攻击行为正在加剧。许多安全研究人员在也指出过，利用电子邮件作为攻击载体的金融盗窃行动可能与黑客组织TA505有关，TA505自2014年以来一直活跃，其攻击目标主要针对零售业和银行业公司。该组织所使用的逃避技术随着时间的推移在不断发展进化，能越过某些企业的安全防御机制，渗入企业内部，例如滥用LOLBins或合法程序，以及经过加密签名payload。

图1.野外发现的攻击行动。

我们在4月至5月间调查并跟踪了TA505，在受害者计算机上，我们检测到了一个有趣的工具。就在恶意文件打开、FlawedAmmy RAT植入程序安装后不久，出现了一种特殊的证书窃取软件，该组件能揭示TA505近期行动的细节。

图2.野外发现的攻击行动。

技术分析

分析样本是从“bullettruth[.com/out[.exe”下载的，它在感染发生后被执行到受害者机器中。

图3：由SLON LTD签名的恶意软件

首先，我们注意到这个次级组件被很好地保护起来，能免受反病毒检测，而PE文件是由Sectigo在5月上旬签署的，Sectigo是俄罗斯主要的认证机构之一。通过分析信任链，我们发现攻击者依赖于向一家名为SLON LTD.的英国公司发布的加密密钥。目前，我们还没有证据表明该公司是之前黑客攻击的受害者。

无论如何，对二进制文件的静态检查显示，恶意软件的熵水平相当高，表明它可能被加壳了。中国菜刀

图4：恶意软件熵的级别显得可疑

动态执行恶意软件揭示了更多信息。该恶意可执行文件实质上是电子邮件窃取程序，唯一的目的是检索受害者计算机内存在的所有电子邮件和密码帐户。执行信息收集例程后，恶意软件会向其C2发送所有检索到的电子邮件和密码：

图5：HTTP POST通信

与C2通信的过程没有进程加密，收集的数据以JSON格式发送到C2。 调查攻击者基础设施，我们能看到窃取的电子邮件的信息。

为了检索有关此电子邮件窃取程序的更多详细信息，我们接着进行调试和反汇编。调试器中执行恶意软件后，能提取恶意软件的解压缩后的payload。天空彩

图6：加壳样本（左侧）和解壳样本（右侧）的静态信息

如上图所示，我们注意到这两个组件间的差异性：加壳样本是在Microsoft Visual C ++ 6.0版中编译的，解压缩后的样本显示是在Microsoft Visual C ++版本8中编译的。提取的payload无法执行，因为它总是引用原始内存的许多内存地址。因此，我们对提取的样本进行静态分析。

如前所述，恶意软件的主要目的是遍历文件系统以查找电子邮件帐户。第一步是检查“outlook.exe”进程是否正在运行并将其终止。恶意软件使用Process32FirstW API遍历用户进程，然后使用TerminateProcess终止进程。

图7:搜索Outlook进程

所提取的payload代码是未经混淆的，C2服务器和路径也没有进行编码:

图8：C2连接例程

最后分析的是整个文件系统内的凭证收集过程。

除了常规搜索在Outlook和Thunderbird客户端中注册的电子邮件帐户（如图7所示）之外，还有另一个查找硬编码扩展名的扫描文件系统，如果找到其中一个，则引用找到的文件并保存在％TEMP％目录中。此时，所有收集的电子邮件帐户都会被发送到服务器，然后恶意软件会创建一个简单的批处理脚本，从受感染的计算机中删除自身的所有痕迹。

 

图9:自动删除批处理脚本

外泄邮件分析

下图显示了我们收集到的电子邮件的一些统计数据，按被盗数据中出现频率最高的TLD排序。

图10：TLD的分布

如上图所示，最常见的TLD是.com，发生次数为193194次，其中.kr发生次数为102025次，.cn发生次数为26160次，it发生次数为6.317次，依此类推。为了更好地可视化这一曝光所涉及的宏观位置，我们建立了一个热图，显示了顶级域名中引用的前100个国家的地理分布。

 

图11：电子邮件TLD暴露的地理位置

热图显示，受影响较小的国家呈绿色，相反，受影响最严重的国家往往呈橙色或略带红色。从这两种分布中首先出现的是，这种特定的威胁似乎没有针对性，事实上，扩散几乎是全球性的，在英国、意大利、韩国、中国、德国、匈牙利、台湾、日本、印度和墨西哥呈现一些红色或橙色区域，所有这些国家都超过了一千次。

结论

如今，电子邮件帐户是网络罪犯的有效收入来源。实际上，所有这些信息都可用于通过网络钓鱼活动传播其他恶意软件，执行BEC攻击（商业电子邮件攻击）以及凭证填充攻击。

像这样一个窃取信息的恶意软件，虽然简单却可能带来破坏性的影响，特别是如果被有组织的团体与其他恶意软件植入一起使用时。事实上，正如德国独立研究人员Fernandez Bacian所报道的那样，这个电子邮件窃取器最近被TA505所使用，暴露的数据、截获的电子邮件帐户以及电子邮件联系人，在未来都有可能被运用到更进一步的攻击行动中。

IoC

Dropurl:

· bullettruth[.com/out[.exe

C2:

· nettubex[.top/es/es[.php

· 178.48.154.38

· 5.253.53.236

· 87.241.136.1

· 197.255.225.249

· 95.140.195.178

· 186.74.208.84

· 86.61.75.99

· 86.101.230.109

· 89.47.94.113

· 130.204.181.90

· 78.90.243.124

Hash:

· 104dae7457c10b7fe6c42a335f2a57ff708ff20d70597fbaa5fe0083c1c628c7

· e4b40cba02dc1de1a1c2ed2001d39a87c476c11ca08f09a80fd3f1fbaae0daeb

· f3e8f68c31c86d431adea1633c875c32434a42aee5ed70af74af5c5e5aa58883

· 899bfac53c3439a7ea68f9a5bbff2733ebf7b9158f18ef5d03360a09b18b5e0d

Yara Rules

import "pe"
rule EmailStealer_201905 {
meta:
description = "Yara rule for EmailStealer"
author = "Cybaze - Yoroi ZLab"
last_updated = "2019-05-14"
tlp = "white"
category = "informational"
strings:
$a1 = { 80 F2 F3 00 56 53 A7 }
$a2 = { 4D 26 9A 00 56 4B AC 55 }
$a3 = { 1C 4A 77 00 00 89 B4 B7 }
 
 
condition:
uint16(0) == 0x5A4D and pe.number_of_sections == 3 and all of them
}

查找拓展名

.msf; .dat; .pst; .ost; .asp; .cdd; .cpp; .doc; .docm; .docx; .dot; .dotm; .dotx; .epub; .fb2; .gpx; .ibooks; .indd; .kdc; .key; .kml; .mdb; .mdf; .mobi; .mso; .ods; .odt; .one; .oxps; .pages; .pdf; .pkg; .pl; .pot; .potm; .potx; .pps; .ppsm; .ppsx; .ppt; .pptm; .pptx; .ps; .pub; .rtf; .sdf; .sgml; .sldm; .snb; .wpd; .wps; .xar; .xlr; .xls; .xlsb; .xlsm; .xlsx; .xlt; .xltm; .xltx; .xps; .3dm; .aspx; .cer; .cfm; .chm; .crdownload; .csr; .css; .download; .eml; .flv; .htaccess; .htm; .html; .jnlp; .js; .jsp; .magnet; .mht; .mhtm; .mhtml; .msg; .php; .prf; .rss; .srt; .stl; .swf; .torrent; .url; .vcf; .webarchive; .webloc; .xhtml; .xul; .asf; .asm; .cgi; .class; .cs; .dtd; .fla; .ged; .gv; .icl; .java; .jse; .json; .lua; .mb; .mod; .msp; .obj; .po; .ps1; .py; .sh; .sln; .so; .sql; .ts; .vbe; .vbs; .vc4; .vcproj; .vcxproj; .wsc; .xcodeproj; .xsd; .apt; .err; .log; .pwi; .sub; .ttf; .tex; .text; .txt; .accdb; .b2; .crypt; .crypt5; .crypt6; .crypt7; .crypt8; .crypt12; .db; .dbf; .dbx; .sis; .awb; .bin; .cdi; .cdr; .csv; .eap; .efx; .gam; .gbr; .gtp; .mpp; .msc; .mts; .otf; .nbk; .nbp; .ndb; .prj; .rtp; .sav; .scppy; .tax2010; .tbl; .tmp; .vcd; .xml; .xsl; .xslt; .bak; .dmp; .gho; .ghs; .v2i; .zip; .asx; .iff; .inf; .temp; .ai; .aif; .amr; .apk; .bp1; .ccd; .cdw; .dds; .dmg; .dxf; .ext; .ics; .ini; .m4p; .max; .md0; .mng; .mp3; .mpa; .msu; .nrg; .pak; .part; .pkpass; .psd; .rnd; .rom; .spl; .swb; .svg; .xla; .application; .appref; .cfg; .conf; .config; .cpl; .cue; .deskthemepack; .diagcfg; .ds_store; .iso; .pdi; .plist; .reg; .scr; .theme; .themepack; .thm