最近,網絡安全公司NetScout觀察到了一場APT攻擊活動,攻擊者很可能來自朝鮮。NetScout將這場攻擊活動命名為“STOLEN PENCIL”,至少自2018年5月份以來一直將學術機構作為攻擊目標。攻擊背後的動機尚不清楚,但攻擊者在竊取憑證方面似乎很擅長。受害者首先會收到魚叉式釣魚電子郵件,旨在誘使他們打開一個惡意網站,並立即會被提示需要安裝惡意的谷歌Chrome插件。一旦在受害者的設備上建立了立足點,攻擊者就會使用一些現成的工具來實現持久性,包括使用遠程桌面協議(Remote Desktop Protocol,RDP)來實現持續性訪問。
主要發現
- 多樣化的網絡釣魚網站域名似乎暗示攻擊者還針對了其他目標,但針對學術界的網站旨在誘使受害者安裝一個惡意的Chrome插件。
- 來自多所大學的受害者都擁有在生物醫學工程方面的專業知識,這可能暗示了攻擊者的動機。
- 糟糕的OPSEC導致受害者發現打開的網頁瀏覽器變成了朝鮮語界面,“英語到朝鮮語”的翻譯器自動開啟,鍵盤佈局也被切換為了朝鮮語。
- 攻擊者使用內置的Windows管理工具和商業化的現成軟件來實施攻擊,並使用RDP來訪問受感染系統,而不是後門或遠程訪問木馬(RAT)。
- 持久性是通過從各種來源(如進程內存、web瀏覽器、網絡嗅探和鍵盤記錄程序)竊取密碼來實現的。
- 沒有任何數據遭到竊取的跡象,這使得STOLEN PENCIL活動背後的動機在很大程度上是不確定的。
魚叉式網絡釣魚
圖1:攻擊鏈
就像上圖所展示的那樣,STOLEN PENCIL背後的攻擊者使用魚叉式網絡釣魚來作為他們的初始攻擊向量。有關這場攻擊活動的最初報道來自Twitter用戶@ MD0ugh,受害者會收到一條包含惡意鏈接的魚叉式網絡釣魚信息,鏈接指向由攻擊者控制的多個域名之一。目前,NetScout已經成功識別出了幾個被用於釣魚的域名(如下所示)。
- client-message[.]com
- world-paper[.]net
- docsdriver[.]com
- grsvps[.]com
- coreytrevathan[.]com
- gworldtech[.]com
除了上述這些頂級域名之外,NetScout發現攻擊者還使用了一些子域名(如下所示)。
- docsdriver[.]com
- docsdriver[.]com
- docsdriver[.]com
- docsdriver[.]com
- docsdriver[.]com
- docsdriver[.]com
- korean-summit.docsdriver[.]com
- docsdriver[.]com
- docsdriver[.]com
- docsdriver[.]com
- docsdriver[.]com
- docsdriver[.]com
- docsdriver[.]com
- docsdriver[.]com
- docsdriver[.]com
許多子域名都包含最基本的釣魚頁面,為了模擬網頁上的“Save As(另存為)”,一些頁面還被插入了“MarkOfTheWeb”組件。RiskIQ曾討論過這項技術,但NetScout認為這些活動並不存在關聯。
針對學術機構的釣魚頁面會在IFRAME中顯示合法的PDF文檔。然後,它會將用戶重定向到Chrome網上應用店的“Font Manager”插件下載頁面,如圖2所示。
圖2:網絡釣魚頁面的HTML源碼
目前,惡意插件已經從Chrome Web Store中移除,包括攻擊者使用盜來的Google+帳戶留下的評論。這些評論是從其他插件的評論中複製過來的,並且都被標註為“五星”,即使複製的評論是負面的。需要注意的是,有一些用戶反應稱,他們在下載並安裝後就很快刪除了這個插件,因為它阻止了Chrome瀏覽器的正常運行。這可能來源於存在編寫錯誤或編寫不規範的代碼佔用了太多的資源來維持功能和隱蔽,至少對一部分用戶來說是這樣的。
這個惡意Chrome插件聲明瞭在瀏覽器中的每個URL上運行的權限,如圖3所示。
圖3:帶有
這個插件從一個獨立站加載JavaScript,如圖4所示。加載的JavaScript文件名為“jQuery.js”。在NetScout分析時,從內容來看它是一個合法的jQuery文件。NetScout推測,攻擊者已經使用一個無害的payload替換了惡意的JavaScript,以阻止分析。從外部網站加載jQuery.js是毫無意義的,因為從該插件的最新版本開始,其安裝包中包含一個合法的jQuery.js。
圖4:manage.js代碼段
考慮到攻擊者有竊取密碼的傾向,以及惡意Chrome插件被用於從每個網站讀取數據的事實,其目的很可能是竊取瀏覽器cookie和密碼。另外,NetScout在一些被盜賬戶上也觀察到了電子郵件轉發。
工具集
一旦在用戶的系統上建立了一個立足點,STOLEN PENCIL背後的攻擊者就會使用微軟的遠程桌面協議(RDP)來進行遠程訪問。這意味著攻擊者可以在不使用RAT的情況下與目標系統進行交互,其中命令和控制網站充當了攻擊者和目標系統之間的代理。RDP訪問發生每天的06:00-09:00 UTC(01:00-04:00 EST)。在其中一個案例中,NetScout還注意到攻擊者將受害者的鍵盤佈局更改為了朝鮮語。
一個被盜證書在STOLEN PENCIL活動中被用來為兩組工具的幾個PE文件進行簽名:
- MECHANICAL
- 將按鍵記錄到“%userprofile%\appdata\roaming\apach.{txt,log}”,還可以作為一個“cryptojacker”,將Ethereum錢包地址替換為0x33883E87807d6e71fDc24968cefc9b0d10aC214E。這個Ethereum錢包地址目前餘額為零,沒有交易記錄。
- GREASE
- 一個用於添加具有特定用戶名/密碼的Windows管理員帳戶並啟用RDP的工具,可以繞過任何防火牆規則。在這場活動中,NetScout觀察到了以下用戶名/密碼組合列表,但尚不清楚“1215”代表的是什麼:
- LocalAdmin/Security1215!
- dieadmin1/waldo1215!
- dnsadmin/waldo1215!
- DefaultAccounts/Security1215!
- defaultes/1qaz2wsx#EDC
在大多數MechanicalICAL和GREASE樣本中使用的證書鏈如圖5所示。
圖5:用於對MECHANICAL/GREASE進行簽名的證書
雖然攻擊者的確使用了一些工具來實現自動化入侵,但NetScout還是發現了一些工具的ZIP文件,而這些工具更加證實了攻擊者意在竊取密碼的傾向。具體而言,NetScout發現了以下工具:
- KPortScan–一款基於GUI的端口掃描器
- PsExec –一款用於在Windows系統上遠程執行命令的工具
- 一些批處理文件,用來啟用RDP和繞過防火牆規則
- Procdump–一款用來轉儲進程內存的工具,附帶一個用來轉儲lsass進程以提取密碼的批處理文件
- Mimikatz–一款用來轉儲密碼和散列的工具
- Eternal漏洞利用工具套件,附帶用來快速掃描和執行漏洞利用的批處理文件
- Nirsoft Mail PassView–一個用來轉儲已保存的郵箱密碼的工具
- Nirsoft Network Password Recovery–一款用來轉儲已保存的Windows密碼的工具
- Nirsoft Remote Desktop PassView –一款用來轉儲已保存的RDP密碼的工具
- Nirsoft SniffPass–一款用來嗅探網絡,以查找通過不安全協議發送的密碼的工具
- Nirsoft WebBrowserPassView–一種用來轉儲保存在各種瀏覽器中的密碼的工具
顯然,這個工具集可以用來竊取存儲在各種位置的密碼。通過使用被盜密碼、後門賬戶和強制開啟的RDP服務,攻擊者完全可以在一個目標系統上站穩腳跟。
建議
- 建議用戶不要隨意點擊電子郵件中的任何可疑鏈接,無論是在工作環境中還是在家裡,即使這些電子郵件來自你信任的人。
- 建議用戶仔細查看要求你安裝瀏覽器插件的任何提示,即使這些插件託管在官方商店上。
- 警惕包含網絡釣魚鏈接的電子郵件。
- 使用防火牆將RDP訪問限制為僅限於需要它的系統,並監控本不應該出現的可疑RDP連接。
- 查找可疑的、新創建的管理員帳戶。
總結
NetScout表示,雖然他們已經瞭解到了STOLEN PENCIL活動背後攻擊者的TTP(工具、技術和程序),但這顯然只是全面瞭解其活動的第一步。攻擊者的技術相對基礎,且使用的大部分工具都是現成的程序,再加上cryptojacker的使用,這些都是朝鮮諜報技術的典型特徵。此外,糟糕的OPSEC在瀏覽器的語言設置和鍵盤佈局的選擇上都暴露了攻擊者會韓語的事實。他們花費了大量時間和資源來對目標進行偵察,在Chrome插件頁面上留下的評論就是最好的證明。他們的主要目標似乎是通過竊取的憑證來獲取對目標系統的訪問。由於沒有發現任何數據遭到竊取的跡象,因此NetScout表示他們尚不能確定攻擊者針對學術界實施攻擊的動機。
本文由 黑客視界 綜合網絡整理,圖片源自網絡;轉載請註明“轉自黑客視界”,並附上鍊接。
閱讀更多 黑客視界 的文章
關鍵字: Chrome 攻擊 JavaScript
