最近,网络安全公司NetScout观察到了一场APT攻击活动,攻击者很可能来自朝鲜。NetScout将这场攻击活动命名为“STOLEN PENCIL”,至少自2018年5月份以来一直将学术机构作为攻击目标。攻击背后的动机尚不清楚,但攻击者在窃取凭证方面似乎很擅长。受害者首先会收到鱼叉式钓鱼电子邮件,旨在诱使他们打开一个恶意网站,并立即会被提示需要安装恶意的谷歌Chrome插件。一旦在受害者的设备上建立了立足点,攻击者就会使用一些现成的工具来实现持久性,包括使用远程桌面协议(Remote Desktop Protocol,RDP)来实现持续性访问。
主要发现
- 多样化的网络钓鱼网站域名似乎暗示攻击者还针对了其他目标,但针对学术界的网站旨在诱使受害者安装一个恶意的Chrome插件。
- 来自多所大学的受害者都拥有在生物医学工程方面的专业知识,这可能暗示了攻击者的动机。
- 糟糕的OPSEC导致受害者发现打开的网页浏览器变成了朝鲜语界面,“英语到朝鲜语”的翻译器自动开启,键盘布局也被切换为了朝鲜语。
- 攻击者使用内置的Windows管理工具和商业化的现成软件来实施攻击,并使用RDP来访问受感染系统,而不是后门或远程访问木马(RAT)。
- 持久性是通过从各种来源(如进程内存、web浏览器、网络嗅探和键盘记录程序)窃取密码来实现的。
- 没有任何数据遭到窃取的迹象,这使得STOLEN PENCIL活动背后的动机在很大程度上是不确定的。
鱼叉式网络钓鱼
图1:攻击链
就像上图所展示的那样,STOLEN PENCIL背后的攻击者使用鱼叉式网络钓鱼来作为他们的初始攻击向量。有关这场攻击活动的最初报道来自Twitter用户@ MD0ugh,受害者会收到一条包含恶意链接的鱼叉式网络钓鱼信息,链接指向由攻击者控制的多个域名之一。目前,NetScout已经成功识别出了几个被用于钓鱼的域名(如下所示)。
- client-message[.]com
- world-paper[.]net
- docsdriver[.]com
- grsvps[.]com
- coreytrevathan[.]com
- gworldtech[.]com
除了上述这些顶级域名之外,NetScout发现攻击者还使用了一些子域名(如下所示)。
- docsdriver[.]com
- docsdriver[.]com
- docsdriver[.]com
- docsdriver[.]com
- docsdriver[.]com
- docsdriver[.]com
- korean-summit.docsdriver[.]com
- docsdriver[.]com
- docsdriver[.]com
- docsdriver[.]com
- docsdriver[.]com
- docsdriver[.]com
- docsdriver[.]com
- docsdriver[.]com
- docsdriver[.]com
许多子域名都包含最基本的钓鱼页面,为了模拟网页上的“Save As(另存为)”,一些页面还被插入了“MarkOfTheWeb”组件。RiskIQ曾讨论过这项技术,但NetScout认为这些活动并不存在关联。
针对学术机构的钓鱼页面会在IFRAME中显示合法的PDF文档。然后,它会将用户重定向到Chrome网上应用店的“Font Manager”插件下载页面,如图2所示。
图2:网络钓鱼页面的HTML源码
目前,恶意插件已经从Chrome Web Store中移除,包括攻击者使用盗来的Google+帐户留下的评论。这些评论是从其他插件的评论中复制过来的,并且都被标注为“五星”,即使复制的评论是负面的。需要注意的是,有一些用户反应称,他们在下载并安装后就很快删除了这个插件,因为它阻止了Chrome浏览器的正常运行。这可能来源于存在编写错误或编写不规范的代码占用了太多的资源来维持功能和隐蔽,至少对一部分用户来说是这样的。
这个恶意Chrome插件声明了在浏览器中的每个URL上运行的权限,如图3所示。
图3:带有
这个插件从一个独立站加载JavaScript,如图4所示。加载的JavaScript文件名为“jQuery.js”。在NetScout分析时,从内容来看它是一个合法的jQuery文件。NetScout推测,攻击者已经使用一个无害的payload替换了恶意的JavaScript,以阻止分析。从外部网站加载jQuery.js是毫无意义的,因为从该插件的最新版本开始,其安装包中包含一个合法的jQuery.js。
图4:manage.js代码段
考虑到攻击者有窃取密码的倾向,以及恶意Chrome插件被用于从每个网站读取数据的事实,其目的很可能是窃取浏览器cookie和密码。另外,NetScout在一些被盗账户上也观察到了电子邮件转发。
工具集
一旦在用户的系统上建立了一个立足点,STOLEN PENCIL背后的攻击者就会使用微软的远程桌面协议(RDP)来进行远程访问。这意味着攻击者可以在不使用RAT的情况下与目标系统进行交互,其中命令和控制网站充当了攻击者和目标系统之间的代理。RDP访问发生每天的06:00-09:00 UTC(01:00-04:00 EST)。在其中一个案例中,NetScout还注意到攻击者将受害者的键盘布局更改为了朝鲜语。
一个被盗证书在STOLEN PENCIL活动中被用来为两组工具的几个PE文件进行签名:
- MECHANICAL
- 将按键记录到“%userprofile%\appdata\roaming\apach.{txt,log}”,还可以作为一个“cryptojacker”,将Ethereum钱包地址替换为0x33883E87807d6e71fDc24968cefc9b0d10aC214E。这个Ethereum钱包地址目前余额为零,没有交易记录。
- GREASE
- 一个用于添加具有特定用户名/密码的Windows管理员帐户并启用RDP的工具,可以绕过任何防火墙规则。在这场活动中,NetScout观察到了以下用户名/密码组合列表,但尚不清楚“1215”代表的是什么:
- LocalAdmin/Security1215!
- dieadmin1/waldo1215!
- dnsadmin/waldo1215!
- DefaultAccounts/Security1215!
- defaultes/1qaz2wsx#EDC
在大多数MechanicalICAL和GREASE样本中使用的证书链如图5所示。
图5:用于对MECHANICAL/GREASE进行签名的证书
虽然攻击者的确使用了一些工具来实现自动化入侵,但NetScout还是发现了一些工具的ZIP文件,而这些工具更加证实了攻击者意在窃取密码的倾向。具体而言,NetScout发现了以下工具:
- KPortScan–一款基于GUI的端口扫描器
- PsExec –一款用于在Windows系统上远程执行命令的工具
- 一些批处理文件,用来启用RDP和绕过防火墙规则
- Procdump–一款用来转储进程内存的工具,附带一个用来转储lsass进程以提取密码的批处理文件
- Mimikatz–一款用来转储密码和散列的工具
- Eternal漏洞利用工具套件,附带用来快速扫描和执行漏洞利用的批处理文件
- Nirsoft Mail PassView–一个用来转储已保存的邮箱密码的工具
- Nirsoft Network Password Recovery–一款用来转储已保存的Windows密码的工具
- Nirsoft Remote Desktop PassView –一款用来转储已保存的RDP密码的工具
- Nirsoft SniffPass–一款用来嗅探网络,以查找通过不安全协议发送的密码的工具
- Nirsoft WebBrowserPassView–一种用来转储保存在各种浏览器中的密码的工具
显然,这个工具集可以用来窃取存储在各种位置的密码。通过使用被盗密码、后门账户和强制开启的RDP服务,攻击者完全可以在一个目标系统上站稳脚跟。
建议
- 建议用户不要随意点击电子邮件中的任何可疑链接,无论是在工作环境中还是在家里,即使这些电子邮件来自你信任的人。
- 建议用户仔细查看要求你安装浏览器插件的任何提示,即使这些插件托管在官方商店上。
- 警惕包含网络钓鱼链接的电子邮件。
- 使用防火墙将RDP访问限制为仅限于需要它的系统,并监控本不应该出现的可疑RDP连接。
- 查找可疑的、新创建的管理员帐户。
总结
NetScout表示,虽然他们已经了解到了STOLEN PENCIL活动背后攻击者的TTP(工具、技术和程序),但这显然只是全面了解其活动的第一步。攻击者的技术相对基础,且使用的大部分工具都是现成的程序,再加上cryptojacker的使用,这些都是朝鲜谍报技术的典型特征。此外,糟糕的OPSEC在浏览器的语言设置和键盘布局的选择上都暴露了攻击者会韩语的事实。他们花费了大量时间和资源来对目标进行侦察,在Chrome插件页面上留下的评论就是最好的证明。他们的主要目标似乎是通过窃取的凭证来获取对目标系统的访问。由于没有发现任何数据遭到窃取的迹象,因此NetScout表示他们尚不能确定攻击者针对学术界实施攻击的动机。
本文由 黑客视界 综合网络整理,图片源自网络;转载请注明“转自黑客视界”,并附上链接。
閱讀更多 黑客視界 的文章
關鍵字: Chrome 攻击 JavaScript
