概述

近(jìn)日(rì)，奇安信病毒響應中心在日(rìπ♥♣>)常樣本監控過程中發現(xiàn)境外(wài)黑(hēi)客團夥以國(guó)內<>(nèi)某銀(yín)行(xíng)的(de)名義向相(xiàng)關單位發送釣魚郵件✔≥(jiàn)誘導收件(jiàn)人(rén)打開(kāi)附件(jiλ↓àn)，從(cóng)而運行(xíng)惡意程序，導緻單位信息、機(jī)密文(✔σ∑→wén)件(jiàn)被竊取。

樣本使用(yòng)目前流行(xíng)的(de)混淆器(qì)，在執行$‌€♠(xíng)過程中多(duō)次內(nèi)存加載，最✘✔∞$終運行(xíng)NanoCore遠(yuǎn)控，連接遠(yuǎn)程服務器(qì∞‍↔δ)上(shàng)傳敏感數(shù)據。

通(tōng)過奇安信大(dà)數(shù)¥✔×據平台監測，已有(yǒu)國(guó)內(nèi)相(xiàng)關單位中招♣<✔，為(wèi)防止威脅進一(yī)步擴散，病毒響應中心負責任地(dì)對(duì)相(xi¶•∞àng)關樣本進行(xíng)披露和(hé)分(fēn)析。₽♣

郵件(jiàn)分(fēn)析

其發件(jiàn)人(rén)高(gāo)仿中航船(chuán)舶的♥↓(de)郵件(jiàn)系統（@avicships.com），而中航船(chuán)舶真實的(>♣§≠de)郵箱地(dì)址為(wèi)@avicship<÷.com，差一(yī)個(gè)”s”，非常具有(yǒu)迷惑性。

附件(jiàn)內(nèi)容如(rú)下(xiàΩ↕)：

從(cóng)附件(jiàn)名稱可(kě)以判斷該黑(hēi)客團夥似乎不(bù)懂(dǒn">g)中文(wén)。

樣本分(fēn)析

脫殼後，為(wèi)Delphi編寫的(de)混淆器(qì₩™α)，在執行(xíng)過程中會(huì)将自(zì)身(shēn)複制(zhì)到(d®∑ào)%appdata%/Microsoft目錄下(x®£§♠ià)，命名為(wèi)microsoft.exe并啓↕Ω←動。自(zì)解密一(yī)段代碼：

在啓動目錄下(xià)釋放(fàng)microsoft.vbs，用(y<∏✘òng)于持久化(huà)：

創建自(zì)身(shēn)進行(xíng)進程替換：

進程替換的(de)PE為(wèi)VC編寫，作(zuò)為(wèi)loader從(★≈cóng)資源節讀(dú)取數(shù)據：

最後進行(xíng)內(nèi)存加載.net編寫的(₹&​₽de)NanoCore遠(yuǎn)控，外(wài)層加了(le‌‌)Eazfuscator殼：

NanoCore的(de)C2域名btcexcha ‌mge.duckdns.org，storexchange.duc♦©∞₩kdns.org

關聯分(fēn)析

在日(rì)常樣本監控過程中我們發現(xiàn≥σ×)，除了(le)該團夥使用(yòng)Delphi £編寫的(de)混淆器(qì)外(wài)，勒索軟件(jià>≠n)也(yě)在使用(yòng)，在Hakbit勒索最新的(de)變種中​​（.ravack），同樣使用(yòng)了(le)Delphi編寫±$<的(de)混淆器(qì)，但(dàn)是(shì)執行(xíng)流程稍有(yǒu)不↓<(bù)同，Hakbit勒索外(wài)層在執行(xíng)過程中并€π♠∏沒有(yǒu)進行(xíng)持久化(huà)操 →γ←作(zuò)，而判斷了(le)虛拟機(jī)的(de)存在，之後分(fēn)配了(le)一(yī&")塊內(nèi)存，進行(xíng)了(le •σΩ)一(yī)次shellcode的(de)調用(yòng)操作(zuò)。

Shellcode的(de)功能(néng)依然是(shì)進程替換，替換後的©"γ×(de)PE和(hé)上(shàng)述報(bà‍•±o)告中的(de)相(xiàng)同，為(wèi)VC編寫的(de)Loader，☆∑£最終內(nèi)存加載Hakbit勒索程序。

從(cóng)外(wài)層Delphi執行(xíng)的(de)結果的(de)差異我們可¥←≥(kě)以基本判斷該混淆器(qì)已經非常成熟，應該存在衆多(duō)選項供用(‍₽ yòng)戶選擇，預計(jì)未來(lái)一(yī)段時(shí)間(jiān)會(huì)有'≠ ←(yǒu)大(dà)量的(de)惡意軟件(ji♥φ≤àn)使用(yòng)該混淆器(qì)。

根據奇安信大(dà)數(shù)據多(duō)維度平台進行(x<÷íng)關聯，我們發現(xiàn)該團夥還(hái)會(huì)€∑§仿冒德意志(zhì)銀(yín)行(xíng)對(duì)德國(guó↓​ )相(xiàng)關公司進行(xíng)手法相(xiàng)似的(de ¶)攻擊。

Autoit腳本會(huì)将NanoCore注入♠φ®₽到(dào)RegSvcs.exe進程中：

C2與上(shàng)述相(xiàng)同。

該團夥還(hái)會(huì)仿冒DHL郵件(j©♦₩πiàn)：

VB代碼會(huì)将NanoCore注入到(dào)RegAsm.exe進程中。 ≥C2：doublegrace.ddns.net↓φ÷©

最近(jìn)兩年(nián)，病毒響應中心的(de)檢測到≠ >€(dào)仿冒中航船(chuán)舶作(zuò)為(wèi)發件(jiàn)人(rén)的(d‌‌₽✔e)商貿信越來(lái)越多(duō)，收件(jiàn)人(réσ≤n)平時(shí)不(bù)注意的(de)話(huà)很(hěn)難分(fēn∏‌≈‌)辨出真僞，最終導緻惡意代碼執行(xíng)，公司數(shù)據被竊取。

如(rú)發件(jiàn)人(rén)為(wèi)@avicsΩ×‌★hips.net：

文(wén)檔使用(yòng)11882漏洞，像₩&遠(yuǎn)程服務器(qì)下(xià)載π‍§♣payload（hxxp://dubem.•✔↑top/nwama/nwama.exe），域名已經無法訪問(wèn)。

總結

目前，越來(lái)越多(duō)的(de)境外(wài)黑β€÷¥(hēi)客團夥向國(guó)內(nèi)相(xiàng∏↓₩)關單位發送經過精心僞造的(de)釣魚郵件(jiàn)，由于≈'→郵件(jiàn)內(nèi)容為(wèi)&≈中文(wén)且僞造的(de)過于逼真外(wài)加上(shàng)相(xγ£παiàng)關人(rén)員(yuán)安全意識較低(dī)，最終導緻單↕♦位受到(dào)較大(dà)的(de)财産 <損失。因此，奇安信病毒響應中心提醒用(yòng)戶，疫情在家(jiā)遠(yuǎn)程辦公，不≤≠ε(bù)要(yào)點擊來(lái)源不(bù)明(míng)的(de)郵件(jiàn)和(hé±≈)可(kě)執行(xíng)文(wén)件(jiàn☆∏÷)，同時(shí)提高(gāo)個(gè)人(rén)的(de)安全意識，從(cóng)而可(kě®↓↑₹)以防止用(yòng)戶隐私信息被盜取的(de)>£≤風(fēng)險，奇安信病毒響應中心會(huì)持續對(duì)國(guó)內(nè'✘←→i)黑(hēi)産進行(xíng)挖掘和(hé)∞←跟蹤。

同時(shí)基于奇安信威脅情報(bào)×"₹中心的(de)威脅情報(bào)數(shù)據的≥♣(de)全線産品，包括奇安信威脅情報(bào)平台（TIP）、天擎、天眼高(gāo)級威脅檢" 測系統、奇安信NGSOC等，都(dōu)已經支持對(duì)該家(jiā)族的(de)精确檢測₩↑✔✔。

IOC

文(wén)件(jiàn)Hash：

8aecbcff2863ca8fb5f6eb352f95d608

452fe9d3b013a98568"≥355342b79e9b6a

744d77a3c5859d9acf5dd7b13ce7fab4

Domain：

doublegrace.ddns.net

btcexchamge.duckdns÷↔≥ .org

storexchange.duckd‌≤₩↓ns.org

聲明(míng)：本文(wén)來(lái)自(zì)奇安信病毒響應中心，版權歸♦γ ≈作(zuò)者所有(yǒu)。文(wén)章(zhā$♣♣ng)內(nèi)容僅代表作(zuò)者獨立觀點，不(bù)代表海(hǎi)☆€←博科(kē)技(jì)立場(chǎng)，轉載目的(de)在于傳↕"© 遞更多(duō)信息。