Ursnif 是 Gozi 恶意软件家族的一个变体,最近针对北美和欧洲的各种实体开展了越来越多的活动。该活动似乎是在 4 月 6 日左右开始的,通过一些位于 8.208.90.28 的域。
自活动开始以来,总共有 16 个域指向该 IP。
自 04/22 起,这些演员已将他们的活动转移到新 IP:47.241.106.208
初始访问:
此活动的特别兴趣点是 TTP 在绕过许多安全工具方面的有效性。在交付阶段,活动使用受感染的电子邮件帐户通过添加链接并恳求收件人检查正在进行的对话的最新更新来注入以前的对话。
提供的链接指向 Google Drive 帐户,这是用户信任的实体,在许多企业中通常无法被阻止。Google 云端硬盘链接会下载一个受密码保护的 zip 文件,其中包含一个 javascript (JS) 文件。
执行:
执行时,JS 文件将由 wscript 执行。Wscript 然后让位给 Regsrv32,它将一个 txt 文件加载到内存中。然而,txt 文件实际上是一个 DLL 文件,一旦加载到内存中,就会在 regsrv32 进程下运行。
使用这些感染方法能够在运行时绕过包括 Windows Defender 在内的多个安全层,但我们目睹它检测到 txt DLL 并吃掉磁盘上的文件,同时丢失内存中正在运行的可执行文件。
虽然在活动期间目睹的几次感染从未通过信标移动到 8.208.90.28 的 Ursnif C2,内存中有 DLL,但一些样本进行得更远。
持久性:
对于这些样本,发生了以下行为。
在下面提到的注册表位置中,可以找到更多可供恶意软件调用的模块。
命令与控制:
初始 C2 收到以下警报:
ETPRO_TROJAN_Ursnif_Variant_CnC_Beacon_12_M2 8.208.90.28
ETPRO_TROJAN_Ursnif_Variant_CnC_Beacon_12_M1 8.208.90.28
随着 TorClient 注册表二进制文件在一段时间后被确认为同名的:
ET_P2P_Tor_Get_Server_Request
大约 24 小时后,Ursnif 收到了新的活动,并触发了 VNC 模块和新的 C2 IP 的警报。
ETPRO_TROJAN_Possible_Ursnif_VNC_Module_CnC_Beacon 162.244.35.233
随后,一系列新的恶意软件被投放到系统中。这些结果包括 Cobalt Strike 信标和 TVRat(Team Viewer RAT)。
Cobalt Strike 在 run32dll 的帮助下以 3 个 dll 的形式再次加载到内存中。
同时TVrat使用“合法”访问工具Teamviewer为攻击者提供远程访问。
svcc.exe 99e0fbb8b4d6bbd5fe4eec1530aa51a818d06e245efb2c2fb41199a390a73db8
1.exe 497129b7b2a940a812b9f3cf3d1a149d903a4179fc75adaf085e4edba533a7c9
这个 exe 可以访问许多不同的 teamviewer 基础设施:
此时,Cobalt Strike 和 TVrat C2 接管了之前的所有通信。
ETPRO_TROJAN_Cobalt_Strike_Beacon_Observed 23.81.246.22
ETPRO_TROJAN_Cobalt_Strike_Beacon_Observed 93.190.138.35
ET_TROJAN_Win32.Spy/TVRat_Checkin 89.39.107.106
目标行动:
这种情况持续了一段时间,但我们没有看到参与者针对目标采取的最终行动。
结论:
基于参与者绕过安全控制的能力以及转向新 IP 基础设施的能力,我们预计该活动将持续一段时间。我们建议密切注意与您通常不会收到 AV 警报的文件(如文本文件)相关的 AV 警报。并确保您的网络签名是最新的并受到监控,因为这些威胁往往使用默认或已知配置,如果有人在监听,这些配置会非常嘈杂。
翻译自网络
原文始发于微信公众号(闲聊知识铺):来自 LOLbins 的 Ursnif