概述
鉴于上次我们披露UTG-Q-007[1]时境外友商对我们报告的引用问题[2],我们有必要介绍一下UTG(unknown threat Group)编号的由来:为了应对目前奇安信政企终端中的威胁与市面上通用的APT威胁不匹配以及各国APT组织都已经外包给私营公司的现状,我们从政企终端发现的几百个攻击集合中识别出危害性较大且持续活跃的Group,并将其命名为UTG-Q-XXX的样式,所以并不能将UTG单纯的理解为未知组织,我们清楚攻击者的目的和所在地区,但是无法归因到具体的攻击实体或服务的甲方单位。
|
组织编号 |
所在地区 |
性质 |
|
UTG-Q-001 |
东南亚 |
窃密目的 |
|
UTG-Q-003 |
东欧 |
窃密目的 |
|
UTG-Q-007 |
东南亚 |
经济目的 |
|
UTG-Q-010 |
东亚 |
经济目的 |
技术细节
鱼叉邮件
带有密码的恶意附件如下:
Lnk文件整理如下:
|
MD5 |
Filename |
|
9a7d8b8c0dd22472fdc09d925838cdcd |
陈国光–字节-U3D.lnk |
|
08520cc4474114c3daef50eb9d4732f8 |
服务端–王少聪简历.lnk |
|
21c31e99d1794cc96b683ad9641d6908 |
ParkminResume.lnk |
从lnk文件本身解密出faultrep.dll,并与werFasult.exe一起拷贝到%temp%目录下实现白加黑。faultrep.dll的主要功能为下载者,我们将其命名为MoinDownloader,信息如下:
|
faultrep.dll |
|
6f1e6e1de42b6fb9c894948b4ba420ec |
|
4d334416cb894193fd4527a92f30bf27 |
|
f422a60b6dde97e6b1155ea028c50736 |
会先释放PDF诱饵文档,内容主要为游戏开发简历。
有些lnk还会释放中韩双语的诱饵:
最好从远程服务器拉取加密payload:C2=hxxps://chemdl.ioskaishi.live/down_xia.php
内存加载python打包的开源木马Pupy RAT,C2=103.79.76.40:8443
针对安卓平台的攻击事件
我们在跟踪UTG-Q-010的基础设施时发现其针对比特币、AI领域的攻击过程中使用了高仿的水坑站点诱饵受害者下载恶意APK,并在国内论坛进行投递。针对币圈的攻击页面如下:
针对AI领域的仿冒站点如下:
经过溯源发现其在国内AI论坛上发帖投递该恶意域名,发帖用户注册时间在2024-02-23
经过分析下载的APK为Ermac家族,恶意代码被插入到了正常APK逻辑中:
C2:conn.phmdbad.live,基于PDNS数据,我们检测到受害者的网络主要为家庭宽带。
扩线
|
LNK MD5 |
功能 |
Filename |
|
618c5efe26db267a21134c6726be5123 |
释放下载者并加载golang特马 |
ssss.pdf.lnk |
|
e50be1c85e1842fbdcf16ac46866fafb |
测试样本 |
a.lnk |
|
645e7561ae6bf2c458fc73c1530030d3 |
测试样本 |
passwords.lnk |
|
38fc22a6ded51b9ebfd02d9d8fb20e5e |
释放Xworm家族木马,C2(223.ip.ply.gg:15270) |
file.lnk |
|
PDB |
|
C:Userssuchenbin1sourcereposmessagex64Debugmessage.pdb |
|
C:UserslainsourcereposConsoleApplication1x64DebugConsoleApplication1.pdb |
ssss.pdf.lnk释放的下载者与MoinDownloader完全不同。
从跳板服务器(94.138.192.147/public/jsp/lasjdflakdsjf.pdf)下载payload解密后启动,后续的payload为golang编写的特马,主要功能为执行C2服务器上的CMD命令。
C2:156.224.22.247:443,在对MoinDownloader进行扩线时发现攻击者2月份的测试木马。:
|
MD5 |
Filename |
|
f33d93b32017758c4e716b58071c1d09 |
HelloWorld_x64.exe |
UTG-Q-010最早的活跃时间在2022年末[3],当时投递的诱饵与医药行业有关。
除了初始载荷Lnk发生了较大的变化外,其余的payload在这两年间均保持相同的模式,但是2024年2-3月份这一波大规模的免杀测试极有可能是攻击者寻求变化的表现。
影响
其中企业专线对应的受害大部分为游戏公司和医药公司,符合UTG-Q-010投递的诱饵内容。行业占比如下:
随着低成本的定向攻击越来越多,攻击者只需要很低的成本就能拿到想要的数据和资料,对抗的不对等性愈发明显。这种不对等性表现为,攻击者只需利用一些现成的工具和技术,投入极少的资源就能发起有效攻击;而防御者则必须投入大量的时间、技术和资金来检测、预防和响应这些攻击。防御方不仅需要不断更新安全系统和策略,还需要进行员工培训和提高安全意识。这种资源投入上的巨大差异,使得防御者在与攻击者的对抗中处于不利地位,增加了组织的安全管理成本和难度。因此,如何有效提升防御能力、优化资源配置、降低防御成本成为了当今网络安全领域的重要挑战。奇安信威胁情报中心在未来致力于发现新组织和新技术,从情报的角度为政企客户保驾护航。
总结
IOC
MD5:
9a7d8b8c0dd22472fdc09d925838cdcd
08520cc4474114c3daef50eb9d4732f8
21c31e99d1794cc96b683ad9641d6908
6f1e6e1de42b6fb9c894948b4ba420ec
4d334416cb894193fd4527a92f30bf27
f422a60b6dde97e6b1155ea028c50736
618c5efe26db267a21134c6726be5123
e50be1c85e1842fbdcf16ac46866fafb
645e7561ae6bf2c458fc73c1530030d3
38fc22a6ded51b9ebfd02d9d8fb20e5e
C2:
chemdl.ioskaishi.live
conn.phmdbad.live
103.79.76.40:8443
223.ip.ply.gg:15270
156.224.22.247:443
URL:
94.138.192.147/public/jsp/lasjdflakdsjf.pdf
参考链接
[2].https://blog.talosintelligence.com/coralraider-targets-socialmedia-accounts/
[3].https://labs.k7computing.com/index.php/pupy-rat-hiding-under-werfaults-cover/
点击阅读原文至ALPHA 7.0
即刻助力威胁研判
原文始发于微信公众号(奇安信威胁情报中心):UTG-Q-010:针对AI和游戏行业的定向攻击活动
