“Eternity”组织：持续活跃的商业武器库

事件对应的技术特点分布图：

图2‑1 技术特点对应ATT&CK的映射

具体ATT&CK技术行为描述表：

表2‑1 ATT&CK技术行为描述表

为有效防御此类恶意代码，提升安全防护水平，安天建议企业采取如下防护措施：

3.1 终端防护

1.安装终端防护系统：安装反病毒软件，建议安装安天智甲终端防御系统；

2.加强口令强度：避免使用弱口令，建议使用16位或更长的密码，包括大小写字母、数字和符号在内的组合，同时避免多个服务器使用相同口令；

3.部署入侵检测系统（IDS）：部署流量监控类软件或设备，便于对恶意代码的发现与追踪溯源。安天探海威胁检测系统（PTD）以网络流量为检测分析对象，能精准检测出已知海量恶意代码和网络攻击活动，有效发现网络可疑行为、资产和各类未知威胁；

3.2 网站传播防护

1.建议使用官方网站下载的正版软件。如无官方网站建议使用可信来源进行下载，下载后使用反病毒软件进行扫描；

2.建议使用沙箱环境执行可疑的文件，在确保安全的情况下再使用主机执行。安天追影威胁分析系统（PTA）采用深度静态分析与沙箱动态加载执行的组合机理，可有效检出分析鉴定各类已知与未知威胁。

3.3 遭受攻击及时发起应急响应

联系应急响应团队：若遭受恶意软件攻击，建议及时隔离被攻击主机，并保护现场等待安全工程师对计算机进行排查；安天7*24小时服务热线：400-840-9234。

图3‑1 安天智甲为用户终端提供有效防护

4.1 黑客团伙构成

根据该团伙在Telegram频道等位置发布的公开信息，以及此前Jester Stealer中出现的用于下载载荷的Github地址，可以总结其主要相关成员及频道信息如下。

4.1.1 团伙成员

表4‑1 Eternity成员

其中LightM4n的Github信息如下，可看出该用户对恶意代码开发有一定了解。

图4‑1 成员的Github信息

4.1.2 消息频道

该组织陆续开设了多个频道用于进行恶意软件销售，相关频道如下。

表4‑2 Eternity相关消息频道

4.1.3 地区属性

该黑客团伙开发的恶意软件目前均会绕过系统语言为乌克兰语的设备，且在恶意代码的日志文本及黑客团伙的通知频道中存在多处相关言论，因此推测其核心成员来自乌克兰。部分信息如下。

图4‑2 频道中的相关信息

4.2 恶意软件介绍

Eternity组织有多种正在活跃维护及运营的恶意软件，包括窃密木马、挖矿程序、剪贴板劫持器、勒索病毒、蠕虫传播器等，另外还有DDoS程序处于开发阶段，还未公开出售。

图4‑3 Eternity网站导航页

网站上还存在上述恶意软件的文字、视频介绍和购买链接。

图4‑4 Eternity网站恶意代码介绍页

该团伙还会通过投票等方式为后续的恶意软件开发做调查。结合其设置客服账号、建立多种不同功能的Telegram频道、搭建网站等行为，可以看出该组织已经形成了一定的商业销售模式。

图4‑5 频道中的投票

5.1 Eternity蠕虫分析

表5‑1 蠕虫样本标签

检查系统语言是否为乌克兰语，若是则直接退出程序不再执行。

图5‑1 检测系统语言区域

创建互斥量“lpgdntaivz”避免重复执行。

图5‑2 创建互斥量

下载并执行勒索软件。

图5‑3 下载并执行勒索软件

该蠕虫后续通过多种方式进行感染、传播。

▶ 自动发送Telegram钓鱼消息

下载Telegram传播模块。

图5‑4 下载Telegram传播模块

该模块为使用PyInstaller打包的Python程序，功能为利用受害者系统中Telegram客户端登录的账号发送钓鱼内容，诱导受害者的Telegram联系人下载恶意程序。

图5‑5 通过Telegram传播

▶ 自动发送Discord钓鱼消息

从受害者安装的Discord客户端中获取用户关注的频道（一种可以收、发消息的群聊）。

图5‑6 获取Discord频道

向获取的Discord频道中发送钓鱼消息，诱导频道成员下载恶意程序。

图5‑7 发送Discord钓鱼消息

▶ 感染Python标准库

感染Python标准库中的os.py，向其中植入下载器代码。

图5‑8 感染Python库

▶ 感染本地文件

将当前用户的“桌面”“图片”“文档”三个文件夹中exe、pdf、docx、xlsx、bat、txt、mp3、mp4、py、png、pyw、jar等扩展名的文件替换为恶意程序。

图5‑9 感染本地文件

对zip压缩包内的文件进行替换。

图5‑10 感染Zip压缩包内的文件

对除C盘之外的可移动磁盘和固定磁盘（本地磁盘）进行上述感染处理。

图5‑11 感染磁盘文件

最后对网络驱动器以及Dropbox、OneDrive、Google网盘的默认同步文件夹进行感染。

图5‑12 感染网络驱动器

上述功能的配置信息如下。

图5‑13 蠕虫程序配置信息

5.2 释放的Eternity勒索软件分析

表5‑2 勒索软件样本标签

Eternity勒索软件的勒索信样式如下。

检查系统语言是否为乌克兰语，若是则直接退出程序不再执行。

图5‑15 检查系统语言区域

创建互斥量“wsrciuxcaz”避免重复执行。

图5‑16 创建互斥量

将自身复制到%LocalAppdata%ServiceHub文件夹下，并建立计划任务每分钟执行一次。

图5‑17 建立计划任务持久化

通过注册表禁用系统自带的任务管理器，避免用户查看系统进程。

图5‑18 禁用任务管理器

创建线程持续检测系统中是否出现特定的进程管理、进程监控、系统管理软件进程并将其结束。

图5‑19 结束部分工具进程

删除系统还原点。

图5‑20 删除系统还原点

删除卷影备份。

图5‑21 删除卷影备份

通过修改注册表劫持资源管理器中.exe程序的双击启动，使用户启动.exe时启动的是勒索程序。

图5‑22 劫持资源管理器中exe文件的启动

生成随机的AES密钥，使用内置的RSA公钥加密后存储到注册表HKCUSoftwareFirefoxEncryptedKeys中。

图5‑23 生成密钥并加密存储在注册表中

使用AES算法对文件进行加密，并使用Deflate压缩后写回原文件。

图5‑24 对文件进行加密

加密后的文件扩展名为“.ecrp”，相关配置信息如下。

图5‑25 勒索软件配置信息

Eternity Worm蠕虫除了具备传统的本地文件感染功能外，还具备多种依托于互联网公共网站传播的功能。蠕虫一旦落地，还能自动下载勒索软件在内的其他恶意程序并执行，对用户系统安全造成极大的威胁。其背后的Eternity黑客团伙经过一年多的发展，已经成为具有一定规模的黑客团伙。

安天CERT将会继续追踪该黑客团伙的相关技术变化和特点，并提供相应的解决方案。安天智甲终端防御系统（IEP）不仅具备病毒查杀、主动防御等功能，而且提供终端管控、网络管控等能力，能够有效防御此类威胁攻击，保障用户数据安全。

参考资料：

https://www.antiy.cn/research/notice&report/research_report/20220510.html

https://www.antiy.cn/research/notice&report/research_report/20220902.html

往期回顾

原文始发于微信公众号（安天集团）：“Eternity”组织：持续活跃的商业武器库