首页
论坛
专栏
课程

黑客组织TA2101扮演政府机构和快递,黑入德国,意大利和美国组织

红数位 发布于 红数位 2019-11-15 15:06

黑客组织TA2101,该组织采用越来越复杂的社会工程和欺骗手段传播恶意软件。



根据一项新的研究,已经发现了一个新的威胁行为者,冒充美国邮政服务局(USPS)和其他政府机构向德国,意大利和美国的各种组织分发和安装后门恶意软件。



研究人员说,网络安全公司Proofpoint的研究人员在10月16日至11月12日之间观察到了这些活动,这与不良行为者采用越来越复杂的社会工程和欺骗手段传播恶意软件的新策略相吻合。


Proofpoint Threat Insight Team发布的博客星期四揭开了该研究的博客,该威胁参与者发送了恶意电子邮件,“没有针对特定垂直领域,而是针对业务和IT服务,制造和医疗保健的收件人” 。


在2019年10月16日至11月12日之间,Proofpoint研究人员观察到该行为者向德国,意大利和美国的组织发送恶意电子邮件消息,这些攻击对象没有特定的垂直领域,但收件人的业务和IT服务,制造业和卫生保健。


2019年10月16日至23日

10月16日至23日,Proofpoint研究人员观察到数百封电子邮件,试图传递带有德国诱饵的恶意Microsoft Word附件,从而冒充德国联邦财政部的Bundeszentralamt fur Steuern。要特别注意的是,使用了被盗品牌以及使用用于发送方电子邮件地址的相似.icu域来设计有效的诱饵。


他指出,应根据几百欧元的先前退税额(应观察到的样本中的694.00欧元),应于2019年退还税款(“ BenachrichtigungüberdieSteuerrückerstattung”),并且收件人应提交退款申请(使用附件Microsoft Word文档表单)在三天内进行处理。作为小批量活动的一部分,这些电子邮件主要针对IT服务公司。



图1:10月23日发送的电子邮件诱饵,声称是来自德国联邦财政部的邮件,通知收件人退税,并带有恶意的Microsoft Word附件。


Microsoft Word附件在打开后会执行Microsoft Office宏,进而执行PowerShell脚本,该脚本会将Maze勒索软件有效负载下载并安装到受害者的系统上。



图2:德语语言的恶意Microsoft Word附件(如果用户启用了宏)将执行Microsoft Office宏,该宏又运行一个PowerShell脚本,该脚本会下载Cobalt Strike。


十月29,2019

10月29日,Proofpoint的研究人员观察到数十封电子邮件,试图传递带有意大利诱饵的恶意Microsoft Word附件,从而冒充意大利税务部Agenzia Entrate。与最初观察到的德国战役一样,该演员使用了被盗的品牌以及用于发件人电子邮件地址的类似.icu域,以诱使有效诱饵。


该诱饵似乎是对执法活动的通知(“ aggiornamento:attivita di对比度o all'evasione ”),并指出收件人应打开并阅读随附的文件,以避免进一步的税收评估和罚款。


作为跨多个行业的小批量活动的一部分,这些电子邮件主要针对制造公司,并且将Microsoft Office宏的感染链用于PowerShell脚本中,该脚本最终下载并安装了Maze勒索软件。


图3:发送给意大利组织的电子邮件诱饵是有关执法活动的通知,敦促收件人打开并阅读随附的文件,以避免进一步的税收评估和罚款。


该恶意文档据称是意大利税收部使用的RSA SecurID密钥。



图4:打开了意大利语的Microsoft Word附件,并且用户启用了宏后,将执行运行PowerShell脚本的Microsoft Office宏,该脚本随后将Maze勒索软件有效负载下载并安装到受害者的系统上。


十一月6,2019

在2019年11月6日,Proofpoint研究人员观察到数百封电子邮件试图传递带有德国诱饵的恶意Microsoft Word附件,再次冒充了德国联邦财政部。与前两个广告系列一样,该演员使用了被盗的品牌,并使用了相似的.icu域作为发件人的电子邮件地址,以有效诱使他人。该恶意文档声称是德国财政部使用的RSA SecurID密钥。


作为小批量活动的一部分,这些电子邮件主要针对商业和IT服务公司,并使用与以前的活动相同的感染链。



图5:德语Microsoft Word附件,打开该附件并用户启用宏后,将执行运行PowerShell脚本的Microsoft Office宏,该脚本随后将Maze勒索软件有效负载下载并安装到受害者的系统上。


打开Microsoft Word文档并启用宏将在用户的系统上安装Maze勒索软件,对他们的所有文件进行加密,并在每个目录中以TXT格式保存类似于以下内容的勒索注释。



图6:受害者的文件被Maze勒索软件加密后,勒索通知示例存储在受害者的系统中。


十一月7,2019

在2019年11月7日,Proofpoint研究人员观察到数百封电子邮件试图传递带有德国诱饵的恶意Microsoft Word附件,这次冒充了德国互联网服务提供商1&1 Internet AG。


与11月6日的竞选活动一样,该演员使用了类似的.icu域作为发件人的电子邮件地址,以有效地吸引用户。该活动伴随着恶意的Microsoft Word附件,该附件带有所谓的RSA SecurID密钥,其格式与11月6日的活动使用的格式类似。


图7:德语Microsoft Word附件,打开该附件并用户启用宏后,将执行Microsoft Office宏,该宏又会启动PowerShell脚本,然后将Maze勒索软件有效负载下载并安装到受害者的系统上。


作为小批量活动的一部分,这些电子邮件主要针对使用相同感染链的商业和IT服务公司。


2019年11月12日

在2019年11月12日,Proofpoint研究人员观察到数千封电子邮件,试图传递带有英语诱饵的恶意Microsoft Word附件,这一次冒充了美国邮政服务(USPS)并分发了IcedID银行木马。


该活动从以前的欧洲运动不同之处在于演员选择了.COM外形相似,uspsdelivery-service.com代替.icu域。该活动伴随着恶意的Microsoft Word附件,该附件带有所谓的RSA SecurID密钥,其格式与以前的活动中使用的相似。



图8:一个英文Microsoft Word附件,当打开该附件并用户启用宏时,该Microsoft附件将执行一个Microsoft Office宏,该宏将启动PowerShell脚本,该脚本随后将IcedID有效负载下载并安装到受害者的系统上。


作为中等规模活动的一部分,这些电子邮件使用相同的感染链主要针对医疗保健行业。


域和URL分析

Proofpoint研究人员观察到了一系列一致的TTP(战术,技术和程序),可以将这些战役归因于单个演员。这些措施包括使用  .icu域,以及为这些活动中使用的域的DNS条目存储的授权机构(SOA)资源记录的相同电子邮件地址。


此外,Proofpoint研究人员观察到,该参与者使用的规范URL的格式可重复,且字符串中的word _ /。tmp随时间略有变化(包括在下面的IOC部分中。),Proofpoint研究人员怀疑该word_ / .tmp的使用可能与infosec社区在2019年较早发现的以前的活动相关联。


gladkoff1991@yandex.ru之间的联系不仅限于最近的Cobalt Strike活动,还涉及2019年9月以“ eFax”为主题的Buran Ransomware活动的SOA记录。


德国钴罢工/德国税务局的恶搞(10月23日)

诱饵电子邮件地址:antwortensienicht@bzst-informieren.icu

SOA:glankoff1991@yandex.ru


意大利迷宫运动/意大利税务部恶作剧(10月29日)

诱饵电子邮件地址:info@agenziaentrate.icu

SOA:glankoff1991@yandex.ru


Proofpoint研究人员还确定,由该参与者发起的所有Maze Ransomware下载中都存在IP地址91.218.114 [。] 37。


德国迷宫运动/德国税务局的恶搞(11月6日)

此活动使用与10月23日相同的诱饵,包括相同的“ RSA Key”恶意Microsoft Word附件。这也是我们在URL 上第二次使用  word _ /。tmp变体的地方。


德国迷宫战役/德国ISP欺骗(11月7日)

此活动分发了Maze勒索软件,冒充了德国互联网服务提供商(1&1 Internet AG),并使用了几乎相同的带有“ RSA密钥”诱饵的恶意Word文档,该文档在11月6日德国税务局活动和10月23日德国活动中被观察到使用钴击。


诱饵电子邮件地址:antwortensienicht@bzstinform.icu

SOA:glankoff1991@yandex.ru,与10月23日的“钴罢工”活动相匹配。


美国IcedID广告系列/ USPS欺骗(11月12日)

11月12日,Proofpoint研究人员观察到一场利用USPS主题诱饵投放IcedID木马的运动。尽管在此广告系列中未使用.icu域,而是选择了一个不同的相似域名uspsdelivery-service [。] com,但这些恶意文档使用了以前的Cobalt Strike和Maze Ransomware广告系列中观察到的类似“ RSA”风格的诱饵,并添加了进一步的证据来支持该恶意软件家族分布背后是同一行为者/组织的理论。


uspsdelivery-service [。] com的SOA 是gladkoff1991@yandex.ru,它与以前的活动匹配。


结论

正如Proofpoint在2019年4月的Threat Insight帖子,以税收为主题的电子邮件战役目标2019归档者中详细介绍的那样,与财务相关的诱饵已季节性使用,与涉税相关的恶意软件和网络钓鱼活动呈上升趋势,导致不同地区的年度纳税备案截止日期。在2017年,这些活动集中于网络钓鱼和日益复杂的社会工程学以及银行木马和勒索软件。2018年,Proofpoint研究人员继续观察复杂的电子邮件活动,这些活动以美国以税收为主题的紧急诱饵和令人信服的IRS品牌欺骗。


通过使用类似的紧急税收评估和退款诱饵在德国和意大利发起的这些新活动,Proofpoint研究人员现在已经观察到欧洲类似的恶作剧在分发后门特洛伊木马程序,例如Cobalt Strike和Maze勒索软件。这些欺骗以使用令人信服的被盗商标和欧洲税收机构和其他面向公众的实体(例如Internet服务提供商)的相似域名而著称。最近,该演员袭击了欺骗美国邮政局的美国组织。这些诱饵的复杂程度不断提高,反映了社会工程学的改进以及在电子邮件威胁领域中全球许多战役中出现的数量之上的有效性上的关注。


妥协指标(IOC)

加黑吧!

类型

描述

44991186a56b0d86581f2b9cc915e3af426a322d5c4f43a984e6ea38b81b7bed

SHA256

文献

cfd8e3a47036c4eeeb318117c0c23e126aea95d1774dae37d5b6c3de02bdfc2a

SHA256

文献

9f2139cc7c3fad7f133c26015ed3310981de26d7f1481355806f430f9c97e639

SHA256

文献

5f1e512d9ab9b915b1fc925f546ed559cbfa49df53229e2f954a1416cf6f5ee4

SHA256

文献

97043f23defd510607ff43201bb03b9916a23bd71b5bdf97db357e5026732506

SHA256

文献

d617fd4b2d0824e1a7eb9693c6ec6e71447d501d24653a8e99face12136491a8

SHA256

文献

7e3ab96d2628e0a9970802b47d0356dc9b99994d7f98492d4e70a5384891695a

SHA256

文献

antowortensienicht @ bzst-infomieren [。] icu

欺骗发送域

info @ agenziaentrate [。] icu

欺骗发送域

antwortensienicht @ bzstinform [。] icu

欺骗发送域

uspsdelivery-service [。[com

欺骗发送域

hxxp://198.50.168.67/wordpack.tmp

有效载荷

钴击

hxxp://conbase.top/sys.bat

有效载荷

钴击

hxxp://104.168.198.208/wordupd.tmp

有效载荷

迷宫勒索软件

hxxp://104.168.215.54/wordupd.tmp

有效载荷

迷宫勒索软件

hxxp://104.168.174.32/wordupd_3.0.1.tmp

有效载荷

迷宫勒索软件

hxxp://192.119.68.225/wordupd1.tmp

有效载荷

Buran勒索软件

hxxp://108.174.199.10/wordupd3.tmp

有效载荷

Buran勒索软件

hxxp://54.39.233.175/wupd19823.tmp

有效载荷

Buran勒索软件

hxxp://54.39.233.131/word1.tmp

有效载荷

Buran勒索软件

hxxp://104.168.198.230/wordupd.tmp

有效载荷

IcedID




参考:

https://www.proofpoint.com/us/threat-insight/post/ta2101-plays-government-imposter-distribute-malware-german-italian-and-us


微信搜索关注红数位

混迹安全圈,每日必看!




分享到:
最新评论 (0)
登录后即可评论