Operation Layover:針對航空業長達五年的攻擊
思科和其他安全公司最近發現了一系列針對航空業的攻擊活動,分析都主要集中在隱藏遠控木馬的加密工具上。
通過 RAT 入手分析攻擊者是很好的起點,分析發現這些攻擊行動與大約六年前的攻擊者有關。思科認為攻擊者來自尼日利亞,但并沒有自己開發惡意軟件的能力,加密工具也是從在線論壇上購買的。
攻擊者至少活躍了五年之久,過去的兩年里一直針對航空業發起攻擊。這些小規模的攻擊讓攻擊者在很長時間里都保持低調,但他們的攻擊行動仍然可能會產生重大影響。
航空業
微軟發現了使用 AsyncRAT 的新攻擊行動,研究發現他們使用的攻擊基礎設施以某種方式互相關聯:
在這次攻擊活動中,攻擊者使用類似于以下電子郵件作為初始攻擊向量:
這些電子郵件包含一個指向托管在 Google Drive 中的 .vbs文件的鏈接。
研究表明,該攻擊者至少從 2018 年開始就針對航空業發起攻擊。使用 akconsult.linkpc.net的文件提到了 Trip Itinerary Details和 Bombardier。
AKCONSULT.LINKPC.NET
通過檢索字符串 Charter details.vbs發現該域名,這是與 kimjoy.ddns.net域名有關的樣本之一。
該域名在 2015 年 7 月 2 日首次出現,攻擊者使用了多種遠控木馬。并且自從 2018 年 8 月開始,樣本與該域名的通信表明攻擊者正在針對航空業發起攻擊。
可以發現,攻擊者已經活躍了很長時間。與該域名有關的樣本的時間線如下所示:
2013 年 2 月 7 日首次出現的樣本是一個包含 .NET 打包程序,該程序執行 RunPE 的三重反射,挖空自身并注入 CyberGate 惡意軟件。
Cybergate RAT 的配置參數之一是 NewIdentification。如上所示,使用 Akconsult 作為識別密鑰的樣本。該參數由惡意軟件構建工具定義,以便可以區分多個運算符。攻擊者經常使用 Akconsult,用它作為用戶名等。
該樣本使用的 C&C 域名是 opybiddo.zapto.org,調查發現AKconsult與蠕蟲創建者之間沒有任何關系。
在 2012 年 9 月到 2014 年 5 月期間,所有的樣本都使用相同的惡意軟件,但具有不同的標識符。在最近的攻擊行動中,該域名被用作 AsyncRAT 的 C&C 服務器,攻擊者通過托管在 Google Drive 上的 VBS 文件進行分發。該服務器使用 TLS 來加密 C&C 通信,可以使用相同的證書指紋檢索服務器。
AsyncRAT 與用于這些活動的同一服務器進行通信,樣本可以擴大到超過五十個,對這些樣本的分析揭露了另外八個域名。
大多數域名在 2021 年 5 月或 6 月出現,最早的域名似乎只活躍了幾天,關聯的樣本也較少。但是 e29rava.ddns.net始終處于活動狀態,有一些樣本將其用作 C&C 服務器。
e29rava.ddns.net
6 月初到 7 月下旬對域名的分析顯示,該域名至少與 14 個 VBS 文件有關,其名稱與航空業明顯相關。
該域名幾乎專門用于此類活動,其中一些文件名在同一段時間指向上一個列表中的其他域名,這些 VBS 文件是 AsyncRAT 的加密工具。
bodmas.linkpc.net
bodmas也是攻擊者用于 Aspire 加密的用戶名之一,對相關的樣本檢索可以發現,在 2018 年 12 月 Nassief 已經購買了加密工具。
其中一個樣本與 kimjoy.ddns.net有關,這是與航空業相關的域名之一,其中一個樣本包含如下的 PDB 路徑:
此路徑顯示它正在使用 Aspire 加密工具,也與 bodmas.linkpc.net有關。
groups.us.to
有時候分析會發現弱關聯的關聯關系,有一個域名看起來沒有關系,但 IP 地址之間存在重疊。
最早在 2016 年 9 月 24 日出現的與該域名相關的惡意樣本是一個簡單的批處理文件,該惡意軟件使用 Delphi 進行混淆并下載執行另一個惡意軟件。
njRAT
接著開始對 Microsoft Publisher 文件進行分析:
這些 Publisher 文件都有相同的來源,最初用于測試的宏代碼和后續版本的宏代碼。
不論如何,宏代碼都會從嵌入惡意文檔中的 Microsoft Form 對象中提取數據。
宏代碼從 C&C 服務器下載 HTML 文件并使用 mshta,第二階段是包含 mshta 執行的 VBScript 的 HTML 頁面。代碼中嵌入了 PowerShell 腳本,經過反混淆處理后如下所示:
測試互聯網連通性后,通過 GitHub 下載后續 PowerShell 腳本。包含三個不同的 .NET 壓縮代碼,第一段代碼是修復 AMSI 阻止惡意軟件檢測:
第二段代碼將執行第一個參數的可執行文件,并注入第二個參數的代碼。
注入的惡意軟件是 njRAT 的變種。
H-WORM
2019 年 12 月 13 日首次出現的惡意文檔下載并執行部署在同一域名上的 Payload。
樣本包含簡單的chr操作,與域名groups.us.to通信。
通過對 njRAT 樣本的深入研究,發現其中使用:https://satlahlk.github.io/msc/cl.png下載后續樣本,這個 GitHub 賬戶表明攻擊者在巴西,njRAT 的函數名稱是西班牙語。
攻擊者似乎對葡萄牙足球運動員 Cristiano Ronaldo 格外感興趣,ChRiS 是巴西人和西班牙人對他的縮寫。
在 C&C 通信中,使用 @!#&^%$作為字段分隔符。
通過對十六進制數據(0A800600000420391B0000800800000420011400008D)的檢索,發現了另外三個樣本,它們都與同一個域名有關。
這些樣本創建名為 UbboSatlahlk的互斥鎖,基于此可以發現七個樣本,這些都與相同的域名有關。
進一步搜索可以發現這是西班牙語網絡安全論壇上的用戶名,這些域名使用的大部分 IP 地址位于多米尼加共和國,該國的官方語言是西班牙語。
這些消息是 2016 年的,與域名首次出現時間相吻合。此外,一個名為 UbboSatlahlk的 Skype 帳戶的位置在多米尼加共和國的圣多明各,這進一步揭示了其關系。
攻擊者
攻擊者最初使用 CyberGate 惡意軟件,后使用商業惡意軟件。akconsult的早期活動與另一個黑客論壇上的 Nassief2018有關,統一賬戶還提到在 RAT 中使用 bodmas和 kimjoy作為用戶名。
在與用戶互動的過程中,用戶還透露了他的電子郵件是 kimjoy44@yahoo.com,Telegram 賬戶為 pablohop,這都與后來的航空業攻擊有關。
而在Skype中,該電子郵件地址與 abudulakeem123有關。
地理位置
通過 DNS 遙測查看 akconsult.linkpc.net,大約 73% 的 IP 位于尼日利亞。
其他來源
在 Twitter 上也有其他人研究過,如下所示:
結論
攻擊者的技術水平有限,但是從持續攻擊多年來看,仍然會產生很大的風險。攻擊行動往往更加隱蔽,而經濟利益驅使著犯罪分子不會收手。
IOC
akconsult.linkpc.net
nextboss.ddns.net
exchangexe2021.ddns.net
shugardaddy.ddns.net
frankent2021.ddns.net
hoc2021.ddns.net
jorigt95.ddns.net
8970.ddns.net
reserverem.duckdns.org
monthending.duckdns.org
e29rava.ddns.net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-8d23b8766f498597de3
6b1db53cbd5dade029bac0a6c54f2d30b6c1579f39a345e7d72383ea7bc4f38c
6b642a070211563273f3ed151103c6e8c52df29e094a28624ff57af05fb8eb22
6b6d52d0f98ac22702ec61144ebd27552f939dadf10a835f995328c0789668ca
6d8d882611849b0e7ebbe464497c052fe027479f6814618457c9f0fa7724dac2
6edf51f455af63a82726d573a00b2b55c1086ee803991a063e5832c65fb3c790
6f52ecef23b4bd9b600ceecd4017a896499bee94cb28320d0828ecf84deedd45
71a7e0e7e1a13de9cd9ea55220196f7d4a9e928ed433c1dc6e257c49bb5c7f56
72db243b5-873aced1d539c01fd36e162cc84e72767508ce080af4ce89e3bf68c
739bc1cf80e017d48165fac50f95663c602587fbe3b6102db7724bfff39f825b
77f2a568d727a29761d4f9aa23b092ffb614f7a7533399fbc8bf45b2cbb84d13
7b52362ef06d1a8ec159d5fb0b2f81d3ed760102eaea86480b34292b480012d2
7cfa61d907f8ee9dd1d943559e59227f58d862a2705b7f673ac302f22fad4803
7e3cd407085c39e851eadc767a0d78443dd7fea16a919babe9dfd78e26d13c90
7eedc9a8b30e105c9d37f05ee94769778e7b02eb568847b0fe347d98d5caf026
7fc3b7342be53bb3933bbc9e69b3b841bf3618896a41fdf187d7b478f96e9e0b
81a058522752f8f11c5045ab81b70e673f79cc0504a9f1a565f324336064a3b7
83fcedc7c7581294bfe9f19fc6c400d8cd29eda746904e18c5b687d3560e2cca
8437510b14bef4d0c535dba910e1c20df0ae3a11284a44f5e1fa432accb0363e
8487084cac1881bc38d783df932733f4607704f30a0b7a9f6fbcec58902510ff
853ff0fa8a56c24ddd6db57f781921d2b205fa099acbfb6a23ce418e1c227307
858f83bf5fbc4eaf6900d3a481f23caf0c71519a5bd949506db04853a5847f44
87c7c23ff999c80b081423d40721ee44b8bf037d26d3452030b8a0f19837f27f
881b95b9064783c072f033052faca44fa4d53193a1f6ce9f754e77a68c2a7b71
88db2afc4b8b21fc9be21f9960e573fe8794562f4e9d952a73ed808aa8961c4d
8986a01fa210c49c7b51d206a83e2cf1f6bc69bc4dc4a346b0681408e58791e3
8b5-88bf5db57e8a9e4d50d62bffd0cfd154158c882533388f9e74fb26ea8d69e
8cbfaa1999cc16fc5f710a6427d2bab89ac62d678a50af17664c8907aad9cf23
8e655b359f96de6f88fdb2076ca78110c3b0eb77f918e8e99a4d7751ed112a7a
9024b2348e6bdba41cf7979fd09150b6311f3abd4e3eb3acbf86b259dbbf2a4f
907ab14013ca5b760d2a16082b315bdfc54b4e9d44985d8cfb23fa43bc719cc8
91377c7c09980e48c2c7aba5a3a66d71c9c6c471ca2dc02a186c7c9e72841438
940629870cba0bceef555d6b05238c3684a6954399b5a05fd2d2678a889eb8b5
948b3e9997588c5fa92cf17ea3606d621ab0fdb3a41f568c42b0d03f3112a676
94a3b5-867d9804f89ea9c1fc8581ba56c83a80f0e77491a380a919377c79af57
9881308b05c089b44390def980246fc830b67203b963d537358db157e9dfb4fe
9cd0186792e78c9f625255402fd784325b213ecbb16d53a62e3baf7c2faefdd5
9dbe3ad48a5c30ec5061da57a52a845129e2042e67ebb950f34b0465fa0b5387
9e94d03c8af6ca9d5ea7cfbf481970c615d0831452fe0edb2a8abcae8c190693
9ed430d3d6468cd2858d36cc9aa100b0c216a2778975ade55ac7f5dc6792d584
9fdd7fa506d1cecb650611897e8172e63e50486c002356eae490a2066141fd2c
a03fd6e9683d8f48234081d994c8b2dc8ecd132004210894c0c7b4ed97f03208
a1e95c6769d83724dc68855540805d53ba1a1791c19c68aa176463ba376165e2
a3f943c77562107b681f066faa9c06001220c37ca48f1212a6e04ad27bc645de
a41f3fe5481ea0c32d5a0eaf0706415cceed74075c9c752b1ccb402b04a96730
a4d093b5b4825d7d30d64f6a4ba80a2b1079e688ac1a576bdb3d082ff44eaec8
a85919e8611fd1368c4e125a0663e30cd457ca98328b8e4d1940fbb330ea5738
ab3b4397c9e95f9b894c89a8ddda3401ee04526336d497a8c0ee12f89f3710a3
ace6e1274963d34ec4f01b6a74dfb23cb0733daed1abd0611e7ac4ac7e5c8ceb
b39eb6aca148f2e3fb491ef8bbfae6f3ea054a7894b36b431d4fb9a86a6be9d1
b3d3a285e35cba08647173ca33aa0744834f91b2af6ba95a374b8c8b89f83b35
b536b2e629251420a9cd824acd7e955540258c78ae7a14b10a787caee251dd40
b6b83a3aa0dd0a9bad132e432c6e8233d796ca6b1b1b831f1a94b7f3fc46ca1e
b8412bb181f81254ea35558460f35867ed2e0d6bc59b0c7086124187b8ed01b4
b9e112ad02d419897d298b651a7d1eff532ffbcff0a49514754621422159f02a
3566eeab1656ef8cc3f7ab32b1d13c256747a57a0d47cd8cfc37b7d4dc38061b
bbee4612529f7d934954d18b7571522a7045a05457179f83e669f8b4fce10231
bd84d6decb2f5405d0459a1aefe08f9d7634a4262365ceb2cd3b1a033e9c9313
bef717e1da549e205bf88459c537cc22bbd381d24769f399eaa49521df1b9908
c278e70ee10d071ee23868d91628071bb87654c299804b90e4b07b2780c2e070
c2efcc8fa76a41d46b7503cdfbbac52f59280fbbfa10ffe974af0b4edcf57c0f
c320c2809e8b986fb4ac9db15bacd6a0f04e298b6be5d77d43099f94e8c51ca9
c3f78dea78b0ce6bed19c3c6d160758a8fd8b3f41e0d60211396eb88d856ab9d
c6c6fa1e4521fc4815023611e041377d1722bbb363f6af3c0d91ed216fe5c594
c9e2452b4d231ce272ea3b0b887de1a6b0ddf8c68149953cf3e69866d5a9875c
cae455e2cfdcefa11ee64beba30ebbec180490a0f452afcc0e00733d5ff1d944
cb981f01466ade4d1523068432875454e8fecb303ea56ef241ac5df51ba349c9
cd67795d0f8c61ab6269abd53f2bacb2d9d0ae7bcf00ffaba9b8794b9ac2440c
cf433da0d2dbbbb026ab3feb9b6b7d44fd681ae33e56da6d41df7e3f6f2c4c46
cfdf291f05acac3bc6a60ab7e20574bfa745a56ea2a0e7c74e3ffee8b38427ca
d515a54643d4e324938d2f9ae5d66491f3ed76c2045b681237b844bda801e2f3
d576d9e98452ac972fce6f787353f59587732aac6be8bd948fe38b4c23bbe682
d75818826396ad035834ffc9bbf5f59ad811c21ab6a0bba17911bf59b131b0ad
d8c1ccb824ce06a0374f673803bb6247e364145984d25feeb61ae4cbbaa87861
d9bb02f1636ce3e2ad9a4113c3fa9510e5292bf0f63977c5c9e64952930bba54
da2e63cd0e4e23fa018d771a158189ce8d40756633c073695e5c1cffc50d7601
da4b4d0a00b1ea3d81d5fe360dcac86a120ed96617ffc067151c09ff72ff3e45
da79ff6d4487b461ed320011d552ef3ed4d1b1633ec4c51e91702401d0cf221e
db6356982c1b324e7e89336abb544b93e9fa3b09b0d1a8fcdfaa22527a5cf66d
e403fa45fff2bac7c2c5dfe6dd76eef07c4a707a75ce78ecd17721c931b49f66
e45b917d7b153fa59545b2cbb3c6437d5820aa80b5718946df1bd10401ea39b6
ed007a0a9c9f151652cdb12d82ad500023f001c77cb56acf9c2de44b272e8718
ed2645b0898b4ee7f05d140f1a06ac846fd3029116d020093575b92803468add
eee171c3351b6772dc32ac7cf99b95753533ba42dc941034b22be674444a39ff
f0565b2e110812686c2eb4ac4cfb0fef390b9bb4ce989b5-8321dcf5797ae7656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參考來源
TalosIntelligence
精彩推薦
