Outpost24的网络威胁情报团队KrakenLabs6月27日发布研究报告,称在审查2023年的恶意软件活动时发现,一种新型感染技术被用于分发大量不相关的恶意软件样本,这可能是由单个东欧组织“Unfurling Hemlock”所开展的持续数月的大规模活动。该组织使用Cabinet文件类型的压缩文件进行分发,这些文件被命名为“WEXTRACT.EXE.MUI”,并采用多达七层的嵌套压缩文件形式,每个压缩文件包含另一个压缩文件和一个恶意软件样本。
全球至少发现了5万个具有这些特征的文件,相关恶意软件样本达数十万个。这些恶意软件主要包括Redline、RisePro、Mystic Stealer等窃取程序和Amadey、SmokeLoader等加载程序。多数样本与自治系统203727内的主机相连,该自治系统与东欧网络犯罪分子使用的托管服务有关。
Unfurling Hemlock的策略是利用多种分发渠道传播恶意软件,感染每个受害者时可能同时投放多达十个不同的恶意软件样本。分发文件中包含有助于成功感染的实用程序,如混淆器和禁用安全工具的程序,表明攻击者可能通过感染获得报酬。攻击者没有特定目标,意图向尽可能多的受害者传播尽可能多的恶意软件,主要动机是经济利益,这一点从投放的恶意软件类型和大规模传播行为可以推断得出。
Unfurling Hemlock 的攻击从执行 WEXTRACT.EXE文件开始,该文件通过恶意电子邮件或下载器到达受害者的设备,Unfurling Hemlock通过与其合作伙伴签订的合同可以访问这些文件。恶意可执行文件包含嵌套的压缩CAB文件,每个级别都包含一个恶意软件样本和另一个压缩文件。
活动示例行为图
在解压的每个阶段,都会在受害者的计算机上安装恶意软件的另一种变体。当到达最后阶段时,文件将以相反的顺序执行 - 首先运行最近提取的恶意软件。
恶意软件执行顺序
KrakenLabs观察到了4到7个阶段,即攻击中的步骤数和传递的恶意软件数量各不相同。分析显示,该组织一半以上的攻击针对的是美国的系统,在德国、土耳其、印度和加拿大也观察到了重大活动。
在受感染的系统上传播多个恶意软件可提供高水平的冗余,从而为网络犯罪分子提供更多的机会来维持存在并从中获利。
尽管存在被发现的风险,许多攻击者仍采取这种激进的策略,希望他们的至少一些恶意软件能够在系统擦除后幸存下来。
正在分析的文件、中间步骤及其下载的恶意软件之间的关系
KrakenLabs的分析指出,在最近的恶意软件传播活动中,美国和德国是主要的目标国家,分别占据了50.8%和7.8%的样本来源比例。这种以西方国家为主要攻击对象的模式在东欧组织的网络攻击中并不罕见。同时,亚洲和中东国家也成为目标,这可能与攻击者购买的感染服务有关,一些分销商可能专门针对这些地区或在这些地区提供服务。
值得注意的是,俄罗斯也出现在目标国家的名单上,这与其地区攻击者通常不会将CIS成员国作为目标的惯例不符。俄罗斯样本的出现可能与使用非CIS成员国的分销商、代理上传以隐藏真实来源或基于该国的安全解决方案有关。
大多数样本通过API上传到Virus Total等自动化安全服务中,表明这些服务能够检测到它们。此外,一些样本也被电子邮件保护服务所检测和拦截。尽管公司和其他私人机构看似是主要目标,但这可能是由于这些组织更有可能上传样本进行恶意软件分析的幸存者偏差所致。
综合技术和恶意软件的性质来看,攻击者并没有特定的目标选择性,任何存在足够漏洞的系统都可能成为“集束炸弹”恶意软件的感染对象,不受地理位置或环境的限制。
在Unfurling Hemlock攻击期间,KrakenLabs分析师观察到以下恶意软件和实用程序:
-
Redline
:一种流行的窃取程序,可窃取登录凭据、财务数据和加密钱包等敏感信息。
可以从网页浏览器、FTP客户端和电子邮件客户端窃取数据;
-
RisePro
:一种专门从事凭证盗窃和数据泄露的新型窃取程序。来自浏览器、加密货币钱包和其他个人数据的目标信息;
-
Mystic Stealer
:以恶意软件即服务(
MaaS
)模型运行,能够从各种浏览器、加密货币钱包、Steam 和 Telegram 应用程序窃取数据;
-
Amadey
:用于下载和执行其他恶意软件的特殊下载器;
-
SmokeLoader
:广泛用于网络犯罪的通用引导加载程序和后门。它通常用于下载其他类型的恶意软件,可以通过欺骗合法站点的请求来掩盖其 C2 流量。
-
Protection disabler
:用于禁用Windows Defender和其他安全功能的实用程序。
-
Enigma Packer
:一种用于打包和隐藏恶意负载的工具。
-
Healer.exe
:一个旨在禁用保护措施的实用程序,特别是 Windows Defender。
-
