Operation Overtrap通过Bottle Exploit Kit和全新的Cinobi Banking Trojan针对日本在线银行用户

最近,我们发现了一个新的活动,我们将其称为“操作过度”,是因为它可以用有效载荷感染或诱捕受害者。该活动主要针对日本各家银行的在线用户,使用三管齐下的攻击来窃取其银行凭据。基于遥测技术,Operation Overtrap自2019年4月以来一直活跃,并且仅针对日本的在线银行用户。我们的分析发现,该活动使用三种不同的攻击媒介来窃取受害者的银行凭证:

  • 通过将带有网络钓鱼链接的垃圾邮件发送到伪装成银行网站的页面
  • 通过发送垃圾邮件,要求受害者运行从链接的网上诱骗页面下载的变相恶意软件的可执行文件。
  • 通过使用自定义漏洞利用工具包通过恶意传播恶意软件

图1.操作溢出三管齐下的攻击流程

该博客将讨论我们如何发现该活动并介绍全新的银行木马Cinobi。同时,在技术摘要中讨论了与此活动相关的不同攻击媒介的详细信息,以及对删除的配置文件以及Cinobi功能的更深入分析。

技术分析

发现操作重叠

我们首先在2019年9月使用当时未知的漏洞利用工具包发现了该活动。根据我们的数据,早在2019年4月,Operation Overtrap就一直在使用垃圾邮件将其有效载荷传递给受害者。

在9月中旬,我们发现大量受害者在单击了来自社交媒体平台的链接后被重定向到针对Internet Explorer的漏洞利用工具包。但是,应该指出的是,尚未确定受害者接收链接的方式。还值得一提的是,Operation Overtrap似乎只针对日本的网上银行用户。它将具有其他地理位置的受害者重定向到伪造的在线商店。

经过分析,我们发现漏洞利用工具包仅丢弃了干净的二进制文件,不会在受害者的设备上执行恶意活动。感染后也立即关闭。目前尚不清楚,为什么“超速行动”背后的威胁行动者最初提供了一个干净的二进制文件。他们有可能在战役开发的这个阶段测试他们的自定义漏洞利用工具包。

图2.屏幕截图显示了2019年9月漏洞利用工具包的网络流量

图3.屏幕截图显示了Operation Overtrap的漏洞利用工具包删除的干净文件

Operation Overtrap的自定义漏洞利用套件:Bottle漏洞利用套件

在2019年9月29日,我们观察到漏洞利用工具包不再丢弃干净的文件,而是提供了一种全新的银行木马,我们称之为“ Cinobi”。我们还注意到,“超速行动”背后的威胁行动者已停止从社交媒体重定向受害者,并开始使用针对日本的恶意广告活动来推销其自定义漏洞利用工具包。

后来,另一位研究人员发现了定制的漏洞利用工具包,它被称为Bottle漏洞利用工具包(BottleEK)。它利用CVE-2018-15982,后无漏洞的Flash播放器的使用,以及CVE-2018-8174,一个VBScript远程执行代码漏洞。如果受害者使用未修补或过时的浏览器访问此漏洞利用工具包的登录页面,则它们将感染BottleEK的有效负载。我们的遥测表明,BottleEK是2020年2月在日本检测到的最活跃的漏洞利用工具包。

图4. 2020年2月在日本观察到的攻击套件活动(数据来自趋势科技云安全智能防护网络™)

全新的银行恶意软件:Cinobi

Operation Overtrap使用了一种新的银行恶意软件,我们决定将其称为Cinobi。根据我们的分析,Cinobi有两个版本-第一个具有DLL库注入有效负载,该负载会损害受害者的Web浏览器以执行表格抓取。

此Cinobi版本还可以修改发送到目标网站和从目标网站接收的网络流量。我们的调查发现,该活动针对的所有网站都是日本银行的网站。

除了吸引人的表格外,它还具有网络注入功能,允许网络罪犯修改访问的网页。第二个版本具有第一个版本的所有功能,以及通过Tor代理与命令和控制(C&C)服务器通信的功能。

奇诺比的四个感染阶段

Cinobi的四个阶段中的每个阶段都包含一个与位置无关的加密Shellcode,这使分析略为复杂。满足某些条件后,可以从C&C服务器下载每个阶段。

第一阶段

Cinobi感染链的第一阶段也已由另一位网络安全研究人员进行了分析,首先调用“ GetUserDefaultUILanguages ”功能来检查受感染设备的本地设置是否设置为日语。

图5. Cinobi使用“ GetUserDefaultUILanguages”确定设备语言设置的检查屏幕截图

然后Cinobi将从以下位置下载合法的unzip.exe和Tor应用程序:

  • ftp:// ftp [。] cadwork.ch/DVD_V20/cadwork.dir/COM/unzip [。] exe
  • https:// archive [。] torproject [。] org / tor-package-archive / torbrowser / 8.0.8 / tor-win32-0.3.5.8 [。] zip

将Tor存档解压缩到“ \ AppData \ LocalLow \”目录后,Cinobi将tor.exe重命名为taskhost.exe并执行它。它还将使用自定义torrc文件设置运行tor.exe。

  • “ C:\ Users \ <用户名> \ AppData \ LocalLow \ <random_name> \ Tor \ taskhost.exe” –f
  • “ C:\ Users \ <用户名> \ AppData \ LocalLow \ <random_name> \ torrc”

它将从.onion C&C地址下载恶意软件有效负载的第二阶段,并将其保存在“ \ AppData \ LocalLow \”文件夹中的随机命名的.DLL文件中。第一阶段下载程序的文件名以随机名称保存到.JPG文件中。

图6.包含第一阶段下载程序文件名的.JPG文件的屏幕截图

此后,Cinobi将在受害者的计算机上运行其下载器的第二阶段。

图7.屏幕截图显示Cinobi在受害者计算机上运行其下载器的第二阶段

第二阶段

Cinobi将连接到其C&C服务器,以下载和解密该文件以用于其感染链的第三阶段。我们观察到第三阶段的文件名以字母C开头,后跟随机字符。之后,它将下载并解密第四阶段的文件,该文件的文件名以字母A开头,后跟随机字符。

之后,Cinobi将下载并解密包含新C&C地址的配置文件(<random_name> .txt)。

Cinobi使用带有硬编码密钥的RC4加密。

图8.屏幕截图显示了Cinobi的解码配置文件

接下来,Cinobi将通过CMSTPLUA COM接口使用UAC旁路方法运行下载的第三阶段感染文件。

第三阶段

在第三个感染阶段,Cinobi会将恶意软件文件从“ \ AppData \ LocalLow \”复制到“%PUBLIC%”文件夹。然后,它将作为Winsock分层服务提供程序WSCInstallProviderAndChains)安装下载程序的第四阶段(在第二阶段下载)。

图9.代码的屏幕截图显示了受感染机器上感染第四阶段的安装为“ WSCInstallProviderAndChains”

Cinobi将执行以下操作:

  • 将后台打印程序服务配置更改为“ SERVICE_AUTO_START”
  • 禁用以下服务:
    • UsoSvc
    • Wuauserv
    • WaaSMedicSvc
    • 安全健康服务
    • 禁用反间谍软件
  • 将Tor文件复制并解压缩到“%PUBLIC%”文件夹
  • 将tor.exe重命名为taskhost.exe
  • 在“%PUBLIC%”中创建内容为“ DataDirectory C:\ Users \ Public \ <random_nam> \ data \ tor”的torrc
  • 使用原始滴管名称创建.JPG文件
  • 从“ \ AppData \ LocalLow \”中删除文件,删除原始的dropper文件

第四阶段

Cinobi将调用WSCEnumProtocols函数来检索有关可用传输协议的信息。它还将调用WSCGetProviderPath函数以检索原始传输提供程序的DLL路径。该函数被调用两次。第一次呼叫将返回恶意提供者(因为在感染的第三阶段已安装了恶意软件的第四阶段)。第二次调用将返回原始传输提供程序(“%SystemRoot%\ system32 \ mswsock.dll”)并解析并调用其WSPStartup函数。然后Cinobi将检查注入恶意DLL提供程序的进程的名称。实际上,应将Cinobi注入使用Windows套接字建立网络连接的所有进程中

图10.注入了恶意DLL提供程序的过程的屏幕抓图

打击垃圾邮件和漏洞的最佳做法

操作溢出使用各种攻击媒介来窃取银行凭证。用户和组织需要采用最佳实践,以保护其系统免受与消息传递有关的威胁并避免恶意广告。最佳做法的一个示例是为举报可疑电子邮件提供一个中心点。组织通过其IT团队需要有一个集中的信息收集系统,并且所有员工都必须了解可疑电子邮件的报告过程。同时,用户可以通过避免点击可疑链接或弹出窗口以及通过官方渠道更新软件来避免恶意广告。

组织将从定期更新系统(或 对旧系统使用虚拟补丁程序)中受益,  以防止攻击者利用安全漏洞。诸如防火墙  和  入侵检测与防御系统之类的其他安全机制 将有助于阻止可疑的网络活动,例如数据泄露或C&C通信。

0 0 vote
Article Rating

未经允许不得转载:x-sec » Operation Overtrap通过Bottle Exploit Kit和全新的Cinobi Banking Trojan针对日本在线银行用户

赞 (0) 打赏
Subscribe
Notify of
guest

This site uses Akismet to reduce spam. Learn how your comment data is processed.

0 Comments
Inline Feedbacks
View all comments

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

微信扫一扫打赏

0
Would love your thoughts, please comment.x
()
x