折翼的雏鹰,来自尼日利亚黑客组织的金融诈骗攻击
一、概述
今年9月份开始,东巽科技的铁穹高级持续性威胁预警系统监测到多例同类木马的攻击事件,2046Lab团队利用东巽TIP威胁情报平台展开追溯分析,发现木马回连的C2服务器(也称C&C,指木马的控制和命令服务器)mail*****ting.gdn依然在持续接收窃取的数据,且在持续跟踪过程中意外发现颇具戏剧性的一幕:攻击者在测试过程中给自己使用的PC终端植入了KeyBase木马,而该木马的截屏功能意外记录下了攻击者实施攻击的全过程以及与同伙之间的内部交流。
通过分析缴获到的工具、截图和残余数据,2046Lab确定这是一起具有典型APT攻击特点的金融欺诈类威胁事件,潜在受害者涉及140多个国家的外贸公司数万人,攻击组织成员多位于尼日利亚,通过转移受害者个人或所属机构的资金财产而最终受益,组织内部分工明确且手段高度流程化:
1) 侦查员负责利用搜索引擎、LinkedIN等社交网络搜集潜在受害者信息;
2) 投递员负责群发精心构造的钓鱼邮件诱,诱骗受害者点击捆绑木马的邮件附件;
3) 欺诈者负责专门诱骗潜在的高价值受害者打开捆绑木马的文件;
4) 收割者负责分析木马键盘记录截获的银行帐号密码。
本文将全面揭露该攻击组织的真实身份、攻击过程和攻击意图等TTPs信息。
图 C2中的攻击者截屏内容
二、攻击者
通过分析缴获到的数据和C2上的FTP日志,团队整理出多个攻击者常用IP地址,通过去重、地理位置分析和IP运营商归属地等分析,团队判断攻击者在实施攻击时使用了从midphase.com购买的美国的VPS以及VPN来隐蔽自身,而真实IP地理位置则极大可能位于尼日利亚拉哥斯(Nigeria Lagos,尼日利亚海港及最大城市带)。
| IP | 地理位置 | 是否代理 |
|---|---|---|
| 105.112.*.* | 尼日利亚 拉哥斯(Nigeria Lagos) | 动态地址 |
| 154.120.*.* | 尼日利亚 拉哥斯(Nigeria Lagos) | 动态地址 |
| 174.127.*.* | 美国 | midphase.com的VPS |
| 191.101.*.* | 美国 | SoftEther VPN |
| 41.190.*.* | 尼日利亚 拉哥斯(Nigeria Lagos) | 动态地址 |
| 174.127.*.* | 美国 | midphase.com的VPS |
| 197.210.*.* | 尼日利亚 拉哥斯(Nigeria Lagos) | 动态地址 |
| 197.210.*.* | 尼日利亚 拉哥斯(Nigeria Lagos) | 动态地址 |
| 197.210.*.* | 尼日利亚 拉哥斯(Nigeria Lagos) | 动态地址 |
| 197.210.*.* | 尼日利亚 拉哥斯(Nigeria Lagos) | 动态地址 |
表攻击者常用IP分析
其次,查看攻击者邮箱登陆位置、google搜索默认区域,发现均为尼日利亚区域,如下图所示:
图 攻击者frank***@yahoo.com邮箱的登陆位置
图 攻击者默认google搜索引擎为Nigeria(尼日利亚)
再者,通过对截图数据和攻击者邮箱中残留内容分析,团队还发现了部分攻击者之间的交流记录,根据交流记录推测出攻击组织至少有5名成员。结合Facebook的关联搜索,团队溯源找出了这几名攻击者的Facebook身份,发现成员Facebook上的位置仍然是尼日利亚区域。
图 攻击者之间使用facebook和teamviewer进行交流
图 成员之一DanielBriggs的facebook主页
| Facebook名称 | 使用设备 | 地理位置 | 角色 |
|---|---|---|---|
| Daniel Briggs | USER MININT-07FG89M | 尼日利亚 哈科特港 | 搜集情报,发送钓鱼邮件 |
| Emmanuel Omonode | 未知 | 尼日利亚 哈科特港 | 控制受害者,挖掘信息 |
| Becky Richies | AQUARIUS | 尼日利亚拉哥斯 | 木马测试 |
| Briggs Soibibo | 未知 | 尼日利亚 哈科特港 | 推测外联,协助木马免杀 |
| Oluwa Carti | DHEVID_POPO | 尼日利亚拉哥斯 | 发送钓鱼邮件、社工欺诈 |
表 攻击组织成员汇总
这些线索相互印证,2046Lab团队最终判断攻击组织成员多位于尼日利亚。
三、受害者
在缴获的截图数据中,2046Lab发现了攻击者搜集潜在受害者信息的过程,以及已经搜集到的包含潜在受害者邮箱的几个文档名称、时间、大小。团队依据这些片段信息,利用搜索引擎从互联网上找到了部分原版文档。
图 攻击者搜集到的包含受害者邮箱的文档列表
对上述部分原版文档进行统计分析后发现,潜在受害者(收到钓鱼邮件,未确定攻击成功与否)数量巨大,超过1.8万邮箱账号,涉及140余个国家。从区域来看,暂未发现有明显的地区倾向,但涉及中国的邮箱占比较高;从行业来看,受害者多属于制造业,共同的特点是都与外贸供需有关,推测是因为供需暴露了邮箱信息。统计结果如下表:
| 文件 | 文件内容 | 数据 (中国) | 数据 (总量) | 行业 (GB/T 4754-2017 国民经济行业分类) |
|---|---|---|---|---|
| 111届广交会鞋帽采购商名录.xls | 鞋帽采购商的姓名、邮箱、联系方式等信息 | 2380 | 6982 | 制造业/纺织业 |
| 广交会照明类采购商信息3068个.xls | 照明类采购商的姓名、邮箱、联系方式等信息 | 499 | 3066 | 制造业/通用制造业 |
| listofmills.xls | 一种木质复合材料的供应商信息,包含公司、联系人邮箱、电话等信息 | 720 | 1212 | 制造业/木材加工也 |
| doc44.xls | 迪拜地区一些批发零售供应商信息,包含公司、邮箱、联系方式等 | 46 | 2021 | 批发零售业/批发 |
| 13.xls | 五金类如锁具供应商信息,包含公司、联系人、邮箱、电话等信息 | 1808 | 5401 | 制造业/通用制造业 |
| 合计 | 5453 | 18682 |
此外,团队还发现攻击者利用google搜索在石油进出口相关的“@sina.com”邮箱,意图搜集石油进出口相关华人的邮箱。因此,团队判断在一定的时期内,攻击者对攻击目标的行业和地域会有一定的倾向性。
图 攻击者通过google搜索科威特(国际区号965)石油进出口公司包含sina邮箱的文档
四、攻击手段
对攻击者之间的关系分析,2046Lab发现该组织分工非常明确,不同人员实施不同阶段的战术攻击。而根据截图、代码、文件和攻击者发件箱中的邮件内容分析来看,该攻击组织的战术可分为伪装隐藏、情报搜集、钓鱼攻击、社交欺诈、植入木马几个阶段。
4.1 伪装隐藏
攻击者具备较强的安全意识,在攻击的过程中使用了多条线路VPN以及购买VPS来隐藏自己的真实IP,这些VPN的IP地址多数位于美国,与攻击者地理位置分析中的IP地址相吻合,如下图。
图 USER设备使用的VPN相关客户端
图 USER设备正使用SoftEtherVPN
4.2 情报搜集
如上述受害者分析,攻击者一方面会使用google搜索引擎的方式来搜集潜在受害者的邮箱,另一方面会通过LinkedIN的应聘信息来筛选潜在受害者。2046Lab推测第一种是为了广撒网发钓鱼邮件,第二种是为了针对性选择高价值目标来实施社交欺诈攻击。如下图所示:
图 攻击者通过google搜索英国(国际区号+44)所有进出口公司包含sina邮箱的文档
图 攻击者利用LinkedIN搜集应聘者人留下的电话和邮箱
4.3 钓鱼邮件
搜集到受害者邮箱后,攻击者会向这些受害者批量发送精心准备钓鱼邮件。
图 攻击者将搜集的邮箱导入为邮件列表待批量发送钓鱼邮件
图 攻击者批量发送钓鱼邮件
攻击者发送的钓鱼邮件内容迥异,总结起来可以分为邀请函、银行回执、大型交易等几类模版。
图 攻击者在制作钓鱼邮件模版
图 伪装为VIP邀请函的钓鱼邮件
图 攻击者在制作银行回复的钓鱼邮件
图 冒充西联,发送带有木马的邮件
图 冒充尼日利亚海军人员
这些钓鱼邮件诱骗受害者回复邮件或者打开邮件中暗藏木马的附件,受害者一旦被木马非法控制,木马将实时窃取受害者的账号、密码、键盘记录、粘贴板内容和屏幕截图。
4.4 社交欺诈
在持续跟踪过程中,2046Lab发现攻击者对高价值的受害者也会绕过钓鱼邮件攻击步骤,直接通过社会工程学攻击的方式实施社交欺诈,如伪装成企业回复应聘者、伪装成俊男靓女欺骗异性,引诱受害者执行暗藏木马的文件或套取个人信息。
图 攻击者伪装成雇主联系应聘者
图 攻击者伪装成女性在google voice实施社交欺诈
图 攻击者的社交欺诈剧本
图 攻击者伪装成男性在hi5和mingle2交友网站注册进行社交欺诈
4.5 木马控制
团队在截图中发现该攻击组织使用了HawkEye和DarkComent RAT、keybase三个远程控制和键盘记录黑客工具;在C2服务器的后台代码中,又发现其存有ABStealer键盘记录工具。综合来看,该攻击组织综合使用了至少4种黑客工具。
在数据分析期间,2046Lab发现攻击组织几乎每隔一天就会更新一次服务器上的木马文件,以保持木马不被杀毒软件检测,如下图。
图 C2网站目录下的木马
表 黑客使用工具汇总
以下给出捆绑了HawkEye木马的一个样本RFQ-2475.doc的分析过程,该样本利用宏病毒来释放并安装木马。
1.提取VB代码:使用oledump.py提取doc中的vb代码,从下图可以看出A3是存在宏,于是导出A3得到VB代码。
图 提取文档中的宏
2.分析VB代码:发现VB经过混淆,木马是和word绑在一起的,下图中的Shell(vbHH, 1)是关键,截取后的pe文件存到了vbHH中,而vbHH实际是一个指向木马的路径“%ALLUSERSPROFILE%\Memsys\ms.exe”。其中,ms.exe是一个HawkEye的执行端,执行后会经过加启动项、改注册表、加键盘钩子等操作。
3.流量分析:当用户点击文档启用宏后,木马会在后台运行一段时间,然后主动连接服务器传输窃取的数据,如下图。本例中的HawkEye木马会将窃取的密码、键盘记录等信息通过ftp的方式上传到ftp.mail***.gdn服务器上,与本次发现的C2是同一个域名。
图 实验环境下HawkEye木马通过ftp传输受害者存储的密码
从缴获的截图数据中也包含攻击者使用FTP下载这些窃取数据的证据,如下图所示。
图 攻击者从ftp下载Hawkeye木马窃取数据
五、攻击意图
综合上述攻击者战术分析和受害者分析,2046推测出攻击者利用社交欺诈和钓鱼邮件相结合的方式实施攻击,期望获取受害者的在线支付等金融类账号密码或者远程控制受害者计算机,最终目的是获取受害者银行卡账号和密码,然后转移财物,这个推测在攻击者邮箱的邮件内容中得到了证实。如下图所示,一名攻击者在催同伙把受害者银行账号的详细信息发给他。
图 攻击者之间传递受害者账号和密码
图 攻击者之间传递受害者银行账号和密码
根据上述邮件内容我们推测,攻击者组织中可能还存在专门负责转移受害者资金财物的洗劫人员。
六、总结
本次的威胁攻击事件属于典型的结合了APT攻击手段的金融欺诈类威胁事件,受害者多为涉及外贸的企业工作人员,涉及140余个国家。攻击者来自尼日利亚,采用了目标情报搜集、伪装隐藏、发送钓鱼邮件、长期控制、社交欺诈、窃取银行账号等一系列的攻击手段。
| 关键项 | 本次攻击事件情况说明 |
|---|---|
| 主要攻击目标 | 外贸相关的供需企业,一定时期内会有行业侧重,多数属于广撒网 |
| 目标国家 | 世界各国,中国占比较多 |
| 关键作用点 | Email和社交网络 |
| 攻击手法 | 目标情报收集->社交欺诈+Email钓鱼->木马控制->获取账号 |
| 攻击目的 | 金融欺诈,窃取受害者银行账号等密码 |
| 漏洞使用情况 | 暂未发现 |
| 工具使用情况 | HawkEye、DarkCometRAT、Keybase、ABStealer远控和键盘记录工具 |
| 免杀技术 | 一般,木马免杀期不长 |
| 活跃程度 | 活跃 |
| 反追踪能力 | 强,使用VPN和vps设备隐藏自己,还申请多个假的邮箱、Facebook |
| 攻击源 | 尼日利亚 |
表TTPs(Tactics、Techniques & Procedures)总结
本次跟踪溯源是一次全面、彻底的跟踪溯源活动。团队从发现到持续跟踪和分析耗时近3个月时间,不仅掌握了攻击者的各种攻击手段、工具、流程,还成功溯源出该攻击组织多个成员的Facebook账号和信息,并最终证实了攻击者的意图。
通过本次溯源,团队有两点发现:
一、欺诈不分国界、不分种族,预测结合APT攻击手段的网络欺诈将越来越多。和陌生人聊天时建议不要泄露过多的个人信息,更不要轻易点击对方发来的任何文件,保护好自己的隐私、保护好自己的钱包。
二、邮件钓鱼依然是攻击者最喜欢的手段。打开陌生人邮件附件时要格外小心,在管理手段之外建议企业采用专业技术手段来实时保障,比如部署东巽铁穹、明镜一类的安全产品,及时发现邮件中的恶意文件和已被植入木马的计算机。
官方 