網路犯罪集團正在散播一種惡意軟體,會在系統與網路紀錄中刻意掩蓋自身活動,並最終部署「資訊竊取程式(Infostealer)」。
會隱藏行為的 Infostealer 投放程式
我們的資安專家發現,近期出現一波針對俄羅斯民間企業的惡意郵件攻擊行動。這次攻擊的目的,是讓受害電腦感染資訊竊取型惡意程式。
這個攻擊活動特別值得注意的地方在於,攻擊者刻意將惡意行為偽裝成合法軟體的運作,甚至模仿大量使用的政府與地方公共服務網站流量,藉此降低被察覺的風險。
攻擊是如何開始的
攻擊者會寄送一封附帶惡意附件的電子郵件,附件表面上看起來是一般的 PDF 文件。
但實際上,這個檔案是帶有 PDF 圖示的可執行檔(EXE),一旦使用者雙擊開啟,就會啟動感染流程。
在我們分析的攻擊樣本中,惡意檔案名稱包含:
- 《УВЕДОМЛЕНИЕ о возбуждении исполнительного производства》(執行程序啟動通知)
- 《Дополнительные выплаты》(額外補助款)
但這些名稱很可能只是其中一部分,攻擊者會持續更換檔名來誘騙使用者點擊。
技術細節說明
這個偽裝成文件的檔案,其實是一個使用 .NET Framework 製作的下載器(Downloader)。
它的行為流程如下:
- 下載第二階段的載入程式(Loader)
- 該載入程式會以系統服務的形式安裝,確保惡意程式能持續存在(Persistence)
- 接著,它會從 C&C(指揮控制)伺服器取得一段 包含加密檔案的 JSON 字串
- 將這些檔案儲存至
C:\ProgramData\Microsoft Diagnostic\Tasks - 依序執行這些惡意檔案
這種攻擊方式的危險性
這種投放機制非常有彈性,攻擊者可以隨時更換最終下載的惡意程式:
- 目前使用的是 資訊竊取程式(Infostealer)
- 未來也可能改為:
- 勒索軟體(Ransomware)
- 磁碟清除程式(Wiper)
- 橫向移動工具(Lateral Movement)
惡意行為的偽裝手法
此次攻擊使用的 C&C 伺服器網域為:
- gossuslugi[.]com
該名稱刻意模仿俄羅斯廣泛使用的政府與市政服務官方網站,僅在拼字上做細微差異。
此外,第二階段的載入程式檔名為:
- NetworkDiagnostic.exe
並且會以 Network Diagnostic Service(網路診斷服務) 的名義安裝在系統中。
造成的影響
這樣的偽裝方式,可能讓資安人員在:
- 快速檢視系統事件
- 初步查看網路流量紀錄
時,誤以為是正常系統活動,進而忽略實際的惡意通訊與執行行為,也會讓後續的事件鑑識變得更加困難。
Infostealer 會蒐集哪些資料
惡意程式會先蒐集受害電腦的基本資訊,包括:
- 電腦名稱
- 作業系統版本
- 硬體規格
- 受害者的 IP 位址
除此之外,它還能:
- 擷取使用者螢幕畫面(截圖)
- 搜尋並竊取攻擊者感興趣的檔案格式
(主要是各類文件與壓縮檔)
大小小於 100MB 的檔案,會與其他蒐集到的資料一起,被傳送到另一個通訊伺服器:
- ants-queen-dev.azurewebsites[.]net
惡意程式的組成
目前使用的最終惡意負載(Payload)包含 4 個檔案:
- 1 個可執行檔(EXE)
- 負責螢幕擷取功能
- 3 個 DLL 動態連結程式庫
- 一個:負責加入開機自動啟動
- 一個:負責資料蒐集
- 一個:負責資料外傳(Exfiltration)
在與伺服器通訊時,惡意程式會在請求中加入一個 AuthKey 標頭,其內容包含受害系統的作業系統識別資訊。
如何保護自己
我們的資安產品能夠偵測:
- 此次攻擊所使用的惡意程式碼
- 以及其與 C&C 伺服器之間的通訊行為
因此我們建議:
- 所有能上網的公司裝置,都應安裝可靠的資安防護軟體
- 為了防止惡意郵件送達員工信箱,企業也應在電子郵件閘道層級部署郵件安全防護解決方案
如果你需要的是:
- 更口語版(給一般使用者看)
- 資安簡報用版本
- 公司內部公告/教育訓練版本
可以直接跟我說用途,我可以再幫你重新整理一個適合的版本。
資料來源 : https://www.kaspersky.com/blog/malicious-mailing-masking-activity/55104/
