神秘黑客组织向意大利用户邮件投递SLoad恶意软件

网络安全公司Yoroi在上周披露，在过去的几个月里，他们观察到了一起针对意大利用户的恶意电子邮件活动。目前，尚不清楚这些攻击尝试到底是由一个成熟的网络犯罪团伙在修改其TTP之后发起的，还是由一个全新的网络犯罪团伙发起的。但无论如何，Yoroi公司已经启用了内部代号“Sload-ITA”（TH-163）来追踪这一威胁。此外，在今年5月份，SANS ICS的研究人员在英国也观察到了类似的活动。类似的恶意软件组件投递方式以及利用压缩文件来隐藏恶意代码的技术，将这两起活动联系在了一起。

Yoroi公司收集并分析了在此次活动中使用的恶意样本，以揭示攻击者所使用的恶意软件的细节。下图总结了SLoad恶意软件的感染链。

图1. SLoad恶意软件感染链

技术分析

由Yoroi公司分析的恶意样本是一个zip压缩文件，其中包含两个不同的文件：

一个伪装成指向系统文件夹的快捷方式文件，被命名为“invio fattura elettronica.lnk”；一个隐藏的JPEG图像文件，被命名为“image _20181119_100714_40.jpg”。

尽管解压后的.lnk文件从表面上看是合法的，但它的“武器化”方式与APT29在近期活动中采用的方式是类似的，这也反映出这种技术已经成为了某些网络武器的一部分。事实上，当用户双击该文件时，一个批处理脚本会生成如下所示的powershell脚本：

这个powershell脚本会搜索与“documento-aggiornato-novembre - * .zip”格式匹配的所有文件。如果文件存在，脚本则会从其末尾提取一段代码，然后通过“IEX”原语调用。在下图中，你可以看到真正涉及压缩文件内容的代码被标识为粉色和黄色，而附加的恶意代码则被标识为蓝色。

图2.附加到zip压缩文件的恶意代码

zip文件的这一部分包含一段将由powershell脚本调用的可执行代码。通过滥用“bitsadmin.exe”，这段代码可以从“firetechnicaladvisor.com”下载其他脚本。然后，将所有新下载的文件存储到“%APPDATA%/ ”文件夹中。下图展示的是恶意软件组件下载后，文件夹所包含的内容：

图3.文件夹中的恶意软件组件

文件夹中的“NxPgKLnYEhMjXT.ps1”脚本用于将这些恶意软件组件安装到受害者的设备中，并在系统上注册一个计划任务，以建立持久性。然后，它会删除自身。

图4. 恶意软件组件的安装脚本

在查看了文件夹中的“CxeLtfwc.ps1”脚本之后，研究人员还注意到恶意软件组件使用cmdlet“Invoke-Expression”从文件“config.ini”加载并执行了另一段代码。

下图展示了恶意软件的其他组件是如何调用这段特定代码的：你可能会注意到，脚本是在输入参数（“1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16”）的情况下启动的，这些参数用作密码钥匙来解密“config”的内容――恶意软件的实际payload。

需要说明的是，“config.ini”和“web.ini”文件都是在运行时通过以下一组系统原语进行解密和调用的：

“ConvertTo-SecureString”, [System.Runtime.InteropServices.Marshal]::SecureStringToBSTR($Encrypted); [System.Runtime.InteropServices.Marshal]::PtrToStringAuto($slStr);

下图展示的是“config.ini”文件中经加密处理的代码的一部分。

图5.“config.ini”中经过加密处理的payload

解密“web.ini”的内容，可以得到恶意软件使用的C&C服务器地址：https[://hamofgri.me/images/和 https[://ljfumm.me/images/。

Sload恶意软件会收集有关受害者设备的信息，如域名、dns缓存、正在运行的进程、ip和系统架构。此外，它还会定时抓取受害者当前桌面的屏幕截图，搜索Microsoft Outlook文件夹并收集有关用户目录中是否存在“* .ICA”Citrix文件的信息。所有这些信息都会被发送给C&C服务器。提交数据后，它会直接从攻击者那里接收到用于实施进一步攻击的PowerShell代码。这种行为是木马/间谍软件的代表特征之一，通常被用来完成入侵目标设备前的侦察工作，以及某些更复杂攻击的初始阶段。