CARROTBAT 恶意软件被用于针对东南亚的攻击

CARROTBAT 恶意软件被用于针对东南亚的攻击

针对朝鲜半岛的网络钓鱼活动正在使用一种名为CARROTBAT的恶意网络捕获器向受害者提供诱饵文件和辅助有效负载,例如远程访问特洛伊木马。

迄今为止,Palo Alto Networks第42部门的研究人员共识别出29种独特的CARROTBAT样品,共包含12种经确认的独特诱饵文件。这些样本于今年3月开始出现,大部分活动在过去3个月内进行。

初始攻击

2017年12月13日,一封鱼叉钓鱼邮件从yuri.sidorav@yandex[.]ru这个电子邮件地址发送给了英国政府机构内的高级别人员。此电子邮件包含以下主题,附带相同名称的附件:美国将“无条件”与朝鲜对话。

附加的Word文件文档名为“Tillerson:美国将“无条件”与朝鲜对话 Seungmock Oh报道”。

该文档引用了NKNews[.]org当天发表的文章,文章讨论了美国和朝鲜之间的外交问题。

CARROTBAT 恶意软件被用于针对东南亚的攻击

诱饵文件引用的文章

附加文档利用DDE漏洞最终执行以下代码:

CARROTBAT 恶意软件被用于针对东南亚的攻击

Palo Alto Networks于2017年5月首次发现这种DDE漏洞利用技术,此后攻击者继续利用该漏洞。此特定恶意软件示例运行的命令尝试下载名为0_31.doc的远程可执行文件,该文件又在执行前以文件名AAA.exe放置在受害者的%TEMP%目录中。

有效负载属于SYSCON恶意软件系列。它通过FTP与ftp.bytehost31[.]org通信以进行命令和控制(C2)。

CARROTBAT 恶意软件被用于针对东南亚的攻击

执行过程中发现的SYSCON网络流量

研究人员通过托管SYSCON样本的域881.000webhostapp[.]com,发现了许多其他样本,包括KONNI恶意软件系列样本和4个属于CARROTBAT恶意软件系列的64位可执行文件。经过进一步分析最终在该恶意软件系列中识别出29个独特的样本。

攻击活动

被称为破碎块(Fractured Block)的活动包括迄今为止发现的所有CARROTBAT样本。CARROTBAT本身是一个dropper,它允许攻击者删除并打开一个嵌入式诱饵文件,然后执行一个命令,该命令将在目标机器上下载并运行一个有效负载。总的来说,此恶意软件支持以下11种文件格式:

.doc

.docx

.eml

.hwp

.jpg

.pdf

.png

.ppt

.pptx

.xls

.xlsx

打开嵌入式诱饵文档后,会在系统上执行以下混淆命令:

CARROTBAT 恶意软件被用于针对东南亚的攻击

此命令尝试通过Microsoft Windows内置certutil实用程序下载并执行远程文件。

29个独特的CARROTBAT恶意软件样本的编译时间戳在2018年3月到2018年9月之间。在这29个独特的样本中,有11个诱饵文件用于攻击,如下图所示:

CARROTBAT 恶意软件被用于针对东南亚的攻击

诱饵文档时间线

针对韩国受害者的大多数诱饵文件的主题都与加密货币相关。在一个独特的案例中,诱饵文档中包含在COINVIL工作的个人名片,该组织宣布计划于2018年5月在菲律宾建立加密货币交易所。

其他主题包括实时政治事件,如美国和朝鲜之间的关系,以及美国总统唐纳德特朗普出访新加坡峰会。

CARROTBAT样品的有效载荷各不相同。在2018年3月到2018年7月期间,研究人员观察到了SYSCON恶意软件系列的多个样本。这些样本通过FTP与以下主机进行C2通信:

ftp.byethost7[.]com

ftp.byethost10[.]com

files.000webhost[.]com

从2018年6月开始,研究人员发现CARROTBAT不再使用OceanSalt恶意软件系列。在撰写本文时,这些样本在继续使用,并且与以下主机进行C2通信:

61.14.210[.]72:7117

与其他威胁活动的关系

CARROTBAT和KONNI恶意软件系列之间存在基础设施重叠。KONNI是一种RAT,据信已经使用了四年多,功能强大,通常利用000webhost等免费网络托管服务提供商的C2基础设施。在撰写本文时,尚未发现这个特定的恶意软件系列属于哪一个组织,但是其攻击目标一直集中在东南亚地区。

研究人员反复提到的另一层关系是使用SYSCON恶意软件系列。这个特殊的恶意软件系列于2017年10月首次被发现,并且已经观察到提供与朝鲜有关的诱饵文件。该恶意软件不复杂,利用远程FTP服务器进行C2通信。

结论

发现CARROTBAT为识别破碎块活动提供了重要的线索。研究人员通过CARROTBAT找到了相关的SYSCON和KONNI活动,并怀疑这种威胁活动可能都属于同一个威胁行为者。但是,我们认为目前没有足够的证据可以完全证明这一点。

CARROTBAT恶意软件系列是一种独特的dropper,虽然它支持各种类型的诱饵文件,并采用基本的命令混淆,但应该它并不复杂。

值得一提的是,破碎块活动背后的黑客仍然活跃。

原创文章,作者:Gump,如若转载,请注明出处:http://www.mottoin.com/news/132975.html

发表评论

登录后才能评论

联系我们

021-62666911

在线咨询:点击这里给我发消息

邮件:root@mottoin.com

工作时间:周一至周五,9:30-18:30,节假日休息

QR code