X

利用Agent Tesla在全球开展间谍活动,SWEED黑客组织攻击手法揭秘

最近以来,思科Talos团队发现了大量到目前为止仍正在持续进行中的恶意软件分发活动,这些活动被指与一个名为“SWEED”的黑客组织有关。在分发的恶意软件中,有不少早已声名在外,比如Formbook、Lokibot和Agent Tesla等。

根据Talos团队此前的研究,SWEED至少在2017年就已经开始运作了,主要是使用信息窃取工具和远程访问木马(RAT)来攻击目标。

自2017年以来,SWEED的大部分活动都保持了一致性——借助带有恶意附件的鱼叉式网络钓鱼电子邮件分发恶意软件。另一方面,虽然恶意附件在类型上多种多样,但大多都旨在分发Agent Tesla(一种信息窃取工具,出现于2014年,甚至更早)。

在这篇文章中,我们将回顾SWEED这些年来的部分主要活动,并揭秘SWEED在这些活动中所使用的策略、技术和程序(TTP)。

2017年:隐写术(Steganography)

Talos团队最早发现的SWEED活动之一可以追溯到2017年。在这起活动中,SWEED将dropper打包在了ZIP压缩文件中,然后作为电子邮件附件发送。

这些附件大多具有类似于“Java_Updater.zip”或“P-O of june 2017.zip”这样的文件名,如下图所示:

ZIP压缩文件包含有Agent Tesla的一个打包版本,打包器利用了隐写术来隐藏和解码一个.NET可执行文件,而这个.NET可执行文件则使用了相同的技术来检索作为最终payload的Agent Tesla。如下图所示,是存储在资源中的文件:

如下图所示,是用来解码存储在该图像中的PE文件的算法:

解码后的二进制文件存储在数组中。

2018年1月:Java dropper

在2018年初,Talos团队观察到SWEED开始利用基于Java的dropper。

与之前的活动类似,JAR压缩文件以附件的形式被添加在电子邮件中,具有类似于“Order_2018.jar”这样的文件名。

JAR文件首先会收集有关受感染系统的信息,然后下载Agent Tesla的另一个打包版本。

2018年4月:Office漏洞利用(CVE-2017-8759)

2018年4月,SWEED开始利用在之前被公开披露的Office漏洞。在大量的电子邮件附件中,有一类附件引起了Talos团队的注意,因为它是一个PowerPoint文档(PPXS),包含在其中一张幻灯片中的代码能够触发CVE-2017-8759的漏洞利用(CVE-2017-8759是存在于微软.NET framework中的一个远程代码执行漏洞)。

分析表明,“chuks.png”实际上并不是一个图像文件。相反,它是一个XML中的Soap定义,如图所示:

这段代码的作用是解码一个网址(由攻击者控制的Web服务器地址),并下载托管在其上的一个PE32文件,最终生成的可执行文件依旧是打包的Agent Tesla。

2018年5月:Office漏洞利用(CVE-2017-11882)

2018年5月,SWEED开始利用Microsoft Office中的另一个漏洞:CVE-2017-11882,这是存在于Microsoft Office公式编辑器中的一个远程代码执行漏洞。

如下图所示,恶意文档看起来像是一张发票。

与此前的活动一样,恶意文档的目的仍然是下载并执行打包的Agent Tesla。

2019:Office宏和AutoIt dropper

从2019年开始,SWEED开始利用Office宏。与此前的活动一样,他们仍利用鱼叉式网络钓鱼电子邮件和恶意附件来分发恶意软件。

附件中的XLS文件包含一段经过混淆处理的VBA宏代码,能够使用WMI调用执行一个PowerShell脚本。

PowerShell脚本负责执行某些检查,然后下载并执行另一个可执行文件。

下载的二进制文件是一个使用AutoIT编译的脚本。该脚本包含了大量的垃圾代码,旨在使分析变得更加困难和耗时。

正如预期的那样,最终的payload仍旧是Agent Tesla。

SWEED攻击目标分布

自2017年以来,SWEED进行了大量的攻击活动,目标遍布全球,涵盖美国、俄罗斯、中国、新加坡、印度、巴基斯坦、沙特、韩国、伊朗等近50个国家。

从被攻击者所处的行业来看,SWEED似乎更倾向于制造业和物流行业。

SWEED的真实身份

基于“SWEED”这个名称,Talos团队在HackForums(知名安全论坛)上锁定了一个可疑用户。在发布的很多帖子中,该用户都留下了自己的Skype(一款即时通讯软件)账号——“sweed.XXX”。

就在2018年1月活动开始前的几个月,该用户在HackForums上公然发帖寻求Java crypter。众所周知,Java crypter有助于恶意文件绕过杀毒软件的检测,因为其能够加密恶意payload的内容。

Talos团队还发现,该用户在帖子中留下的Skype账号在2016年也曾被一个昵称为“Daniel”的人使用,当时他在一篇与创建Facebook网络钓鱼页面相关的博客下发表了评论:

此外,这个Skype账号还在2015年被一个昵称为“XXX. Daniel”的人使用过。

以此为线索,Talos团队最终发现了一个与之相关的LinkedIn账户。种种迹象表明,此人极有可能位于尼日利亚,并且是SWEED组织的核心成员。

结论

SWEED至今已经活跃了至少3年的时间,目前的攻击目标主要指向了全球的中小企业。

从其所使用的TTP来看,SWEED应该算是一个相对不那么专业的黑客组织,比如总是使用被公开披露的漏洞,以及在黑客论坛上公开出售的信息窃取工具和RAT病毒(如Pony、Formbook、UnknownRAT、Agent Tesla)。

不过,Talos团队预计SWEED将在今后继续运作,因此建议大家仍需继续做好安全防护工作。