I. Visão geral

Em dias CERT (Um Tianan pesquisa completa e Emergency Response Center) encontrados vários casos de grande escala organizadas (principalmente Japão e Coreia do Sul) comportamento agressivo phishing e-mail para alguns países do Leste Asiático ocorreram entre 13 fevereiro de 2019 a 7 de Março data um número maior de amostras envolvidos no incidente, o corpo da mensagem e conteúdo do documento é dividido em ataque versões japonesas e coreanas, o objetivo do ataque é colocar o controle remoto Trojan botnet agricultura para o lucro.

O invasor que explorar para controlar um grande número de contas de e-mail roubados, empresas comerciais e instituições financeiras dos dois países para o Japão e Coreia do Sul para enviar emails em massa de phishing, entrega malware que veio com Excel 4.0 documentação macro ataques de códigos, disseminação FlawedAmmyy Trojans controle remoto. Através de uma análise em profundidade de vários casos de ataques de phishing de e-mail, encontramos correlação significativa dessas atividades, e motivo do atacante, o estilo de trabalho, o processo técnico e tático e controle remoto são muito consistentes com o uso de organizações negras ativo na produção global de TA505 .

, A análise segundo evento

13 fev 2019 e 19 dias de segurança CERT observados dois número significativo de ataques contra usuários sul-coreanos do phishing atividades de email. Então, em 20 de fevereiro, táticas altamente semelhantes contra phishing e-mail começaram a aparecer no Japão. 27 de fevereiro de 6 de março e 7, com um documento malicioso no dia 20 da altura do ressurgimento de ataques semelhantes contra e-mail da Coreia do Sul.

Figura 2-1 fevereiro e março foi observado para os cinco lotes de ataques de phishing e-mail na linha do tempo a atividade de suas nações

De acordo com a sul-coreana estatísticas, e os profissionais de segurança share , a partir de 19 de fevereiro de mais de 9.000 Coreia do Sul-mail contas pelos dois primeiros lotes de ataques de phishing, principalmente o nome do remetente é "", uma pequena quantidade é " ", as empresas e instituições que envolvem caixa de correio atribuído principalmente ao coreana financeira relacionada, envio de phishing e-mail de 1124 e-mail. Pesca volume de correspondência no Japão, actualmente, apenas ver centenas de cartas, sendo atacado também sociedades comerciais.

, A análise da amostra terceiro

3.1 Excel 4.0 macro usando a tecnologia

Excel 4.0 (XLM) macros são suportadas pelo Microsoft Excel antes de VBA (Visual Basic for Applications) macros aparecem macro tecnologia de programação, e agora por causa do efeito de certos livre para matar com o seu desenvolvimento de vírus de macro foram abusadas, amplamente presente em várias formas de comunicação atividade de rede de código malicioso.

Figura 3-1 hide malicioso fragmento macro código executado no controle remoto Trojan transmitir livro

Documentos adicionados na phishing e-mail contém exploits ou script malicioso (macro código, Javascript, etc.) como a invasão do pioneiro penetração, tornou-se uma ameaça de alto nível é a abordagem muito comum. Compare as duas técnicas diferentes, podemos facilmente encontrar, o uso malicioso penetração roteiro em combate real é meios de ataque bastante preferido.

Comparação de Custo Tabela 3-1 exploits e scripts invasão

Confrontado com os fornecedores de segurança atuais para comum Escritório Nday explorar capacidade de detecção mais madura, e com base em considerações de custo, muitas organizações ataque cada vez mais popular usando macro ataque código. As séries contra phishing Coréia do Sul e Japão, que é tomado como um documento com um download macro maliciosa, baixar executar carga subsequente.

3.2 Sample Analysis Ataque

Nesta série de ataques, o atacante atrair o atacante para abrir o anexo por falsificação de facturas e outras mensagens relevantes para o assunto.

Figura 3-2 para o corpo de phishing e-mails na Coreia do Sul

Figura 3-3 para o corpo de phishing e-mails no Japão

Acessórios são divididos em mesas e documentos doc xls, e há versões de idioma japonês e coreano:

documentos Figura 3-4 isca para os dois países, Japão e Coréia

Usando táticas semelhantes para atrair vítimas para abrir a macro executar permissões para os documentos isca entre os dois países, o exemplo a seguir para analisar uma amostra DA0DC5E26A4DD2F85C1C56F65999F79B seu comportamento malicioso.

Tabela 3-2 maliciosos amostras de documentos macro

planilha amostra contendo escondido Excel macro 4.0 na tabela.

Figura 3-5 unhide configurações da planilha antes e depois da comparação

código de macro Figura 3-6 escondido planilha

script de macro para Auto_Open, executar automaticamente abre o arquivo, executar ações para download http: // *** 365office com / agp instalar e executar . Também encontrado outra macro de script atos maliciosos escondidos em algum documento doc isca, este método usa a propriedade VBA controles de formulário Tag após um tipo de cadeia de recurso, malicioso divisão tag atributo de comando em diferentes controles em e, em seguida, costurando o script implementação VBA.

Figura 3-7 código malicioso escondido sob a forma de segmentos

DA0DC5E26A4DD2F85C1C56F65999F79B exemplo para baixar arquivos usando o macro da seguinte forma.

Tabela 3-3 MSI programa formato libertador "agp"

A execução efectiva do MSI instalador informações corporal interna contida abaixo.

programa PE Tabela 3-4 MSI contendo executável malicioso

Este executável contém uma assinatura digital, carimbo de tempo para a noite antes para o primeiro lote de ataques sul-coreano (13 de fevereiro) a.

FIG. 3-8 programa executável MSI PE com a assinatura digital válida incluída

Figura 3-9 obter funções relacionadas à rede iniciar o download do arquivo

Implementação do corpo chama a função API "InternetReadFile" para baixar o arquivo http: //185.17.***.201/dat3.omg (MD5: 5D1DA0526A5A65B3308512159E98F388), através da realização de chave de decodificação e solução para obter a final em memória do controle remoto Trojan (MD5: 25D48C3A71A5F8777AD4DB67C2A4F649).

Figura 3-10 resolver a chave de decodificação

Figura 3-11 descriptografia controle remoto final Trojans na memória

Depois de obter sucesso controle remoto Trojans, em seguida, de acordo com seu próprio ambiente para determinar a abordagem a persistência é um serviço de sistema registada ou escrever o registro desde o início.

Figura 3-12 Serviços de Registro ou gravação para o registro desde o início da duração

Ao analisar o comportamento de controle e de comando remoto funções de rede de Tróia, ele determina que o controle remoto é FlawedAmmyy. FlawedAmmyy controle remoto se baseia na elaboração de software de desktop remoto comercial Ammyy Admin V3 vazou código-fonte do , contém funções de controle remoto de desktop, gerenciamento remoto de arquivos, monitoramento de áudio, teclas de gravação, furtar dados e outras funções. comunicação de fluxo de amostra com C2 também demonstram FlawedAmmyy controle remoto formato de campo típica Trojan:

id = 8 dígitos ID

& Sistema operacional OS =

& Priv = Permissões

& Cred = username

& PCName = nome do computador

& Avname = matar nome suave

& Bulid_time = Trojans tempo de compilação

& Cartão = se pretende inserir o cartão inteligente &

FIG 3-13 FlawedAmmyy característica de fluxo típico quando a comunicação de controlo remoto

4, a organização associada com o retrato

A captura de amostras associados às actividades dos últimos TA505 pontos:

Consistente com (1) um grande número de páginas isca documentos forma XLS e armazenar amostras de macro maliciosa forma oculta usando o nome russo, a estrutura organizacional criada quando TA505 Excel 4.0 macro forma oculta malicioso com o nome anterior.

amostra Figura 4-1 TA505 antes do nome russo do nome do formulário

amostra formas na Figura 4-2 Quatro lotes de ação que serviram a amostra anterior chamado exatamente o mesmo TA505

Os restantes 18 fev embora o conteúdo de texto de um documento de amostra é coreano, mas o idioma de edição padrão ainda é o russo, com a organização TA505 em dezembro de 2018, a versão em espanhol do documento é muito semelhante ao ataque:

Figura 4-318 de fevereiro ataques editor de documentos padrão para o idioma russo

Figura 4-4 TA505 organização Documentação ataque espanhol 18 de dezembro, 2018 usado

(2) o conteúdo de texto 13 de fevereiro malicioso documentação macro com a amostra antes do TA505 altamente consistente, a língua modificado em coreano e japonês apenas para o alvo.

Anteriormente usado 4-5 TA505 organograma em Inglês e espanhol do ataque corpo do documento

4-613 fev ataque contra o corpo do gráfico de exemplo documento de Coreia do Sul

(3) 27 de Fevereiro e 6 de Março de documento malicioso da Coreia do Sul também utiliza os mesmos meios para reescrever o documento malicioso para o texto em japonês, de 20 de Fevereiro:

Figura 4-720 de fevereiro para o Japão e 27 de Fevereiro, 06 março ataque contra a Coreia do Sul no corpo do documento

MSI Downloader de download malicioso parte macro do URL: "http: // *** 365office com / agp ", A mesma URL e TA505 no passado usado como um propósito: "http: // office365advance com / atualização , http: // office365homepod com / genhost, http : // add3565office com / RSTR " e" http: // local365office com / conteúdo " e" http: / /office365idstorecom/std, " tem uma certa semelhança na escolha de palavras de nomeação hábitos, e o nome de domínio "*** 365office com" e-mail registrado como regprivate.ru.

Alguns de quem baixar assinado digitalmente procedimentos MSI utilizados, atualmente só encontrados para ocorrer em fevereiro e março ataques, o atacante deve ser para esta série de ataques contra a Coreia do Sul e especialmente preparados. Alguns destes correio registado é assinado digitalmente mail.ru, outros são gmail, mas gmail ainda é obrigado a verificar o endereço Mail.ru. de e-mail

(4) observada no lote atual de cinco ataques, e, finalmente, serviu principalmente FlawedAmmyy Trojan controle remoto cavalo. FlawedAmmyy controle remoto é baseado em software de desktop remoto comercial Ammyy Admin V3 adaptado do código-fonte vazou, e tem aparecido repetidamente na entrega massa de tecido TA505 ataques de phishing atividades .

Com base no acima de quatro pontos pode ser visto, esta série de ataques contra os detalhes da continuação da estrutura organizacional TA505 no passado, documentos isca, inserir código malicioso, um recurso consistente no controle remoto e Trojans de registro de nome de domínio. Além destes, os motivos do atacante (criação de botnets para um lucro), estilo de trabalho, tático (evitação defensiva, residente, comando e controle) (indústria alvo eletiva ou região para enviar entrega de massa e-mail de phishing Trojans personalizado), tecnologia (malicioso Excel 4.0 macro, assinatura digital), processos (em larga escala de phishing arquivos anexos de e-mail nome russo escrito na forma de Excel 4.0 de download macro macro malicioso escondido assinado digitalmente MSI formato Downloader memória de decodificação de fugir FlawedAmmyy controle Trojans) e outros termos também são muito consistentes com a TA505 características.

No entanto, devido a ainda não encontrou evidência aspectos relacionados de sua infra-estrutura de rede e assinaturas digitais, só podemos suspeitar atualmente ocorrem entre 13 de fevereiro de 2019 a 07 de marco data cinco lotes de grande escala organizadas para o Japão e Coreia do Sul e-mail de phishing ataques, eram suspeitos de estar por trás da famosa organização da produção TA505 preto ativo no mundo.

Tabela 4-1 TA505 apresenta retratos organizacionais

V. Resumo

Do ponto de vista atual, este evento deve ser organizada para a produção em grande escala de uma série de comportamento negra da indústria financeira no Japão e Coreia do Sul, os motivos do atacante para o botnet criação de lucro de atacantes intenção, estilo de trabalho, técnico e processos táticos e de uso de cavalos de Tróia e outros fatores e detalhes de vista, são muito bem conhecidos de produção de negro de acordo com a organização TA505. tecido TA505 Proofpoint é exposta pela primeira vez em setembro de 2017, phishing e-mails enviar massa personalizado desde 2014, frequentemente para indústrias específicas ou as regiões Trojans entrega em todo o mundo, para obter benefícios econômicos ilegais produzidas pelo caminho negro.

* O autor: antiylab, reproduzido a partir FreeBuf.COM