您的位置:beat365亚洲官方网站 > 互联网资讯 > 垃圾广告活动使用 HawkEye Keylogger 攻击企业

垃圾广告活动使用 HawkEye Keylogger 攻击企业

2019-11-07 12:19

作为针对金融服务和电子商务用户的网络犯罪工具的持续研究的一部分,IBM X-Force 分析了有组织恶意软件团伙的策略,技术和程序,暴露他们的内部工作,帮助将可靠的威胁情报传播到安全社区。

研究人员分别发现 2019 年 4 月和 5 月攻击企业用户的恶意攻击活动,攻击者使用垃圾邮件来攻击不同行业的企业,包括交通和物流、健康、出口和进口、营销、农业等。

在最近对IcedID Trojan攻击的分析中,我们的团队调查了 IcedID 运营商如何针对美国的电子商务供应商,这是该组织的典型攻击。威胁策略是两步注入攻击,旨在窃取受害者的访问凭据和支付卡数据。鉴于攻击是单独运行的,IcedID 背后的人要么正在研究不同的货币化方案,要么将僵尸网络租给其他犯罪分子,将其转变为网络犯罪即服务,类似于Gozi Trojan ’ s的商业模式。

图片 1

一、起源

HawkEye 是专门用于从受感染的设备中窃取信息的,但也可以被用做加载器,可以使用其僵尸网络来提取其他恶意软件到设备中作为第三方网络犯罪的服务。

IBM Security 于 2017 年 9 月发现 IcedID 并为其命名。该现代银行特洛伊木马程序具有与 TrickBot 和 Gozi 等恶意软件类似的模块。它通常针对银行、支付卡提供商、移动服务提供商、payroll、网络邮件和电子商务网站,其攻击目标主要位于美国和加拿大。从他们的配置文件中,显而易见的是,IcedID 的运营商寻找比消费者账户中常见的更高价值的商业账户。

4 月和 5 月的 HawkEye 攻击活动

IcedID 能够启动不同的攻击类型,包括通过其侦听的端口对所有受害者流量进行 web 注入、重定向和代理重定向。

使用 keylogger 攻击企业用户的垃圾邮件活动会窃取账户凭证和敏感信息,用作之后发起账号接管和 BEC 攻击。

恶意软件的分发和感染策略表明其运营商并不是网络犯罪领域的新手 ; 自 2017 年以来它通过 Emotet Trojan 感染用户,并在 2018 年中期通过 TrickBot 推出测试活动。在过去两年中,Emotet 一直是迎合东欧精英网络犯罪团体最出名的恶意服务之一。其可疑客户包括经营QakBot,Dridex,IcedID 和TrickBot的组织。

在 4 月和 5 月的 HawkEye 攻击活动,攻击者使用位于爱沙尼亚共和国的垃圾邮件服务器将垃圾邮件伪装成来自西班牙银行或合法公司的消息来传播 HawkEye Reborn v8.0 和 HawkEye Reborn v9.0 软件。

二、使用 ATSEngine 攻击电子商务用户

虽然垃圾邮件使用一般的问候语,文本和内容质量很差,也没有任何公司的 logo,但是垃圾邮件发送者可以将发送地址伪装成看似合法银行域名的地址。垃圾邮件附件含有伪造的商业发票,受害者打开后就会在后台释放 HawkEye 恶意软件。

虽然目前的 IcedID 配置同时具备 web 注入和重定向攻击,但让我们关注其两阶段 web 注入方案。此策略与类似的特洛伊木马不同,大多数特洛伊木马从配置或动态部署整个注入。

图片 2

为了部署注入并收集来自受害者输入的数据,一些 IcedID 攻击者使用Yummba ’ s ATSEngine的商业注入面板。在此,ATS 代表自动交易系统。ATSEngine 是一个基于 Web 的控制面板,可从攻击 / 注入服务器运行,而不是从恶意软件的命令和控制服务器运行。它允许攻击者编排注入过程,更灵活更快的更新攻击服务器上的注入,解析窃取数据以及管理欺诈性交易的操作。商业交易面板非常普遍,并且从 2007 年的 Zeus Trojan 时开始流行以来一直被广泛使用。

样本垃圾邮件

三、针对特定电子商务供应商

IBM X-Force 分析发现 HawkEye Reborn v9 样本主要攻击西班牙、美国和阿联酋的用户,而 HawkEye v8 主要攻击西班牙用户。为了用 keylogger/stealer 恶意软件感染用户,受害者在打开伪造的发票时 PhotoViewer 会释放一个 mshta.exe 二进制文件,该二进制文件会使用 PowerShell 来连接到 C2 服务器,并释放其他的恶意软件 payload。

在我们检测的攻击中,意识到一些 IcedID 运营商正在使用恶意软件来定位电子商务领域中非常具体的品牌。我们的研究人员指出,这种攻击可能是从主僵尸网络中划分出来的,这些僵尸网络由专门从事欺诈性商品交易的犯罪分子运营。

恶意软件在 AutoIt 脚本的帮助下会在受感染的系统中完成驻留,AutoIt 脚本是以可执行文件 gvg.exe 的形式存在的,会把自己以 AutoRun 记录的形式加入到 Windows 注册表中,这样可以确保每次系统重启后仍然可以自动重启。

让我们看一下这些注入的示例代码。此特定示例取自旨在窃取凭据并接管浏览美国流行电子商务网站的用户帐户的攻击。

研究人员还发现脚本的第二行是一个名为 AAHEP.txt 的文件。该文件含有与真实 Hawkeye Keylogger 相关的函数和命令相关的所有指令。

作为第一步,要从攻击服务器接收任何信息,受感染设备上的常驻恶意软件必须向僵尸网络的运营商验证自己的身份。它使用配置文件中的脚本执行此操作。如果僵尸程序已通过服务器验证,则会从攻击者的 ATSEngine 服务器发送恶意脚本,在本例中通过 URL home_link / gate.php 发送。

图片 3

请注意,IcedID 通过加密保护其配置的指令。因此,僵尸程序需要一个私钥来验证攻击者的 Web 控制面板(例如,var pkey ="Ab1cd23")。这意味着受感染的设备不会与属于其他犯罪分子或安全研究人员的其他 C&C 服务器进行交互。

感染过程

图片 4

HawkEye 相关的垃圾邮件攻击活动

图 1:IcedID 特洛伊木马接收有关连接到攻击服务器的说明(来源:IBM Trusteer)

分析 2019 年 4 月和 5 月的 IoC,研究人员发现 2019 年 2 月 11 日至 3 月 3 日期间从土耳其服务器加载的另外一起垃圾邮件活动,但 IP 地址是来自相同的 C 类网络。

接下来,我们评估了与攻击服务器通信时的 eval(function ( p, a, c, k, e, r ) )函数,并得到以下代码。编码是打包代码的常用策略,使其更紧凑。

根据攻击的特征和释放恶意软件 payload 的邮件以及用信息窃取木马感染目标等特征,研究人员认为这 2 起攻击活动背后的攻击者是相同的。Cisco Talo 研究人员在 4 月份也发现了其他释放 Hawkeye keylogger 的垃圾邮件活动。

图片 5

图片 6

图 2:设计用于设置浏览器接受外部脚本注入的 IcedID 代码(来源:IBM Trusteer)

Hawkeye Keylogger 发送的邮件

在特洛伊木马主动攻击期间,此函数将受感染用户的浏览器设置为接受从其运营商服务器获取外部脚本注入。

HawkEye Reborn v9 恶意软件套件

以下代码段显示了文档对象模型脚本元素的创建,其中包含 Text / javascript 类型和 ID jsess_script_loader。 注入的开发人员使用这种技术将远程脚本注入合法网页。它从攻击者的 C&C 中获取远程脚本,然后将其嵌入脚本标记中,在原始网页的头部或者在其正文中。

HawkEye keylogger 和信息窃取恶意软件套件从 2013 年就开始开发了,经过这些年恶意软件开发者不断加入了新的特征和模块来增加其信息监控和数据窃取的能力。

仔细看看使用的函数,我们可以看到它从受感染用户设备 ssid 的 home_link 加载脚本,以及当前日期。

Hawkeye 恶意软件开发团队目前在暗网和黑客论坛出售 Hawkeye,在 2018 年 12 月易主后仍然在通过分销商传播。

图片 7

HawkEye Reborn v9 是恶意软件套件的最新版本,可以从不同的应用收集信息,然后通过 FTP, HTTP, SMTP 等协议发回给运营者。

图 3:用于将远程脚本注入目标网站的 IcedID 代码(来源:IBM Trusteer)

图片 8

四、第 1 步和第 2 步:JavaScript 和 HTML

HawkEye Reborn UI

要执行 web 注入,外部脚本(恶意 JavaScript 代码段)负责将 HTML 代码注入受感染用户的浏览器。使用此策略,恶意软件不会从配置文件中部署整个注入,这实际上会将其暴露给可以成功解密配置的研究人员。相反,它使用初始注入作为触发器来实时从其攻击服务器获取注入的第二部分。这样,攻击可以保持更加隐蔽,攻击者可以更灵活的更新注入,而无需更新所有受感染设备上的配置文件。

Cisco Talos 研究人员在对 HawkEye Reborn v9 keylogger/stealer 恶意软件的分析发现 HawkEye Reborn keylogger/stealer 在其所有者和开发过程的变化都证明了其在不断进化。

在下面的示例中,名为 ccgrab 的 HTML 代码修改了受害者正在查看的页面,并显示社交工程内容以窃取支付卡数据。页面上的额外内容会提示受害者提供有关其身份的其他信息以安全登录。

图片 9

图 4:IcedID 通过 web 注入欺骗受害者(来源:IBM Trusteer)

恶意软件会自动获取受害者的访问凭据,并且 web 注入会请求以下与受害者支付卡相关的数据元素:

· 信用卡号 ;

· CVV2;

· 受害者地址

一旦受害者输入这些详细信息,数据就发送给攻击者的 ATSEngine 服务器并解析成如下形式,允许犯罪分子通过控制面板查看和搜索数据。

图片 10

图 5:发送给攻击者注入服务器的被破解的窃取数据(来源:IBM Trusteer)

五、管理数据窃取和存储

恶意软件运行的恶意脚本执行其他功能,从受害者的设备和他或她的行为中获取内容。内容获取功能还会检查用户输入的有效性,确保 C&C 不会随时间累积垃圾数据并管理攻击的变量。

本文由beat365亚洲官方网站发布于互联网资讯,转载请注明出处:垃圾广告活动使用 HawkEye Keylogger 攻击企业

关键词: