近日,思科发现攻击者正在将 Neurevt 木马和窃密程序相结合,针对墨西哥的公司发起攻击。
入侵
恶意行为从混淆的恶意 PowerShell 命令开始,该命令会下载一个 Neurevt 家族的恶意文件。
攻击者绕过端点的 PowerShell 执行策略,下载新的可执行文件。该域名于 2021 年 6 月 21 日在 NameCheap 注册,saltoune.xyz 解析的 IP 地址为 162.213.251.176。该域名的全球遥测数据如下所示:
执行会创建很多文件:
恶意软件创建一个线程设置注册表并执行 VBS 文件:
WScript.exe 进程读取文件 C:LMPupdateset435246.vbs并启动 Windows Shell 运行批处理文件 C:LMPupdateset183.bat。
bat 脚本文件将 C:LMPupdatesetx0329847998重命名为加密的 RAR 文件 43939237cx.rar。运行 unpakedree.exe 使用 67dah9fasdd8kja8ds9h9sad密码提取 RAR 文件的内容。
启动另一个脚本 48551.bat:
通过进程注入,进一步拉取可执行文件。
http://morningstarlincoln.co.uk/的 IP 地址为 79.170.44.146。下载文件 SHA256 为 35617cfc3e8cf02b91d59209fc1cd07c9c1bc4d639309d9ab0198cd60af05d29 http://russk17.icu的 IP 地址为 23.95.225.105。下载文件 SHA256 为 4d3ee3c1f78754eb21b3b561873fab320b89df650bbb6a69e288175ec286a68f
在前者的文件中,存在许多属于墨西哥主要金融机构的字符串。
恶意软件窃取凭据和双因子 Token,定义的函数调用如下所示:
持久化
恶意软件修改了多个注册表项:HKLMSoftwareMicrosoftWindows NTCurrentVersionImage File Execution OptionsRSTRUI.exe、HKLM SoftwareMicrosoftWindows NTCurrentVersionImage File Execution Options3K77573KMES7W.exe、HKCUSoftwareMicroscoftWindowsCurrentVersionRunonce、HKCUSoftwareMicroscoftWindowsCurrentVersionRun、HKLMSoftwareMicroscoftWindowsCurrentVersionRunonce。
恶意软件通过调用 GetTokenInformation 和 AdjustTokenPrivileges 来提权。
检测逃避
Explorer.exe 进程禁用 Windows 防火墙,还修改Internet Explorer 安全域配置。攻击者通过允许未签名的 ActiveX 控件、关闭阻止弹出窗口和更改 Java 权限等选项来削弱 Internet Explorer 的安全性。
一个注册表中存放了大量数据(HKEY_CURRENT_USERSoftwareAppDataLowSoftware{B56DA420-0B5E-0394-E271-7DACAF8D4BB5}14FD1F9A46a66dd53b3040)旨在隐藏攻击者。
Explorer.exe 进程尝试连接 VirtualBox 驱动程序、 VirtualBox DLL 和 VMware DLL。此外还会使用 GetTickCount 和 IsDebuggerPresent 进行反分析。
发现
恶意软件会检查操作系统、枚举系统驱动、可用硬盘和目录信息、Java 运行时环境、键盘布局列表等信息。
攻击者还可以截取失陷主机的屏幕截图。
复制剪切板的数据:
将屏幕缓冲区的数据写入文件:
通过调用 GetKeyboardLayout、ActivateKeyboardLayout 设置键盘布局并调用 GetKeyboardState 将 256 个虚拟键的状态复制到缓冲区并调用 GetKeyState 来检索键盘控制字符状态。Neurevt 会监视来自对话框、消息框、菜单或滚动条中的按键和鼠标活动的输入事件而生成的消息。
Neurevt 还会等待来自多个对象的消息、查看消息、检查是否是 Unicode 窗口、获取消息、将虚拟键的扫描码转换为字符然后发送。
数据渗漏
失陷主机使用 HTTP POST 将数据发送到 C&C 服务器。
结论
这个版本的 Neurevt 恶意软件具备多种功能,一旦被感染,攻击者就可以控制失陷主机并修改系统设置进行持久化驻留。该木马可以访问操作系统、用户帐户信息、银行网站凭据、截取屏幕截图并连接到 C&C 服务器以窃取知识产权和个人信息等。该木马可能会影响个人用户和组织导致数据泄露或声誉受损,最终导致重大损失。
IOC
russk18.icu russk19.icu russk20.icu russk21.icu russk22.icu moscow13.at moscow11.at 86aab09b278fe8e538d8cecd28f2d7a32fe413724d5ee52e2815a3267a988595 b5624eea08b241314b8bd13ee9429449c53085a6bb2bcc481655f1f28b4314122 4d3ee3c1f78754eb21b3b561873fab320b89df650bbb6a69e288175ec286a68f 35617cfc3e8cf02b91d59209fc1cd07c9c1bc4d639309d9ab0198cd60af05d29 http://saltoune.xyz/pb/aa.exe https://saltoune.xyz/pb/aa.exe http://morningstarlincoln.co.uk/site/bmw/studi.exe http://russk17.icu/mailo/seer.exe
参考来源
TalosIntelligence
