資安專家於較早前偵測到新一波惡意電郵活動,專門針對俄羅斯私人機構,攻擊的目標是以資料盜竊工具感染受害者的電腦,更試圖把活動偽裝成合法的軟件操,廣泛使用州和市政府服務網站的流量。
攻擊的開始
攻擊者藉著含有偽裝正常PDF檔案的惡意附件電郵散播,事實上該檔案是一個執行檔,雙擊打開就會觸發受害者電腦上的感染鏈,在分析過程中發現,攻擊者以特別的檔案名稱吸引受害者點擊檔案。偽裝的檔案是以.NET框架製成的下載工具,下載第二個下載工具把自己安裝為一項服務,可持續在受害者的電腦上存在,另一個下載工具從C&C伺服器檢索含加密檔案的JSON字串,它會把這些檔案儲存在被入侵電腦內的C:\ProgramData\Microsoft Diagnostic\Tasks,然後逐一執行。
這種傳播方式的主要優點是具靈活性,攻擊者可以在C&C伺服器提供任何惡意內容讓惡意程式下載和執行,暫時攻擊者以資料盜竊工具作最終目的,但這種攻擊可潛在散播更危險的威脅,例如加密勒索、刪除工具或在受害者的基礎設施進一步橫向移動的工具。
掩飾惡意活動
在這次攻擊用到的C&C伺服器託管在gossuslogi[.]com,看起來與俄羅斯國家和市政服務的入口網站相似,而第二階段的下載工具檔案名稱是NetworkDiagnostic.exe,會把自己作為Network Diagnostic Service安裝到系統上,導致只對網絡流量日誌和系統事件表面進行審查的話,可能會忽略伺服器通訊和惡意程式的執行,也令及後的事件調查工作變得更複雜。
收集到的資料
攻擊者會收集被入侵系統的資料,包括電腦名稱、OS版本、硬件規格和受害者IP地址,惡意程式也能夠從受害者電腦中撮圖,收集攻擊者感興趣的檔案類型(主要是不同的文件和檔案),小於100MB的檔案和收集到的其他資料將送到單獨通訊伺服器ants-queen-dev.azurewebsites[.]net。最終惡意內容現時含有四個檔案,一個執行檔和3個DLL library,執行檔啟動螢幕撮圖功能,其中一個library把執行檔加到啟動,另一個負責收集資料,第三個則是發送資料。在網絡溝通時,惡意程式把AuthKey加到請求,當中包含受害者操作系統辨別工具。
在email gateway展開防範
Kaspersky的保安方案能偵測攻擊中使用的程式碼和與C&C伺服器的通訊,所以在公司可存取互聯網的裝置安裝可靠的保安方案,為避免惡意電郵接觸僱員,我們建議在email gateway部署保安方案。
資料來源:Kaspersky Blog
