从脚本到系统：全面剖析Tangerine Turkey攻击行动

Cybereason安全服务团队发布威胁分析报告，旨在通报具有影响力的威胁。本威胁分析报告调查了在Cybereason EDR中观察到的Tangerine Turkey攻击活动流程。Tangerine Turkey是一个被识别为使用VBScript蠕虫促进加密货币挖矿活动的威胁行为者。

关键要点

• Tangerine Turkey部署通过可移动驱动器（USB）横向传播的VBScript蠕虫
• 该组织利用无文件攻击技术（LOLBins），如wscript.exe和printui.exe进行执行和持久化
• 他们通过修改注册表键和将恶意二进制文件伪装成合法系统文件来展示防御规避技术
• 恶意软件将恶意文件复制到新创建的模拟目录以隐藏其活动
• 他们的主要动机似乎是通过未经授权的加密货币挖矿获取经济利益

引言

Tangerine Turkey是一个利用VBScript和批处理文件获取持久化、规避防御并在受害者环境中部署挖矿有效载荷的加密货币挖矿活动。该活动首次于2024年末被报告，此后已扩展到全球，无差别地针对多个行业和地区的组织。

虽然目前尚未与勒索软件部署相关联，但攻击者实现持久化和横向移动的能力带来了更广泛的安全风险。

Tangerine Turkey执行流程

技术分析

本节涵盖Cybereason EDR检测到的Tangerine Turkey感染链。在此特定样本中，交付的挖矿有效载荷是XMRig。

XMRig主要是一个加密货币挖矿软件，设计用于使用计算机的CPU或GPU挖掘Monero（XMR）和其他加密货币。当由自愿运行它的矿工使用时，它是开源且合法的。然而，恶意行为者滥用XMRig进行加密劫持，通过将其秘密安装在受感染的机器上，在所有者不知情的情况下为自己挖掘加密货币。

战术、技术和程序（TTPs）

本节重点介绍Cybereason在此活动中检测到的主要TTPs。

通过受感染USB的初始访问

Tangerine Turkey恶意软件活动的初始访问是通过受感染的USB设备实现的。

攻击开始时，wscript.exe执行位于可移动驱动器上的恶意VBScript。在观察到的事件中，可移动驱动器被挂载为E:\（例如E:\rootdir\x817994.vbs），尽管在不同主机上驱动器字母可能不同。

此VBScript x817994.vbs作为初始投放器，负责通过生成cmd.exe启动辅助批处理文件x966060.bat。

1
2
3
4
5
6

wscript.exe从USB驱动器执行恶意VBScript：
C:\WINDOWS\System32\WScript.exe E:\rootdir\x817994.vbs

批处理文件执行：
VBScript生成cmd.exe运行批处理文件：
C:\WINDOWS\system32\cmd.exe /c "E:\rootdir\x966060.bat"

滥用LOLBins（printui.exe）

批处理文件继续通过滥用合法的Windows二进制文件printui.exe来执行。此无文件攻击二进制文件（LOLBin）被利用来在printui.dll旁边旁加载恶意库svculdr64.dat。

在此阶段，还尝试分散用户注意力。explorer.exe被启动以打开"USB驱动器"目录，而xcopy.exe用于将printui.exe和额外的有效载荷组件（x209791.dat）复制到伪装的System32目录中，确保它们在受信任位置可用。

1
2
3

xcopy.exe将恶意文件复制到新创建的目录：
xcopy "C:\Windows\System32\printui.exe" "C:\Windows \System32" /Y
xcopy "x209791.dat" "C:\Windows \System32" /Y

PowerShell防御规避

从那里，printui.exe生成cmd.exe，后者执行混淆的PowerShell命令。解码的内容为System32目录添加Windows Defender排除项，有效地使安全控制无法检测进一步活动。此步骤是明确的防御规避策略。

1
2

Base64解码命令→添加Windows Defender排除项：
Add-MpPreference -ExclusionPath "C:\Windows\System32"

通过恶意服务持久化

接下来，通过创建新的Windows服务x665422建立持久化。该服务配置为运行svchost.exe -k DcomLaunch，同时指向恶意服务DLL x665422.dat。这确保恶意软件将在系统重启后继续存在并保持执行。

1
2
3
4

恶意软件创建新服务x665422：
sc create x665422 binPath= "C:\Windows\System32\svchost.exe -k DcomLaunch" type= own start= auto
reg add HKLM\SYSTEM\CurrentControlSet\services\x665422\Parameters /v ServiceDll /d "C:\Windows\System32\x665422.dat" /f
sc start x665422

有效载荷执行

然后从System32目录部署并执行主要有效载荷console_zero.exe。为了加强持久化，恶意软件创建名为console_zero的计划任务，配置为在每个用户登录时以最高权限运行有效载荷。

1
2
3
4
5

console_zero.exe的路径：
C:\Windows\System32\console_zero.exe

通过计划任务持久化：
cmd.exe /c schtasks /create /tn "console_zero" /sc ONLOGON /tr "C:\Windows\System32\console_zero.exe" /rl HIGHEST /f

清理和反分析

最后，恶意软件尝试通过删除暂存文件svculdr64.dat并发出删除Windows目录的命令（rmdir /s /q “C:\Windows “）来进行清理操作。虽然后者的路径操作（尾随空格）可能阻止实际删除操作系统目录，但它突显了恶意软件的反分析和破坏行为企图。

1
2
3

尝试删除证据：
timeout /t 14 && rmdir /s /q "C:\Windows "
timeout /t 16 && del /q "C:\Windows\System32\svculdr64.dat"

结论

Tangerine Turkey活动展示了使用USB传播的VBScript蠕虫进行分层攻击策略，以横向传播并在受感染系统上部署未经授权的加密货币挖矿。通过利用无文件攻击二进制文件（如wscript.exe和printui.exe）以及注册表修改和诱饵目录，恶意软件能够规避传统防御并保持持久化。

主要影响是通过非法加密货币挖矿获得经济利益，但所采用的技术也带来了更广泛的风险，包括潜在的系统不稳定和暴露于其他恶意软件。

缓解措施和响应

• 阻止/限制USB大容量存储：由于初始感染向量是USB驱动器，防止从可移动媒体执行可以在VBScript投放器运行之前阻止它。组织可以使用组策略或端点控制来禁用自动运行并限制从外部驱动器执行.vbs或.bat文件。在可行的情况下禁用自动运行并强制执行设备控制。

• 应用程序控制（AppLocker/WDAC）：Tangerine Turkey利用合法的Windows二进制文件（如wscript.exe和printui.exe）执行恶意脚本。为这些二进制文件的异常使用实施应用程序控制或端点检测规则可以降低风险并允许早期检测。

• 强化注册表并监控更改：恶意软件使用注册表修改来保持持久化。监控启动键或已知恶意软件持久化位置的意外更改可以向防御者发出持续入侵尝试的警报。

• 网络分段和出口过滤：Tangerine Turkey最终旨在部署加密货币矿工，该矿工通常与外部矿池通信。将工作站的网络流量限制为仅限授权端点可以防止数据泄露或矿工流量。

• 用户意识和USB卫生：许多感染通过USB的物理访问开始。教育用户避免使用未知USB并遵循安全插入策略可以降低初始入侵的可能性。

危害指标（IOC）

MITRE ATT&CK映射