通过Microsoft Teams语音钓鱼传播DarkGate恶意软件的技术分析
摘要
趋势科技托管检测与响应(MDR)团队分析了一起安全事件,攻击者通过Microsoft Teams通话进行社会工程学攻击,冒充用户客户并获取其系统远程访问权限。攻击者未能安装Microsoft Remote Support应用程序,但成功诱导受害者下载AnyDesk远程访问工具。获得机器访问权限后,攻击者投放了多个可疑文件,其中一个被检测为Trojan.AutoIt.DARKGATE.D。Autoit3.exe执行的一系列命令导致连接到潜在的命令与控制(C&C)服务器,并随后下载恶意负载。虽然在数据外泄发生前攻击被阻止,但受害机器上创建了持久性文件和注册表项。
攻击时间线
初始访问
攻击者使用社会工程学手段操纵受害者以获取对计算机系统的访问和控制权。受害者报告称,她首先收到了数千封电子邮件,随后通过Microsoft Teams接到自称是外部供应商员工的来电。在通话中,受害者被指示下载Microsoft Remote Support应用程序,但通过Microsoft Store安装失败。攻击者随后指示受害者通过浏览器下载AnyDesk,并操纵用户输入其AnyDesk凭据。
执行
下载AnyDesk.exe后几秒钟内观察到其执行。运行的命令如下:
|
|
此命令运行AnyDesk远程桌面应用程序,并将其作为本地服务启动在系统上,允许其以提升的权限或最小化/自动化方式运行。
几分钟后,cmd.exe被调用以执行rundll32.exe加载SafeStore.dll,我们推测该文件是通过AnyDesk.exe投放的。
|
|
DarkGate A3x脚本
可执行文件SystemCert.exe(SHA256: 4e291266399bd8db27da0f0913c041134657f3b1cf45f340263444c050ed3ee1)被执行,并在C:\Temp\test\文件夹中创建了script.a3x和Autoit3.exe。
创建script.a3x和AutoIt3.exe文件后,通过以下命令执行恶意脚本script.a3x:
|
|
加密的AutoIt负载script.a3x在内存中解密自身为shellcode,并注入到远程进程中。一个观察到的例子是合法的MicrosoftEdgeUpdateCore.exe二进制文件,位于C:\Program Files (x86)\Microsoft\EdgeUpdate。此进程被用作代理,将DarkGate脚本加载到内存中执行。执行流随后加载其他类型的恶意软件到内存中,以进行后续攻击阶段。
发现
Autoit3.exe执行了以下发现命令:
|
|
此命令检索系统域信息并将输出保存到C:\ProgramData\fcdcdfc文件夹中的kcbbbbc文件。
防御规避
此攻击的复制场景显示,Autoit3.exe正在寻找多个知名防病毒产品。
还观察到在不同位置创建了多个随机命名的文件以及Autoit3.exe的副本。此技术用于规避检测。
命令与控制
Autoit3.exe还执行了script.a3x,将进程注入到MicrosoftEdgeUpdateCore.exe中,随后观察到连接到外部IP 179.60.149[.]194:80,一个C&C服务器。
|
|
连接到IP 179.60.149[.]194几分钟后,通过cscript.exe执行了一个VBScript:
|
|
根据VBScript spamfilter_v1.4331.vbs文件的内容,它将运行PowerShell命令,然后通过Autoit3.exe运行script.a3x。
最终DarkGate负载
该事件伴随着执行一个PowerShell命令,投放DarkGate负载:
|
|
上述命令将尝试从hxxp://179.60.149[.]194:8080下载fdgjsdmt,并使用以下内容执行:
|
|
此命令将在C:\rbne\dxqu\创建一个目录(如果尚不存在)。-Force标志强制创建,即使目录已存在或具有隐藏或系统属性。然后它将尝试下载一个文件(dogjaafa)并保存为file.zip。
Expand-Archive是一个PowerShell cmdlet,用于提取zip文件的内容。此命令将下载的file.zip内容提取到C:\rbne\dxqu\目录中。file.zip被投放到C:\rbne\dxqu\,并包含一个恶意的AutoIt脚本。
几分钟后,一个可执行文件StaticSrv.exe(SHA256: faa54f7152775fa6ccaecc2fe4a6696e5b984dfa41db9a622e4d3e0f59c82d8b)在C:\Users<user>\文件夹中被执行,并调用AutoIt3.exe运行script.a3x。StaticSrv.exe和SystemCert.exe表现出相同的行为。
安装后活动
随后创建了多个文件和注册表项以实现持久性:
- C:\ProgramData\fcdcdfc\gdhfdfd\18-11-2024.log(加密密钥日志)
- C:\ProgramData\fcdcdfc\kkfafef
- C:\Temp\gggahbb
- C:\Temp\hbakdef
Autoit3.exe还创建了以下文件,包括其自身的副本,可能用于备份目的:
- C:\ProgramData\fcdcdfc\Autoit3.exe
- C:\ProgramData\fcdcdfc\bbbckdb.a3x
- C:\Temp\cdcecgg
- C:\Users<user>\AppData\Roaming\EaDeKFb
MicrosoftEdgeUpdateCore.exe创建的注册表项如下:
|
|
结论与安全建议
在此研究的案例中,攻击在攻击者达到目标之前被阻止。未发现与数据外泄相关的活动。DarkGate主要通过网络钓鱼邮件、恶意广告和SEO投毒传播。然而,在此案例中,攻击者利用语音钓鱼(vishing)诱骗受害者。微软也记录了这种vishing技术,在一个案例中,攻击者利用QuickAssist获取目标访问权限以分发勒索软件。
为保护自己免受此类攻击,组织可以应用以下最佳实践:
- 彻底审查第三方技术支持提供商。虽然存在合法的第三方技术支持服务,但组织应在授予对企业系统的远程访问权限之前直接验证任何供应商关联声明。应建立云审查流程,通过评估其安全合规性和供应商声誉来评估和批准远程访问工具,如AnyDesk。
- 白名单批准的远程访问工具并阻止任何未经验证的应用程序。组织应在远程访问工具上集成多因素认证(MFA),通过要求多种验证形式来增加额外的保护层。这降低了恶意工具用于获取内部机器控制权的风险。
- 提供员工培训,提高对社会工程学策略、网络钓鱼尝试以及未经请求的支持呼叫或弹出窗口危险的认识。知识丰富的员工更不容易成为社会工程学攻击的受害者,从而加强组织的整体安全态势。
为有效应对不断演变的威胁 landscape,组织必须优先考虑分层安全方法。像趋势科技Apex One™ with XDR这样的解决方案提供完整的安全即服务(SaaS)解决方案,提供对趋势Vision One™中XDR功能的完全访问,以检测、响应和增强网络攻击的预防。此外,趋势科技™托管XDR(包含在趋势Service One™中)通过提供全天候监控、防御和检测来确保持续保护免受新兴威胁的侵害。
威胁狩猎查询
趋势Micro Vision One搜索应用 要狩猎可能与DarkGate相关的恶意活动,您可以使用以下查询。以下威胁狩猎查询检测正在创建和执行的Autoit3和脚本文件(.a3x)的存在。请注意,这也可能由正常活动触发。
|
|
更多狩猎查询可用于具有威胁洞察权限的Vision One客户。
危害指标(IOCs)
SHA256
| 指标 | 检测 |
|---|---|
| 1cbda9a3f202e7aacc57bcf3d43ec7b1ca42564a947d6b5a778df90cddef079a | SafeStore.dll |
| 4e291266399bd8db27da0f0913c041134657f3b1cf45f340263444c050ed3ee1 | SystemCert.exe |
| faa54f7152775fa6ccaecc2fe4a6696e5b984dfa41db9a622e4d3e0f59c82d8b | StaticSrv.exe |
| bb56354cdb241de0051b7bcc7e68099e19cc2f26256af66fad69e3d2bc8a8922 | script.a3x |
| e4d13af4bfc3effe4f515c2530b1b182e18ad0c0a3dacac4dd80d6edcf0b007a | spamfilter_v1.4331.vbs |
URL/IP
| 指标 | 评级 | 类别 |
|---|---|---|
| 179.60.149.194 | 危险 | C&C服务器 |
| hxxp://179[.]60[.]149[.]194:8080/fdgjsdmt | 危险 | 恶意软件同谋 |