AppSuite、OneStart与ManualFinder:恶意软件生态中的技术关联与基础设施共享

本文通过技术分析揭示了AppSuite、OneStart和ManualFinder等恶意软件之间的深层关联,包括共享的服务器基础设施、更新机制、PowerShell脚本和Node.js执行模式,追溯了同一威胁行为者超过一年半的持续活动。

AppSuite、OneStart & ManualFinder:恶意软件生态中的关联网络

在我们最近的一篇文章中分析了AppSuite之后,我们开始拉出几条松散的线索,看看它们会将我们引向何处。结果发现,它与其他恶意程序存在关联——在某些情况下,这些关联已经存在了相当长的一段时间。

AppSuite与OneStart的初步对比

在我们之前关于AppSuite具有恶意行为的博客文章中,我们提到了它可能与OneStart浏览器存在联系。正如Expel所记录的,OneStart也被确定为涉及“ManualFinder”感染的一个共同因素。我们开始寻找有助于证实这些关联的事实。

我们选取了最新可用的OneStart版本[1]并检查了其安装过程。安装程序允许自身安装到 %appdata%\OneStart.ai 目录。查看已安装的文件可以发现,所安装的浏览器源自Chromium浏览器。虽然AppSuite是用Electron编写的,但当前版本的OneStart没有任何组件是用Electron编写的。乍一看,两者之间明显的联系难以捉摸。

OneStart.dll 中的线索

文件[2] %appdata%\OneStart.ai\OneStart\<版本号>\onestart.dll 提供了一些有价值的线索。OneStart定制了Chromium更新功能,以检查 https://onestartapi[.]com/api/bb/updates.txt 获取软件更新。该URL返回一个文本响应,这显然是“Advanced Installer”的更新配置文件。Advanced Installer是一个类似于NSIS和Inno Setup的软件安装系统。文本响应顶部的 ;aiu; 表明这是一个此类配置文件(见图1)。

图1:更新配置

该二进制文件还会检查OneStart附带的一些浏览器扩展的更新。其中一个ID为 memhbiihnoblfombkckdfmemihcnlihc 的扩展,其更新从 https://onestartapi[.]com/chr/ob/ext/update 检查。该扩展默认安装,当前版本会跟踪对“booking.com”的访问,以便“呈现”优惠。然而,该扩展的旧版本中包含代码,用于静默安装一个名为“Capital one shopping”的额外扩展。旧扩展还跟踪“youtube.com”的访问。另外还检查了两个扩展,但默认未安装。这些扩展目前不包含任何功能。

图2:扩展检查

迄今为止的检查是为了寻找AppSuite、ManualFinder和OneStart之间的共同联系而进行的。在Expel描述的ManualFinder案例中,使用了node.exe来运行来自%temp%目录的JavaScript文件。如前所述,在AppSuite案例中,则使用了Electron。我们检查的OneStart样本既没有使用Electron,也没有使用NodeJS。

建立直接关联

由于到目前为止直接联系一直难以捉摸,我们开始寻找可能涉及安装node.exe的OneStart旧版本安装程序[3]。我们的搜索找到了一个较旧的软件版本(OneStartInstaller-v4.5.224.8.msi)。我们观察到,在这种情况下,安装OneStart之后,运行了几个PowerShell脚本。当检查其中一个PowerShell脚本[4]时,可以注意到一些奇怪的字符串:一个随机域名和一个有效的产品ID字符串。

图3:安装后的PowerShell脚本

OneStart与ManualFinder通过域名关联

这个随机域名的长度与Expel文章中描述的长度相同(7df4va[.]com 和 mka3e8[.]com)。当我们开始调查OneStart时,域名 mka3e8[.]com 已不再解析,其他安全厂商发现的与ManualFinder感染相关的几个已知命令与控制(CnC)服务器也已失效。在ManualFinder感染案例中,执行的恶意JavaScript中硬编码了域名。

图4:使用node.exe从%temp%运行的恶意JavaScript

为了检查OneStart与ManualFinder案例之间的关系,我们好奇地将ManualFinder感染中的恶意JavaScript里的域名替换为我们OneStart样本中的域名。如果两者没有关联,任何网络路径请求自然会失败。执行时,脚本会尝试联系 https://7df4va[.]com/r1?ei=1fLlck&dt=a559552e&uri=www.7df4va.com%2f。这个请求没有失败,服务器给出了图5中所示的响应。

图5:服务器响应

这意味着与OneStart通信的服务器对ManualFinder感染中涉及的恶意JavaScript做出了正确的响应。因此,这两起案例背后的行为者应该是同一批人。

AppSuite呢?

AppSuite和OneStart是否由同一批人创建?我们获取了AppSuite联系的URL,并将域名替换为OneStart中的域名。例如,取URL sdk.appsuites(dot)ai/api/s3/new?fid=ip&version=1.0.28,将其域名替换为OneStart中的域名。这成功了,服务器返回了预期的响应。这一事实证明,OneStart、ManualFinder和AppSuite这三个案例背后的行为者是同一批人,并且共享服务器基础设施来分发和配置所有这些程序。事实证明,存在大量相同长度的随机域名,这些域名都是托管在CloudFront上的资源的别名。在某些样本中,域名的格式为 <随机字符串>[.]cloudfront[.]com,这是CloudFront托管域名的标准格式。

图6:AppSuite与OneStart之间共享的服务器基础设施

但是谁安装了node.exe?

尽管到目前为止,存在共同行为者的事实已经很清楚了,但我们使用的旧版OneStart安装程序既没有安装node.exe,也没有直接运行任何恶意JavaScript。图3中PowerShell脚本片段的另一个线索是所谓的有效产品标识符。一个简单的谷歌搜索找到了一年前SANS研究所的一篇文章。该文章提到了一些安装程序名称模式,如 PrintRecipes_45518959.msi、LaunchBrowserInstaller-v5.2.158.0.msi、FreeManuals_45087997.msi。我们根据线索,寻找了更多名称类似的旧版安装程序。事实证明,存在大量这样的安装程序,它们安装并使用node.exe来运行JavaScript。虽然更多的旧样本将node.exe和JavaScript与像WebView这样的浏览器组件结合使用,但使用功能齐全的浏览器作为UI是后来才演变的。我们看到的一些样本已经有超过1.5年的历史。

在其中一个案例中,安装的浏览器称为“SecureBrowser”(或)“LaunchBrowser”,与一家名为“Blaze Media”的公司相关联。SecureBrowser的网站(securebrowser[.]io)顶部有“Launch”标志,其使用条款页面直接照搬了onestart[.]io页面上的内容。这个浏览器与OneStart完全相同,只是前一次市场推广的迭代。

图7:SecureBrowser和OneStart浏览器安装界面

现在,谜题的缺失部分已经补齐。恶意软件行为者确实使用了node.exe,“免费手册”是其使用的诱饵短语之一,并且涉及浏览器安装。然而,我们无法精确定位导致从%temp%目录执行JavaScript的确切安装程序。

图8:托管在同一服务器基础设施上的更新配置

DesktopBar和BrowserAssistant

当我们检查上述旧样本[5]时,发现其中一些经常安装名为DesktopBar(或DBar)的软件和另一个名为BrowserAssistant的软件。对两者的分析超出了本文的范围。然而,网络通信指向一个事实:在这些案例中也使用了相同的服务器基础设施。

在BrowserAssistant的案例中,我们注意到存在早至2018年[6]的样本,它们使用了相同的恶意软件基础设施。旧样本显然是以“Direct Game UNI Installer”的名义,由一家名为“Realistic Media Inc.”的公司分发的。

最终思考

我们收集到的事实让我们相信,这些行为者可能存在的时间比我们能够观察到的时间要长得多。他们一直兜售伪装成游戏[6]、打印食谱[8]、食谱查找器[8]、手册查找器[7]的恶意软件,最近又添加了流行词“AI”来诱骗用户。我们所见的基础设施可能也容纳了其他恶意软件。或许未来某个时候会发现更多。此案凸显了这些行为者如何通过轻松地将其软件变形以呈现新形态,从而轻易地保持活跃。

入侵指标(IoC)与研究同行信息

[哈希值]

  • [1] 44ad9111f14c83be400bba303df5dc54ab699bb4f6e8144d052ac19812cd4fac (OneStart安装程序) [MSIL.Malware.OneStart.C]
  • [2] 77e4dab34cb6c2169c47463b4ed81efe61185446c304b392dd9b0cbe2b31c67c (onestart.dll) – [Win64.Malware.OneStart.B]
  • [3] 1ff8268fa64c8f55eb750c4433c1e9e47dc7359b7fcc653215423ed3fe5d8b4d (OneStartInstaller-v4.5.224.8.msi) - [Win64.Malware.OneStart.A]
  • [4] 7ad613dee75da11ef9b7a92823bda3e290491e245956f5a192a3207a5f11d9a0 (从%temp%运行的powershell脚本) - [PowerShell.Malware.OneStart.H]
  • [5] be50abcaa65744e1d62ed858911a8ed665a4743a1f1e6db515cbd661052bd3f9 (安装securebrowser、desktop bar和browser assistant的旧安装程序) - [Win32.Adware.BrowserAssistant.A]
  • [6] 6b6fc62a294d5ef1c619d623f1cf6d735d9f191df9ef5c745b0881b1e01b8565 (GameOffer.exe) - [Win32.Adware.BrowserAssistant.C]
  • [7] a704398d2446d297938d773f22e3a703b8e8b9a411edcf0f821dff6e975f2724 (以PDFViewer, FreeManuals名义分发) - [Win32.Malware.OneStart.J]
  • [8] 90b2e64ce4c6b2a0048158755281466b60b83ac1a8b43bb28614ec67c9fe52eb (以PrintRecipe, FreeRecipe名义分发) - [Win32.Adware.BrowserAssistant.D]

[域名]

  • 7df4va[.]com
  • mka3e8[.]com
  • onestartapi[.]com

[签名方]

  • OneStart Technologies LLC
  • Interlink Media Inc.
  • Astral Media Inc
  • Blaze Media Inc.
  • Realistic Media Inc.
  • Digital Promotions Sdn. Bhd.
comments powered by Disqus
© 2020 - 2026 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次