HeartCrypt打包服务大规模伪装攻击技术剖析

深度分析HeartCrypt打包即服务(PaaS)操作的技术细节,包括恶意代码注入技术、位置无关代码加载器、XOR加密算法、多阶段感染链,以及其与各种远程访问木马和信息窃取器的关联。

在过去一年多的时间里,我们监测到一系列具有共同特征的安全事件:

  • 恶意软件伪装、篡改并嵌入合法软件应用
  • 位置无关加载器代码(PIC)注入到程序入口点附近,覆盖原始代码
  • 加密的恶意负载作为额外资源插入
  • 使用简单加密算法(XOR),密钥为静态ASCII字符
  • 负载属于常见RAT(远程访问木马)或凭证/信息窃取器家族
  • 托管在Google Drive(通过被黑账户)的密码保护压缩包,通过电子邮件链接传播

我们最终得出结论,这些案例都与被称为HeartCrypt打包即服务(PaaS)的操作有关。

行业关注

有可信证据表明这些攻击可归因于单个威胁行为者。曾有人认为HeartCrypt是CrowdStrike称为"Blind Spider"组织的产物,但存在足够差异(不同负载、不同注入机制、不同目标位置)表明这些活动属于多个威胁行为者。

目标:初始事件

一切始于HeapHeapProtect警报。进程跟踪显示执行了以下可执行文件:

1
2

Path: c:\Windows\Dv0y70b8ALMzQX.exe
SHA-256: f51397bb18e166c933fe090320ec23397fed73b68157ce86406db9f07847d355

有趣的是,该可执行文件原本是CCleaner组件,包含注入的恶意代码。

感染链

不同感染链针对不同国家,表明由不同威胁行为者使用各自偏好的方法。

网络钓鱼邮件与旁加载

针对意大利用户的案例使用DLL旁加载技术。PDF阅读器应用从其自身目录而非系统目录加载msimg32.dll,从而执行注入到DLL中的负载加载器。

感染链从网络钓鱼邮件开始,包含指向Dropbox下载的短链接,下载ZIP压缩包包含:

  • 干净的加载器(Haihaisoft PDF Reader)
  • 恶意DLL(被篡改的NW.js组件)
  • 诱饵PDF文件

DLL在感染链中以两种方式使用:

  • 安装阶段通过旁加载执行
  • 最终感染状态仅DLL文件持久化,通过rundll32.exe执行

提取的负载是Lumma Stealer变种,配置包含9个C2服务器。

无旁加载的网络钓鱼邮件

针对哥伦比亚受害者的案例,恶意内容托管在Google Drive的密码保护ZIP存档中。这次伪装载体是独立的Windows可执行文件。

可执行文件在%USERHOME%\Videos\Cylance\Bin目录创建自身副本,附加大量零字节将其膨胀至934MB,并注册为开机自启动。此次负载是AsyncRAT。

带LNK快捷方式文件的网络钓鱼邮件

返回意大利目标案例,感染链包含LNK快捷方式文件、PowerShell和批处理脚本。

LNK文件具有PDF图标,但实际执行PowerShell命令,从ngrok应用下载并执行另一个PowerShell脚本,进而下载:

  • 诱饵PDF文件
  • 下载器批处理文件

最终负载通常是Rhadamanthys。

技术细节:修改的可执行文件

HeartCrypt打包器获取合法可执行文件并通过在.text节注入恶意代码进行修改,同时插入额外的PE资源,伪装为位图文件。

加载器内部

代码通过数百个直接跳转和短调用进行高度混淆,垃圾字节填充这些JMP和CALL之间的间隙。

PIC解码第二层PIC,执行各种反模拟器检查:

  • 尝试加载不存在的DLL(k7rn7l32.dll和ntd3ll.dll)
  • 使用Raspberry Robin观察到的反模拟技术

如果任一导入成功解析,加载器判定运行在模拟环境中,不会执行恶意活动。

有效负载解密

负载使用XOR算法加密,密钥由ASCII字符组成。密钥在文件末尾的大块零字节区域清晰可见,如字符串"PuevQTvPCsYg"。

持久化机制

加载器在其他目录创建恶意文件副本,然后在注册表Run位置创建运行键。

有效负载

大多数情况下,负载是现成的RAT或凭证/信息窃取器。一个有趣的发现是名为"DeveloperTest"的负载,只是显示消息框的简单可执行文件,我们认为这是打包器开发者的测试工具。

关于AVKiller

特别关注的负载是AV killer工具,在多个勒索软件攻击案例中检测到。该工具打包了VMProtect,专门针对Eset、HitManPro、Kaspersky、Sophos和Symantec产品。

目标国家

文件名称使用多种语言进行社会工程学攻击,包括:

  • 阿根廷、巴西、哥伦比亚
  • 法国、希腊、荷兰
  • 韩国、哈萨克斯坦
  • 墨西哥、秘鲁、罗马尼亚
  • 俄罗斯、台湾、泰国、乌克兰

大多数样本来自哥伦比亚,这些活动的主要目标区域。

其他发现

加密密钥

XOR加密密钥通常是随机字符串,但有些案例显示威胁行为者可能感到无聊或情绪化,如:

  • ANDREYISNOTHAPPEITE
  • MENOLOVECROWDSTRIKE
  • F■CKUNERDHAHAHAHA

勒索软件关联

观察到与Ransomhub和MedusaLocker的关联案例。在MedusaLocker案例中,初始感染可能与ConnectWise和BeyondTrust产品的零日RCE漏洞有关。

结论

HeartCrypt虽不再是新的PaaS热点,但继续比以往更广泛传播。了解此类恶意软件的机制意味着防护措施可以像威胁本身一样不断发展。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次