SmartApeSG攻击活动利用ClickFix页面传播NetSupport RAT
引言
本报告描述了我在实验室中生成的NetSupport RAT感染,该感染源自使用ClickFix风格伪造CAPTCHA页面的SmartApeSG攻击活动。
SmartApeSG(也称为ZPHP或HANEYMANEY)是一个最早于2024年6月报告的攻击活动。开始时,该活动使用伪造的浏览器更新页面,但目前使用ClickFix方法的伪造CAPTCHA风格"验证您是人类"页面。
该活动推送恶意的NetSupport RAT软件包进行初始恶意软件感染,我已经观察到这些NetSupport RAT感染后续的恶意软件活动。
如何发现SmartApeSG活动
我通常可以从Mastodon上的Monitor SG账户找到SmartApeSG指标。我使用URLscan对这些指标进行关联分析,从而找到导致SmartApeSG脚本的受感染网站。
感染过程
通过此活动受感染的网站显示包含隐藏注入脚本的页面。在特定条件下,此脚本会启动SmartApeSG事件链。下图显示了一个示例。
![受感染网站页面中注入的SmartApeSG脚本]
在某些情况下,此注入脚本不会启动感染链。我在一天中的某些时间段或从同一源IP地址多次尝试查看受感染网站时,遇到了无法触发感染链的问题。我不知道具体条件是什么,但如果条件合适,受感染网站会显示伪造的CAPTCHA风格"验证您是人类"页面。
![受感染网站显示的伪造CAPTCHA页面]
点击"验证您是人类"框会执行以下操作:
- 将恶意内容注入Windows主机的剪贴板
- 生成一个弹出窗口,其中包含打开运行窗口、将内容粘贴到窗口中并运行的说明
剪贴板注入的内容是一个命令字符串,使用mshta命令检索并运行将生成NetSupport RAT感染的恶意内容。
![按照ClickFix指示将内容(恶意命令)粘贴到运行窗口中]
以下是直接参与此感染的HTTPS流量URL列表。
![此SmartApe SG活动直接涉及的HTTPS流量]
![在Wireshark中过滤的感染流量]
恶意的NetSupport RAT软件包通过开始菜单快捷方式在受感染主机上保持持久性。该快捷方式运行用户AppData\Local\Temp目录中的.js文件。该.js文件运行位于C:\ProgramData\目录下文件夹中的NetSupport RAT可执行文件。
![在受感染Windows主机上持久存在的恶意NetSupport RAT软件包]
此活动的指标
在此感染流量中注意到以下URL:
- hxxps[:]//frostshiledr[.]com/xss/buf.js <– 注入的SmartApeSG脚本
- hxxps[:]//frostshiledr[.]com/xss/index.php?iArfLYKw
- hxxps[:]//frostshiledr[.]com/xss/bof.js?0e58069bbdd36e9a36 <– 伪造的CAPTCHA页面/ClickFix指令
- hxxps[:]//newstarmold[.]com/sibhl.php <– 通过ClickFix命令检索的脚本
- hxxps[:]//www.iconconsultants[.]com/4nnjson.zip <– 包含恶意NetSupport RAT软件包的zip存档
- hxxp[:]//194.180.191[.]121/fakeurl.htm <– 通过TCP端口443的NetSupport RAT C2流量
以下是包含恶意NetSupport RAT软件包的zip存档:
- SHA256哈希:1e9a1be5611927c22a8c934f0fdd716811e0c93256b4ee784fadd9daaf2459a1
- 文件大小:9,192,105字节
- 文件类型:Zip存档数据,至少需要v1.0解压,压缩方法=存储
- 文件位置:hxxps[:]//www.iconconsultants[.]com/4nnjson.zip
- 保存到磁盘为:C:\ProgramData\psrookk11nn.zip
注意:这些域名几乎每天都会更改,NetSupport RAT软件包和C2服务器也经常更改。