2024-10-23 WarmCookie/BadSpace - APT TA866 - 样本分析
威胁概述
WarmCookie(也称为BadSpace)是一个于2024年4月出现的高级恶意软件家族,主要通过恶意垃圾邮件(malspam)和恶意广告(malvertising)进行传播。该恶意软件为攻击者提供对受感染环境的长期访问权限,并促进其他有效载荷的部署,如CSharp-Streamer-RAT和Cobalt Strike。其感染链和功能特点显示出与Resident后门存在显著的开发联系,表明可能由APT组织TA866共同开发。
感染链分析
WarmCookie的感染链通过电子邮件诱饵启动——通常是发票相关和职业介绍所主题——将受害者引导至托管恶意JavaScript的服务器。经过混淆的JavaScript下载器通常以压缩ZIP文件形式传递,触发PowerShell命令,使用Bitsadmin下载并执行WarmCookie DLL,将其嵌入系统并实现持久化。
持久化机制
WarmCookie利用任务计划程序实现持久化,在%ALLUSERSPROFILE%或%ALLDATA%下创建计划任务,并在60秒延迟后重新执行自身。最新版本将典型的命令行语法从/p修改为/u作为执行参数。
命令与控制(C2)适配
TA866之前使用独特的、可检测的C2用户代理字符串(例如Mozilla/4.0 (compatible; MSIE 6.0…)),现已更新为与标准字符串混合使用,如Mozilla/5.0… Firefox/115.0。
自更新机制
自更新命令的初始实现允许WarmCookie从其C2服务器动态接收更新,尽管此功能似乎还不完整。
C2命令更新
最新的WarmCookie样本具有新的C2命令:
- 命令0x8:从C2接收DLL,为其分配临时文件名并执行
- 命令0xA:类似于命令0x8,但添加了硬编码参数,允许自更新
- 命令0xB:将恶意软件移动到新的临时文件名并删除计划任务以禁用持久化并终止恶意软件进程
与Resident后门的代码和功能相似性
Resident后门和WarmCookie之间的代码级比较显示:
- RC4解密一致性:两者使用相同的RC4实现和互斥锁管理,通常使用类似GUID的字符串作为互斥锁
- 启动逻辑:两者使用相似的逻辑来识别作为DLL或EXE的执行,并通过计划任务建立持久化。它们都使用rundll32.exe进行基于DLL的执行和任务调度
- 编码约定:函数、参数传递和持久化机制紧密对齐,表明共享开发实践或作者身份
样本下载
下载。如果需要密码方案,请通过电子邮件联系我。
文件信息
包含150多个恶意软件样本的SHA256哈希值列表,包括:
- 0b26abc692b7a2877b6b6fce6aa99b29af125b063f1c41b507362def59f8dfce
- 0c9697506df18baac4b4215e78a43926ea4bb94ea3607c851a1c2fe3b5b31f17
- …(完整列表见原文)
恶意软件存储库链接
在过去15年中,随着博客的存在,许多托管提供商由于更严格的无恶意软件政策而停止支持。这导致了链接失效,尤其是在较旧的帖子中。如果您在contagiodump.blogspot.com(或contagiominidump.blogspot.com)上找到失效链接,只需记下URL中的文件名并在Contagio恶意软件存储库中搜索即可。