由Cofense网络钓鱼防御中心Iris Suaner撰写
在以下保护的环境中发现:
(组:Microsoft EOP,Microsoft ATP,思科Ironport和Proofpoint)
Cofense网络钓鱼防御中心(PDC)发现了一系列新的复杂攻击浪潮,利用了使用多层技术的法律流程的法律收据来分发和执行Sapphière。威胁尤其集中在拉丁美洲的组织上,在拉丁美洲,威胁参与者以宝贵的数据或关键基础设施为目标。攻击的复杂性在于它绕过传统安全措施的能力,包括过滤企业邮箱和防病毒解决方案,通过与法律问题相关的合法沟通中伪装自己。
此攻击使威胁参与者可以获得对目标系统的未经授权访问。通过将Sapphirerat纳入明显的官方法律文件中,攻击者采用社会工程策略来欺骗受益人,以执行有用的恶意指控。一旦处决,Sapphirerat允许威胁参与者进行各种恶意活动。这种先进的持久威胁强调了受影响部门的警惕性,强大的安全协议和意识的需求。
图1:在此运动中看到的企业邮箱的主体。
如图1所示,该企业邮箱介绍了“ Cobro de por Mora”对象线,该物体从西班牙语转换为“滞纳金”,旨在为接收者创造紧急感觉。电子邮寄组织包括旧法律办公室的详细信息,被确定为“波哥大的Juzgado Segundo Municipal Civil”或“波哥大第二个市政民用法院”。他还指出,法院已提起有关受益人未解决的债务的法律诉讼。此外,该企业邮箱要求收件人检查并签署所附文件,以加强欺诈性叙述。
图2:初始威胁向量。
如图2所示,威胁参与者提供了有关如何检查和签署相关文档的详细说明,该文件还包括文档的密码,试图在e-Mail中添加合法性。但是,这些说明包括将接收者重定向到恶意区域的URL。该区域是专门设计的,以适应和提供恶意软件,从而促进攻击者的目标,以妥协接收者的系统,如图3所示。
图3:超链接着陆页下载有效载荷。
当收件人点击恶意链接时,它将被重定向到包含标记为下载的突出按钮的网页。通过单击此按钮,下载压缩的.rar文件,该文件将自动保存在系统的默认下载目录中。网页的确切布置以及下载按钮的外观可在图3中看到,这说明了攻击者如何设计界面以使其显得合理,并鼓励收件人下载。
初始下载:
单击“网页”按钮时,触发了.rar文件的下载过程。图4显示了下载的文件,突出了该过程的透明且可能具有误导性的性质。下载按钮的设计和行为可以给人以合法性的印象,从而增加接受者的程序概率而不怀疑。
图4:file .rar从默认下载目录下载
如图5所示,在使用消息主体中提到的密码提取.rar文件后,揭示了另外两个.rar文件。
图5:从.rar文件中提取的有用目标。
一旦提取的.rar文件分为两个部分,每个部分包含图6中所示的相同可执行文件。但是,如果缺少两个.rar文件之一,则不能从一个或另一个或另一个中提取.exe文件文件。
图6:从.rar文件提取的可执行文件的付费。
技术分析:
如图7所示,当执行Sapphirerat恶意软件时,它会通过执行初始配置任务来启动。这些任务包括解开自身的包装以及适合代码注入的目标过程的识别。之后,saphirat生成合法的窗口过程 regsvr32.exe并向其注入一部分恶意代码。该技术允许恶意软件通过在信心系统中掩盖其活动来逃避检测。然后,它将生成Windows Child Windows,powershell.exe和conhost.exe的其他过程,以下载并执行其他有用的负载。
图7:文件执行。
图8:在合法的Windows过程中提取的链条。
图9:该活动的遥远连接位置,位于连锁店。
图8和9列出了从regsvr32.exe过程中提取的链,揭示了恶意软件活动的关键指标。这些渠道概述了恶意软件的行为和操作,尤其是在他将恶意代码注入Regsvr32.exe过程中的阶段。
图10:建立连接的遥远地址。
图10显示了通过恶意软件建立的网络连接,提供了有关与之通信的终止点的详细信息,例如连接状态和与地址联系的端口。终止点表示恶意软件用于数据交换,接收命令或其他恶意活动的目标服务器或系统。该连接是恶意软件操作中的关键链接,使其可以与其控制和控制基础架构或其他外部资源进行交互。
图11:最初执行后广告系列中的其他常规电视。
如图11和12所示,恶意软件在Windows任务日历中创建了一个自动化任务,该任务立即启动了位于AppData \ Roaming文件夹中的程序。此任务定义为无限期的一分钟间隔执行。同时,恶意软件还将.DRV文件放在AppData的网站上,以获得高特权并获得持久性,从而使其成为进行长期和隐形攻击的有效方法。
图12:在AppData文件夹中找到的.DRV文件的位置。
结论
总之,威胁参与者对详细说明的使用和合法的外观目的地页面展示了攻击的复杂性,导致接收者进入恶意领域,以提供恶意软件。这凸显了需要警惕网络钓鱼尝试,验证企业邮箱的内容和链接以及可靠的网络安全实践的必要性。此外,Saphirerat由于其隐形,多功能性和维护妥协系统持续访问的能力而代表了一个重大威胁。它的模块化设计允许量身定制攻击,使其成为严重的风险。这突出了主动安全措施的重要性,包括威胁检测,系统更新和员工意识以减轻这些威胁。
CIO
|
类型 |
信息 |
|
文件名: MD5: SHA256: 尺寸: |
documents_caso_9.rar DDC37A23988A9C86CD4B0F85A667396 582CA9B2B5B8F8E5F79185F60A6893EC782527E464F037360678FC61E513DCD222 1,104,216字节 |
|
文件名: MD5: SHA256: 尺寸: |
AD48273605918347192073865182749015637294826479518002.PART1.RAR 68EACFA360F5936CC121EA64CBAFA6D9 D2FBC247F3F5E8BEC0F7A282B6EA1A0D650CB86DE337BD8A4BE292F9A7E959 1,000,000字节 |
|
文件名: MD5: SHA256: 尺寸: |
AD48273605918347192073865182749015637294826479518002.PART2.RAR 63D7F161CF9FB13C69E73D95B5F6D32 06C1D2EA250D4C6453675091B1064154068C69ED6F01DE7DE7D00F5851D7AC666BA1 101,457字节 |
|
文件名: MD5: SHA256: 尺寸: |
AD48273605918347192073865182749015637294826479518002.EXE E2909CE9F9ACF027481CBA55C71F8253 DA32159B27065337A699264DA478B7C99F8FBB4F00617061B9A5B5397BD5973 1,224,306字节 |
|
URL |
IP |
|
hxxps:// upload(。)nolog(。)cz / dlownload / a54ffb1804fb1044 /#cl79fplbduu45qndy_is6a |
93(。)185(。)97(。)211 |
|
KZH83HFM0EOVZ7ACSNIOZ(。)Duckdns(。)org |
66(。)94(。)121(。)207 |
Cofense引用的所有第三个标记,无论是否以徽标的形式,名称的形式,产品形式的形式,仍然是其各自持有人的财产,并且使用这些品牌都不表明Cofense与品牌持有人之间的任何关系。本博客中有关最终点保护的旁路的所有观察结果都是基于在特定的一组系统配置上的给定时刻的观察结果。随后的更新或不同的配置可以有效阻止这些威胁或类似威胁。过去的表现并不能表示未来的结果。
名称和徽标Cofense®和Phishme®以及此博客上显示的Cofense服务的任何其他产品或名称或徽标是Cofense Inc.的品牌或注册商标。
