恶意挖矿团伙“小黄鸭”溯源分析
近期,天际友盟双子座实验室研究人员监测到多起通过钓鱼邮件传播恶意挖矿程序的攻击活动,分析发现其背后攻击者在不断更新攻击手段。初步攻击目标带有针对性,在2018年11月通过攻击驱动人生更新服务器,感染数⼗万台电脑,植入门罗币挖矿程序。
随后攻击者更新了恶意程序,增加了计划任务,实现持久化及更新。特征总结为:
1.使用开源工具脚本、新披露的漏洞POC、哈希传递攻击来增强横向扩展能力。
2.对恶意脚本进行了伪装和加密混淆,关闭Windows Defender实时检测及Outlook的安全告警以隐藏自身。
3.利用poweshell加载程恶意文件与C2通讯,发送用户账号,系统信息,恶意负载执行状态等,获取恶意代码。
4.通过漏洞利用、Outlook邮件、移动存储设备进行传播。
5.利⽤移动存储设备传播(CVE-2017-8464):
通过将恶意DLL与快捷⽅式(LNK)⽂件⼀起植⼊⽂件夹中,从⽽感染了可移动USB驱动器和⽹络驱动器。当在会解析.lnk快捷⽅式⽂件的任何应⽤程序中打开驱动器时,快捷⽅式将执⾏恶意的DLL组件。
6.利⽤Outlook邮件传播:
借助新冠疫情,新增部分与新冠有关邮件主题,随机选取邮件主题及内容,发送给感染主机上的所有Outlook联系⼈。⽣成恶意⽂档(CVE-2017-8570,基于DDE),包含恶意JS⽂件。
7.涉及开源脚本:xmrig挖矿程序,freeRDB, Get Pass Hash, SMBGhost。
根据C2通信中User-Agent出现的字段,研究人员将其命名为“小黄鸭”。结合 “永恒之蓝”下载器,蓝茶,MTLminer,“驱动⼈⽣”⽆⽂件挖矿,Beapy,LemonDuck,柠檬鸭等攻击活动情报中披露的资产及攻击方式,可判断其为同一组织,且其时间跨度,攻击复杂度和多样性,迭代更新/升级的频率远超以往发现的同类型威胁攻击。
值得注意的是,powershell可利用的漏洞包括:永恒之蓝系列漏洞,SMBGhost漏洞,Windows搜索远程命令执行漏洞CVE-2017-8464,Office远程代码执行漏洞CVE-2017-8570(“沙虫”二代)。
数字货币 SMBGhostxmrigfreeRDBGet Pass Hash
情报来源: 天际友盟
2020/06/10
更新来源: 天际友盟