資料偷竊軟體攻擊以色列醫院

捷徑(LNK)檔越來越被網路犯罪分子所愛用趨勢科技已經看到許多威脅利用惡意LNK檔案:從知名的勒索病毒家族、常用於針對性攻擊後門程式,以及銀行木馬,一直到垃圾郵件,甚至是針對LNK本身漏洞的攻擊碼。這些惡意威脅通常會利用合法工具讓情況變得更嚴重,如濫用PowerShell或是腳本自動化工具AutoIt。所以當我們在以色列醫院偵測到有資料竊取程式利用LNK檔也就絲毫不奇怪了。

醫療機構被認為是網路犯罪分子的搖錢樹,因為具備了利潤豐厚的來源 – 擁有可以在地下市場貨幣化的個人身份資料。經過初步調查顯示,任何瀏覽器相關資訊(如登錄憑證)都可以被偷走,這對可以用瀏覽器操作的管理系統和應用程式來說相當重要。

趨勢科技看到它試圖進入系統和區域網路內的分享資料夾。另一個值得注意的是,它結合了蠕蟲的散播能力以及隱身能力。

趨勢科技分析仍在進行中,當我們找到關於此威脅的詳細資訊將會持續更新本篇文章。下面是目前所知的資訊:

透過蠕蟲散播。惡意軟體的初步分析顯示會透過蠕蟲散播。它將自己(包括捷徑檔、非惡意可執行檔AutoIt,以及惡意AutoIt腳本)複製到中毒系統的根目錄 – C:\WinddowsUpdated\<file copy>。

偽裝成Windows更新。該捷徑檔偽裝成瀏覽器和Windows更新程式,網頁3D製作工具,並鏈結到系統的下載和遊戲資料夾。

經由AutoIt的執行。AutoIt是合法的腳本語言軟體/可執行檔,用來為Windows內許多程式進行自動化動作(即巨集)。然而它常會被濫用來包裝各種遠端存取木馬(RAT)。在這種情況下,合法的AutoIt可執行檔成為執行惡意命令的輔助工具。事實上,我們在2014年就已經在IPPEDO蠕蟲(WORM_IPPEDO.B)見過類似的惡意用法。

收集系統資訊。惡意軟體會執行此命令來取得系統資訊:C:\WINDOWS\system32\cmd.exe /c SystemInfo

在中毒系統上產生LNK檔。該LNK檔被嵌入以下惡意命令:

cmd.exe /c start ..\WinddowsUpdateCheck\WinddowsUpdater.exe “..\WinddowsUpdateCheck\WinddowsUpdater.zip” & exit

此威脅似乎是經過相當程度混淆化的資料竊取程式。我們目前正在分析的樣本經過高度混淆化,有效載荷經過數層的加密。我們所看到樣本包含四個惡意LNK檔。這些LNK文件會發出命令來讓AutoIT執行.TNT和.EXE檔案。根據我們到目前為止所觀察到的行為,它似乎是在竊取瀏覽器相關資訊和進行鍵盤側錄。因為醫療機構內資訊的敏感性,這相當有可能。

威脅形勢正在不斷地成熟和多樣化,防護組織安全的IT/系統管理員和資安專業人員也該如此。採取以下安全對策:安裝修補程式並保持系統更新、執行最小權限原則、防護閘道來減少受攻擊面,透過多層次安全防護機制來進行縱深防禦 – 包括端點網路伺服器

入侵指標(IoCs):

01e03241c42b12381e5c3ceb11e53f6c5c6bf0fa – WORM_RETADUP.A

1186e8d32677f6ac86a35704c9435ccd9ffa8484 – WORM_RETADUP.A

479dcd0767653e59f2653b8d3fcddb662a728df4 – LNK_RETADUP.A

580ff21d0c9d8aeda2b7192b4caaccee8aba6be4 – LNK_RETADUP.A

5f32f648610202c3e994509ca0fb714370d6761d – LNK_RETADUP.A

63ac13c121e523faa7a4b871b9c2f63bea05bbff – LNK_RETADUP.A

68d90647cf57428aca972d438974ad6f98e0e2b2 – LNK_RETADUP.A

ce1b01eccf1b71d50e0f5dd6392bf1a4e6963a99 – LNK_RETADUP.A

進一步分析顯示,惡意軟體會讓執行檔和偽裝成另一檔案類型的同檔名檔案一起出現。例如,檔案WinddowsUpdater.exe會與WinddowsUpdater.zip一起。雖然.EXE檔是合法AutoIt檔案,.ZIP檔則是包含實際有效負載的加密資料檔。這就是為什麼上述LNK檔內命令只用一個參數來跑執行檔,它跟有效載荷檔案的名稱相同。

 

檢視它的程式碼,該惡意軟體包含以下字串,這顯示它可能試著收集中毒系統的資訊:

  • @ComputerName
  • @UserName
  • @LogonDomain
  • DriveGetSerial(“C:”)
  • @IPAddress1
  • EnvGet(“OS”) and other os related strings
  • @OSLang
  • @OSVersion
  • @OSBuild

 

它也會用HTTP連到以下網域:

  • hxxp://palestineop[.]com/myblog/user

 

進一步深入研究發現,這網域似乎在2016年11月就已經註冊,並且有證據顯示在註冊後短短數天內就有釣魚網頁存在於此網域的根目錄。這個釣魚網頁會誘騙使用者點入看似會連到Yahoo郵件服務的連結,但其實會連到以下網址:

  • newsofpalestine[.]com/newss/gsan

 

這第二個網址在我們試圖存取時已經不存在。但我們設法找到證據顯示此網域過去曾存在一些新聞內容還有一些惡意軟體。因此我們相信newsofpalestine[.]com/newss/gsan是用來騙取郵件帳號密碼的詐騙網頁。

進一步分析顯示主要惡意軟體是蠕蟲型態的後門程式(WORM_RETADUP.A)。這相當特別,通常用在此類攻擊的多數遠端存取木馬/後門程式都需要靠其他惡意組件幫忙散播。

RETADUP的後門行為包括:

  • 下載檔案
  • 連到網址/命令與控制(C&C)伺服器
  • 開啟命令列(CMD)來執行命令
  • 安裝鍵盤側錄程式
  • 擷取螢幕畫面
  • 從瀏覽器Mozilla Firefox、Opera和GoogleChrome取得密碼
  • 啟動、終止和重新啟動程序
  • 在特定時間發出睡眠命令
  • 關機、重新啟動和登出系統
  • 在對話框內顯示訊息
  • 透過C&C通訊從特定網路位置取得更新
  • 重新執行自己的副本

RETADUP另一值得注意的特性是隱身能力。它有一串關於防毒(AV)產品,腳本檔名,分析、鑑識和除錯工具以及沙箱和虛擬機器的清單。如果惡意軟體偵測到這些就會自毀。它的散播行為是將自己複製到所有磁碟,包括可移除裝置內的所有資料夾。

有趣的是,它也會檢查跟網路支付和匯款相關的特定LNK檔是否存在,顯示該惡意軟體還可以竊取這些網站的資訊:

  • C:\WinddowsUpdateCheck\ebay.lnk
  • C:\WinddowsUpdateCheck\hamazon.lnk
  • C:\WinddowsUpdateCheck\hebay.lnk
  • C:\WinddowsUpdateCheck\hmoneygram.lnk
  • C:\WinddowsUpdateCheck\hpaypal.lnk
  • C:\WinddowsUpdateCheck\hpayza.lnk
  • C:\WinddowsUpdateCheck\hskrill.lnk
  • C:\WinddowsUpdateCheck\hukash.lnk
  • C:\WinddowsUpdateCheck\hwestern union.lnk
  • C:\WinddowsUpdateCheck\moneygram.lnk
  • C:\WinddowsUpdateCheck\paypal.lnk
  • C:\WinddowsUpdateCheck\skrill.lnk
  • C:\WinddowsUpdateCheck\ukash.lnk
  • C:\WinddowsUpdateCheck\western union.lnk

 

@原文出處:Information Stealer Found Hitting Israeli Hospitals