ProMediads惡意廣告與 Sundown-Pirate漏洞攻擊套件聯手,散播勒索病毒和資料竊取病毒

趨勢科技發現一個新的漏洞攻擊套件會透過 “ProMediads”的惡意廣告活動散播。我們將這新漏洞攻擊套件稱為“Sundown Pirate”,顧名思義它的確是盜版自其前輩,這名字同時也來自於其控制台。

ProMediads早在2016年就開始活動,會利用Rig和Sundown漏洞攻擊套件來散播惡意軟體。它在今年2月中變得沒那麼活躍,但在6月16日又透過Rig漏洞攻擊套件冒出來。不過,我們注意到ProMediads惡意廣告活動在6月25日不再使用Rig而改選擇了Sundown-Pirate。

值得注意的是,迄今只有ProMediads會使用Sundown-Pirate。這可能代表Sundown-Pirate是專用漏洞攻擊套件,就跟GreenFlash Sundown漏洞攻擊套件也只被用在ShadowGate攻擊活動一樣。

我們的分析和監測顯示,Sundown-Pirate借用了前輩Hunter和Terror漏洞攻擊套件的程式碼。但其JavaScript的混淆模式與Sundown相似。這樣混合的能力讓我們認為它是新的品種。

圖1:ProMediads的後端控制台出現 “PirateAds – Avalanche Group”的登錄提示。
圖1:ProMediads的後端控制台出現 “PirateAds – Avalanche Group”的登錄提示。

 

 

圖2:ProMediads惡意廣告範例
圖2:ProMediads惡意廣告範例

 

殭屍網路 /資料竊取病毒和 PoS惡意軟體到勒索病毒

ProMediads惡意廣告利用Sundown-Pirate漏洞攻擊套件,讓受害者電腦感染各種惡意軟體。例如在6月25日,Sundown-Pirate會植入Trojan SmokeLoader(TROJ_SMOKELOAD.A),它會安裝資料竊取殭屍網路感染病毒Zyklon(TSPY_ZYKLON.C)。

直到7月12日,這漏洞攻擊套件變成散播端點銷售(PoS)惡意軟體LockPOS。LockPOS因為Flokibot攻擊活動而知名,是另一個針對銷售端點/信用卡資料的惡意威脅。

我們還發現Sundown-Pirate散播的LockPOS帶有額外的數位貨幣採礦軟體CPUMiner-Multi。我們不認為CPUMiner是想要針對PoS系統;它只是利用LockPOS作為載體或管道來將中毒系統變成採礦機器。LockPOS會變成隱藏後門來從其C&C伺服器取得殭屍網路主人的其他命令。

在7月13日,Sundown-Pirate開始植入Stampado勒索病毒(RANSOM_STAMPADO.K)。

圖3:Sundown-Pirate在2017年7月12日散播LockPOS
圖3:Sundown-Pirate在2017年7月12日散播LockPOS

 

圖4:LockPOS下載CPUMiner並注入一個explorer程序
圖4:LockPOS下載CPUMiner並注入一個explorer程序

 

 

ProMediads,SmokeLoader和 Flokibot/LockPOS:沒有獵物就沒有報酬?

自2016年以來, ProMediads利用漏洞攻擊套件散播SmokeLoader殭屍網路,後者被認為與ProMediads運作者關係密切。而最近,殭屍網路開始部署與Sundown-Pirate相同的LockPOS變種。

kafeine在2016年8月分享到,ProMediads運作者會散播Flokibot(它在2016年9月於地下論壇販賣前)。Flokibot攻擊活動和ProMediads現在都會散播LockPOS。這些關聯似乎會受到這些網路犯罪分子間關係的影響 – 至少在惡意軟體方面是如此。

圖5:ProMediads在2017年1月24日散播SmokeLoader
圖5:ProMediads在2017年1月24日散播SmokeLoader

 

 

圖6:SmokeLoader殭屍網路在2017年7月中前會安裝LockPOS
圖6:SmokeLoader殭屍網路在2017年7月中前會安裝LockPOS

 

 

新瓶裝舊酒?

Sundown-Pirate使用了三個IE瀏覽器漏洞跟一個Flash漏洞:

不幸中的大幸是,漏洞越多,修補速度就越快。而這些漏洞攻擊就不會那麼有用,因為使用者和企業會變得更加主動和注意安全。這可以從近來漏洞攻擊套件下降得到證明,特別是零時差和較新漏洞的使用。

此外,這些漏洞攻擊在ChromeFirefox瀏覽器上不會成功。Flash在這些瀏覽器上預設停用,即使啟用,其安全機制仍然可以封鎖惡意內容,例如Firefox的Web應用程式介面(API)和保護模式以及Chrome的沙箱技術

但Sundown-Pirate所帶來的大量惡意軟體仍然讓它具備相當的威脅性。漏洞攻擊套件比以往任何時候都更加凸顯出保持系統更新的重要。系統和網路仍然容易受到安全漏洞威脅(即便修補程式已經出現了很久),給壞份子更大的空窗期來進行攻擊。

建議資安專家和IT/系統管理員在企業系統和網路內加多一層安全防護。防火牆、入侵偵測和防禦系統、虛擬修補、網址分類和強制性的修補程式管理政策都是針對漏洞攻擊最佳實作的一部分。

 

趨勢科技解決方案

漏洞攻擊套件會利用系統或軟體內的安全漏洞,這也是為什麼多層次安全防護相當重要 – 從閘道、端點、網路和伺服器。具備XGen端點安全防護的趨勢科技 OfficeScan™具有漏洞防護功能,可以在修補程式部署前防護端點上已知和未知的漏洞攻擊。趨勢科技的端點解決方案(如趨勢科技Smart Protection Suites 和Worry-Free Pro)可以偵測和封鎖惡意檔案及所有相關惡意網址來保護使用者和企業免於這些威脅。

 

入侵指標(IoC):

 

與Sundown-Pirate相關的網域/IP地址:

  • 7wu93ksh29qpl70nas0[.]win
  • 178[.]159[.]36[.]91

 

SmokeLoader C&C網域:

  • livespirit[.]at
  • springhate[.]at

 

LockPOS C&C網域:

  • p00l[.]livespirit[.]at

 

與ProMediads相關的網域:

  • multiplus[.]site

 

相關哈希值(SHA-256):

  • 4199d766cee6014fd7a9a987b4ccea3f8d0ed0fba808de08b76cda71e40886b5(A)
  • f569172166a19c06b3efa1f75d02b143539cd63a53d67bc066d28f8fd553ba8e(C)
  • 3fa54156ae496a40298668911e243c3b7896e42fe2f83bc68e96ccf0c6d59e72(A)
  • 931092a92ffaa492586495db9ab62dd011ce2b6286e31e322496f72687c2b4ef(HKTL_COINMINER)
  • 109e89148945d792620f4fc4f75e6a1901ba96cc017ffd6b3b67429d84e29a3c(K)

 

感謝kafeine與我們一同合作來進行此項研究分析

 

@原文出處:ProMediads Malvertising and Sundown-Pirate Exploit Kit Combo Drops Ransomware and Info Stealer 作者:Joseph C Chen(網路詐騙研究員)