我们的威胁猎手一直在忙著搜寻最近公开的 Microsoft Office 零日远端代码执行漏洞 (CVE-2022-30190)
的滥用事件。在调查过程中,他们发现一名威胁行为者似乎在一个位于南太平洋国家帛琉的「澳大利亚 VOIP 电信服务提供商」上托管了恶意载荷。
进一步分析显示,帛琉的目标被发送了恶意文件,当这些文件被打开时,会利用该漏洞,导致受害者的计算机访问该服务提供商的网站,下载并执行恶意软体,从而被感染。
主要观察结果
这一威胁是一个复杂的多阶段操作,利用了 LOLBAS(Living off the Land Binaries AndScripts),使攻击者能够使用 Microsoft Support Diagnostic Tool 中的 CVE-2022-30190
漏洞启动攻击。这个漏洞允许威胁行为者在不需要用户下载可执行文件的情况下运行恶意代码,这些可执行文件可能会被端点侦测系统检测到。
这款恶意软体的多个阶段均使用了合法公司的证书进行签名,以增强其合法性并降低被检测的机会。
第一阶段
下图所示的被骇网站用于托管一个名为 robots.txt
的可执行文件,该文件被伪装成「robots.txt」。我们相信这个名称是用来隐藏自己,以避免在网络日志中被检测到。使用诊断故障排除工具
(msdt.exe),该文件「robots.txt」被下载并保存为文件 (Sihost.exe),然后被执行。
第二阶段,Sihost.exe
当被重命名的「robots.txt」文件即「Sihost.exe」被 msdt.exe 执行时,它下载了攻击的第二阶段,一个哈希值为
b63fbf80351b3480c62a6a5158334ec8e91fecd057f6c19e4b4dd3febaa9d447
的加载器。这个可执行文件随后被用来下载和解密攻击的第三阶段,该加密文件被存储为「favicon.svg」在同一台网络服务器上。
第三阶段,favicon.svg
在该文件被解密后,它用来从 palau.voipstelecom.com[.]au 下载攻击的第四阶段。这些文件被命名为 Sevntx64.exe
和 Sevntx.lnk,然后在受害者的计算机上执行。
第四阶段,Sevntx64.exe 和 Sevntx64.lnk
当该文件被执行时,它从 AsyncRat 恶意软体家族中加载一个 66kb 的 shellcode;Sevntx64.exe
的签名与先前「robots.txt」中看到的被骇公司的同一证书相符。
下图显示可执行文件正在加载 shellcode。
最后阶段,AsyncRat
当可执行文件被加载后,计算机就完全被 AsyncRat 侵害;此木马配置为通过 palau[.]voipstelecom[.]com[.]au 在
443 端口与服务器通信。
AsyncRat SHA256:
aba9b566dc23169414cb6927ab5368b590529202df41bfd5dded9f7e62b91479
下图为 AsyncRat 的配置。
结论
我们强烈建议使用 Avast 软体来防护最新的威胁,并保持 Microsoft 补丁更新以保护您的 Windows 系统免受最新
CVE-2022-30190 漏洞的影响。
IOCs:
项目 | SHA256
— | —
主网页 | 0af202af06aef4d36ea151c5a304414a67aee18c3675286275bd01d11a760c04
robots.txt | b63fbf80351b3480c62a6a5158334ec8e91fecd057f6c19e4b4dd3febaa9d447
favicon.svg | ed4091700374e007ae478c048734c4bc0b7fe0f41e6d5c611351bf301659eee0
解密后的 favicon.svg | 9651e604f972e36333b14a4095d1758b50decda893e8ff8ab52c95ea89bb9f74
Sevntx64.exe | f3ccf22db2c1060251096fe99464002318baccf598b626f8dbdd5e7fd71fd23f
Sevntx64.lnk | 33297dc67c12c7876b8052a5f490cc6a4c50a22712ccf36f4f92962463eb744d
Sevntx64.exe 的 shellcode (66814 bytes) | 7d6d317616d237ba8301707230abbbae64b2f8adb48b878c528a5e42f419133a
AsyncRat | aba9b566dc23169414cb6927ab5368b590529202df41bfd5dded9f7e62b91479
额外资讯
我们成功找到了这款恶意软体的早期版本。
文件 | 哈希 | 首次出现 | 国家
— | — | — | —
Grievance Against Lawyers, Judge or Justice.doc.exe (已签名) | 87BD2DDFF6A90601F67499384290533701F5A5E6CB43DE185A8EA858A0604974 | 2022年5月26日 | 荷兰,代理
Grievance Against Lawyers, Judge or Justice (1).zip\Grievance Against Lawyers, Judge or Justice.doc.exe | 0477CAC3443BB6E46DE9B904CBA478B778A5C9F82EA411D44A29961F5CC5C842 | 2022年5月18日 | 帛琉,之前的受害者
| | | |
来自 lnk 文件的法医信息:
字段 | 值
— | —
应用程序 | Sevntx64.exe
访问时间 | 2022年5月19日 09:34:26
出生设备 MAC 地址 | 00:0C:29:59:3C:CC
出生设备文件 ID | 0e711e902ecfec11954f000c29593ccc
出生设备卷 ID | b097e82425d6c944b33e40f61c831eaf
创建时间 | 2022年5月19日 10:29:34
驱动器序列号 | 0xd4e21f4f
驱动器类型 | DRIVE_FIXED
设备文件 ID | 0e711e902ecfec11954f000c29593ccc
设备卷 ID | b097e82425d6c944b33e40f61c831eaf
文件标志 | FILE_ATTRIBUTE_ARCHIVE, FILE_ATTRIBUTE_READONLY
已知文件夹 ID | af2448ede4dca84581e2fc7965083634
链接标志 | EnableTargetMetadata, HasLinkInfo, HasRelativePath, HasTargetIDList, HasWorkingDir, IsUnicodeLocal
基本路径 | C:\Users\Public\Documents\Sevntx64.exe
位置 | 本地
MAC 地址 | 00:0C:29:59:3C:CC
计算机识别码 | desktop-eev1hc3
修改时间 | 2020年8月19日 04:13:44
相对路径 | .\Sevntx64.exe
大小 | 1543
目标文件大小 | 376368
工作目录 | C:\Users\Public\Documents
标记为,,,,
