针对法语非洲国家的大型金融机构攻击活动

2023-11-24 00:54:16 AnQuanKeInfo 来源：ZONE.CI 全球网 0 阅读模式

最近的研究表明，中非和西非85%以上的金融机构多次遭受破坏性的网络攻击，在其中的四分之一案例中，信息泄露、身份窃取、汇款欺诈和伪造支票取款等入侵网络系统活动给金融和银行业带来了严重的影响。

1. 概述

本文分析了一个名为DangerousSavanna的恶意活动，该活动在过去两年中一直针对非洲地区的多个主要金融服务机构，其背后攻击者使用了鱼叉式网络钓鱼作为初始感染的手段，向至少五个不同的法语非洲国家（科特迪瓦、摩洛哥、喀麦隆、塞内加尔和多哥）的金融机构员工发送带有恶意附件的邮件，在过去的几个月里，这场活动主要集中在科特迪瓦。根据受害者特征以及TTPs（技术、战术、过程）判断，可以大致确定DangerousSavanna的动机可能是金融。

DangerousSavanna倾向于在受感染的环境中安装相对简单的软件工具，这些工具都是基于开源项目（如Metasploit、PoshC2、DWservice和AsyncRAT）自己编写的。攻击者的创造力在初始感染阶段就表现出来，他们持续地追踪目标公司的员工，不断地改变利用各种恶意文件类型的感染链，从自写的可执行加载程序和恶意文档，到各种组合的ISO、LNK、JAR和VBE文件，攻击者不断演变的感染链反映了过去几年威胁形势的变化，因为感染媒介变得越来越复杂和多样化。

本文描述了攻击者的 TTP、感染链和诱饵的演变以及基础设施的变化，还讨论了该组织在获得对目标内部网络的初步入侵后所进行的后感染活动。

图1：目标金融服务员工的位置，都在法语非洲国家

2. 感染链

病毒感染始于法语写的鱼叉式钓鱼邮件，它通常发送给目标公司的几名员工，这些公司都是上述非洲国家的大中型金融机构。在攻击活动的早期阶段，钓鱼邮件是通过Gmail和Hotmail服务发送的，为了增加可信度，攻击者开始使用相似的域名，冒充非洲其他金融机构，如突尼斯外国银行、莱利银行等。去年，攻击者还使用了一家当地保险咨询公司的电子邮件地址，该公司的域名没有SPF记录。

图2：一个钓鱼邮件示例，攻击者冒充公司的员工

钓鱼邮件的附件类型以及随后的感染链，也在整个活动时间范围内发生了变化，从2020年伪装成pdf的自编写可执行加载程序，到2022年的各种文件类型。在微软决定默认阻止从互联网获得的宏之后，DangerousSavanna很快加入了恶意攻击的趋势，从“经典的”启用宏的文档转向尝试其他文件类型。

图3：DangerousSavanna 感染链、基础设施和有效载荷的变化概览

3.恶意文件

自2021年以来，这些攻击者一直在他们的钓鱼邮件中附加恶意文档，这些文档要么是带有宏的Word文档，要么是带有远程模板(或者在某些情况下是几层外部模板)的文档，或者是诱使受害者下载然后手动执行下一阶段的 PDF 文档。所有这些文档，无论是MS Office还是PDF都是用法语编写的，并且共享相似的元数据，例如用户名digger、hooper davis和HooperDEV。

图4：攻击中使用的诱饵文件

基本流程使用带有宏的Word 文档，在 Startup 文件夹中放置一个 LNK 文件，执行LNK文件时，它会从服务器下载并执行 PowerShell 命令，这些命令会绕过 AMSI 并最终安装 PoshC2 植入程序。

图5：带有宏的钓鱼文档-感染流程

宏包含大量未使用的代码，使其分析复杂化。主要功能的代码很简单，只包含混淆字符串和混淆符号的去混淆功能，以创建用于下载PoshC2 植入程序的 LNK 文件：

在这次攻击活动中，整个流程采用了多种变体:

在某些情况下，类似的宏会将 LNK 文件放到桌面而不是启动文件夹，LNK 文件名通常为IMPORTANT_2022.lnk，需要用户操作才能运行。桌面和启动项中的 LNK 方法都依赖于受感染机器上的附加操作，因此可以避免在沙箱环境中自动执行可疑的 PowerShell。
初始附件可能是一个DOCX 格式的文档，用于下载执行类似宏的外部模板。在某些情况下，可以观察到在投递带有实际宏的恶意文档之前曾下载了许多远程模板。
一些早期版本的宏直接运行 PoshC2 PowerShell 释放器，跳过了带有 LNK 文件的步骤。
包含宏的文档通常以容器文件的形式投递，例如 ZIP 和 ISO 文件。

此外，攻击者积极使用PDF文件诱导用户下载并手动执行下一阶段操作，这些是通过VBE 或 JAR 文件执行相似操作直接或通过LNK 文件加载 PoshC2 植入程序。

(1)PoshC2

最近，攻击者主要依靠PoshC2植入程序来控制受感染的机器，通常情况下，在初始感染启动PowerShell从名为paste.c-net.org的类Pastebin的服务或专门的C&C服务器下载代码后，它用PowerShell PoshC2植入程序进行响应，通常由三个采用字节编码的块组成（都是PoshC2的标准模块），被执行的前两个PowerShell代码块包含两种非常相似的AMSI绕过技术。

第三个模块包含一个后门，负责与C&C服务器通信，它通过一个名为SessionID的cookie循环向服务器发送请求，该cookie带有一个base64编码的AES加密字符串，其中包含受害者的信息:

“$env:userdomain;$u;$env:computername;$env:PROCESSOR_ARCHITECTURE;$pid;$procname;1”

该脚本期望C&C的响应也是一个PowerShell脚本，因为它会将结果传递给Invoke-Expression 命令。

(2)AsyncRAT

早在2021年10月，观察到一个案例，该活动的一个恶意文件访问了paste.c-net.org，下载了一个PowerShell脚本，其在内存中加载一个AsyncRAT组件。然而，这个AsyncRA组件完全没有被混淆，事实上，它包含一个带有CN为”AsyncRAT Server “的服务器证书，表明攻击者几乎没有考虑过对这个开源工具进行任何修改。

图6：GitHub上的AsyncRAT 源码与反编译的 AsyncRAT（右侧）

(3)较早的恶意文件

最早的恶意文件版本，日期为2021年上半年，有不同的宏，其混淆程度明显更高，包含超过1MB的垃圾代码。

图7：2021 年 5 月文档(md5:a09b19b6975e090fb4eda6ced1847b1) 的宏（1.7MB）的Vba2graph可视化部分，唯一的功能流程从 Document_Open 开始

其中一个名为Nouvelles_Dispositions_Sanitaires.doc（新的卫生规定.doc）的文件使用一个宏从4sync.com（用于在不同设备之间同步文件的云存储）下载一个PowerShell脚本，然后在内存中加载并执行来自https://3.8.126[.]182/minom.txt的程序集。早在2021年5月，InQuest在一篇博客中就已经详细介绍了一个非常类似的文件，它也使用4sync来安装一个名为Billang的自定义后门，这是一个.NET可执行文件，它的PDB路径为：C:\Users\wallstreet\source\repos\Billang\Billang\obj\Release\Billang.pdb。它收集关于它所运行的机器的一些信息，将其发送到远程服务器，并下载另一个名为liko（或者根据PDB路径称为WindowsFormsApp3）的.NET可执行程序。除其他功能外，该程序将字节反转的 Meterpreter HTTPS shellcode 注入到mspaint.exe进程。这个二进制文件的另一个有趣的特性是，shellcode 仅在检测到鼠标点击后才会启动，这可能是作为一种反沙箱特性。

图8：从WindowsFormsApp3.exe注入shellcode代码到mspaint.exe

在搜索更多相关文件时，发现了用c#编写的其他可执行文件以类似的方式启动一个进程，如notepad.exe或mspaint.exe，并将shellcode注入到这些进程中，注入代码不是嵌入在可执行程序里面，而是从C&C服务器下载的。这些简单的注入器可执行程序在功能上差别不大，它们之间的区别在于混淆方法:一些是用SmartAssembly封装的，而另一些包含混淆的变量名称。然而，观察到的所有shellcode有效载荷都是Meterpreter shellcode，并且在那些包含其调试信息的可执行文件中，都引用了以C:\Users\wallstreet\开头的PDB路径。

(4)可执行的释放器

在活动的早期，从2020年底到2021年初，攻击者依靠了用.NET中编写的小工具而不是文档。附在钓鱼邮件中的第一阶段可执行释放器被伪装成一个具有PDF图标的文件，有时名称中还包含两个扩展名（例如，Nouvelles Reformes 2021.pdf.exe，英为是 “New Reforms 2021.pdf.exe”）。事实上，这些简单的下载程序使用批处理脚本(或cmd命令)和PowerShell从文件共享平台(如4sync.com或filesend.jp)检索第二阶段加载器并执行它们。在这个特定的例子中，该释放器创建并运行一个bat文件，通过COM劫持执行AMSI绕过，然后使用PowerShell下载下一阶段的加载器，并将其命名为WinTray.exe保存在磁盘上。

图9：Nouvelles Reformes 2021.pdf.exe(7b8d0b4e718bc543de4a049e23672d79)简化的感染链

第二阶段的可执行程序的目的是注入最终的有效载荷，即通常从硬编码地址下载的Meterpreter shellcode，注入到正常的Windows进程。这些工具与InQuest讨论的工具类似，除非它们的调试信息被删除，否则也包含唯一用户名wallstreet的PDB路径。

在2021年末，一些感染链开始使用C#可执行程序来执行更简单的操作，只需启动PowerShell便可从服务器上拉出下一个阶段。当时，该活动已经在使用PoshC2植入程序而不是Metasploit有效载荷，但这些工具的PDB路径仍然指向wallstreet(例如：C:\Users\wallstreet\source\repos\PDF Document\PDF Document\obj\Release\PDF Document.pdb)。

4. 后感染活动

当最初的PowerShell后门连接到C&C时，攻击者自动发送AMSI绕过命令和PoshC2植入程序，然后再下载第二阶段植入程序以在PowerShell会话中添加额外的功能。接下来，攻击者建立持久性并进行侦察，同时还运行一些命令以试图逃避检测。

(1)规避技术

为了逃避检测，攻击者首先运行两个额外的AMSI绕过命令，然后，他们使用PoshC2 Inject-Shellcode模块将Sharpv4 shellcode注入到RuntimeBroker.exe和iexpress.exe这两个内置的Windows二进制文件中，它包含一个对AmsiScanBuffer（AMSI绕过技术）和EtwEventWrite（Windows绕过技术的事件跟踪）打补丁的DLL。

图10：来自攻击者 shellcode 的 DLL，用于对AmsiScanBuffer 和 EtwEventWrite打补丁

图11：显示 shellcode 注入 RuntimeBroker.exe 的事件日志

然后加载base64编码的.net可执行程序，其中包含base64编码的PoshC2 PowerShell植入程序，整个攻击链最终允许攻击者以一种更隐蔽的方式重新建立后门，并作为一个已知的Microsoft进程运行。

(2)持久性

要建立持久性，攻击者将一个名为WinComp.bat的批处理程序放到磁盘上。首先，它搜索进程iexpress.exe，运行注入的shellcode。如果进程存在，则脚本终止。否则，它会使用一个混淆的命令启动PowerShell后门，并连接到一个由攻击者控制的C2服务器:

此外，攻击者还会把另一个名为slmgr.vbs的脚本放到磁盘上，用于执行WinComp. bat。为了实现持久性，攻击者创建了一个计划任务，每5分钟运行一次slmgr.vbs，以及两个不同的计划任务，每6小时执行一次WinComp.bat。在安装完计划任务后，攻击者在脚本中添加一个隐藏属性，将其隐藏起来，避免被检测到:

(3)侦察

随着时间的推移，将会发送多个侦察命令以收集有关受感染主机及其网络的其它信息，这包括来自第二阶段PoshC2植入程序的抓取截图的命令，简称Get-Screenshot，攻击者还发送并执行一个名为Get-Ipconfig的脚本(根据脚本中的注释，该脚本似乎源自微软现已不存在的TechNet Gallery)，从Win32_ComputerSystem WMI类中收集网络信息。此外，攻击者使用另一个名为Get-ComputerInfo的开源脚本，它不同于PowerShell中的内置cmdlet，这个脚本从多个WMI类中收集数据，包括有关计算机硬件和网络的信息。攻击者发送的另一个脚本叫做Invoke-Arpscan，它使用c#对机器上发现的所有网络接口进行ARP扫描。

最后，攻击者试图创建svchost.exe进程的内存转储，很可能从其中提取现有的RDP凭据。

5. 其它工具

尽管攻击者最初严重依赖PoshC2模块并广泛使用其特性，但在一段时间后，攻击者开始下载一些其它的有效载荷。其中一个有效载荷是一个名为DWService的合法的远程访问工具，它伪装成一个英特尔服务。基于界面的远程访问工具可能给攻击者更多手动操作键盘的自由且被发现的机会也更少。

攻击者在受感染的主机上执行的另一个有趣的操作是安装Windows自带的Linux子系统(WSL)，在运行一些工具时，攻击者经常使用WSL来逃避检测。在具体的案例中，攻击者在WSL中安装了一个开源渗透测试工具CrackMapExe，用于对网络进行SMB扫描。

在与此活动相关的其他工具中，发现了一个名为TITAN.exe的可执行文件，这是一个名为Backstab的开源反EDR工具，该工具使用SysInternals Process Explorer驱动程序来杀死受保护的反恶意软件进程，该工具是在路径C:\Users\wallstreet\Downloads\Programs\Backstab-master\x64\Debug\Backstab.pdb下编译的。这揭示了wallstreet攻击者可能直接从GitHub下载了它，并在Visual Studio的默认调试配置中编译了它。除了TITAN.exe，还发现了一个名为POPULAIRE.exe的可执行程序，内部称为LoggerStamp (C:\Users\wallstreet\source\repos\LOggerStamp\Release\LOggerStamp.pdb)，这是一个基本的键盘记录器，它利用SetWindowsHookExW API对所有点击注册一个回调函数，将它们写入与可执行文件同一目录下的一个名为keylogger.log的文件。该工具没有任何C&C通信机制，而是依靠其他现有的后门将收集到的数据发送给攻击者。

6. 受害者

DangerousSavanna的目标是非洲多个大中型金融相关企业，提供广泛的银行产品和服务，不仅包括银行，还包括保险公司、小额融资公司、金融控股公司、金融管理公司、金融咨询服务等。尽管他们的工具复杂程度相对较低，但通过观察到的迹象可能表明，攻击者设法感染了他们的一些目标。这可能是由于攻击者不断试图渗透。如果一个感染链不起作用，他们就会改变附件和诱饵，一次又一次地瞄准同一家公司，试图找到一个入口点。通过鱼叉式钓鱼进行社工，仅需要一个毫无戒备之心的用户一次不经意点击即可。

7. 基础设施

图12：感染链、基础设施和有效载荷的变化概览

上面的时间线显示了活动基础设施随时间的发展。在早期阶段，攻击者依赖第三方文件共享服务，如FileSend.jp或4sync.com。在2021年中期，大量活动与类Pastebin的服务paste.c-net相关联，它被用来存储各种攻击阶段–从多个外部模板到最终的PowerShell植入程序。2021年10月，paste.c-net.org背后的团队执行了一次清理行动，主动监测所有使用其服务共享的潜在恶意内容。从那时起，该活动使用看似随机的服务器，并尝试了不同种类的中间服务器，包括bit.ly和iplogger.org的重定向服务，并使用类似于当地金融相关机构的域名，如nedbank.za[.]com（伪装成NED银行）或paste.inexa-group[.]com（伪装成金融技术解决方案提供商Inexa），或者仅仅依靠Dynu等短期免费的DDNS服务。

8. 结论

本文分析了一个针对西非和北非金融机构的恶意邮件活动，这个活动已经进行了近两年，背后的攻击者经常改变其工具和方法，显示出攻击者对开源工具和渗透测试软件的了解。预计这一活动没有停止或放缓的迹象，并且将继续调整其攻击手法，以使其经济利益最大化。

附录：攻击指标

020ea21556b56229bb9714e721d893df
0789e52f16f5fc4ac2dbebadf53d44ec
0b1d7c043be8c696d53d63fc0c834195
16157cdfd7b0ea98c44df15fb2fcb417
1818f84f7f51be74a408f5e193ba5908
18889d70d5546b861c6fa4ec11126942
192b70891de0d54af6fa46bd35a5fd87
1ccd2ce1e827b598207cc65e16686b7b
1eb29f64f19e07d42d9ad8f6597424b8
1eed3153b1afae1676ebd0db99ac5802
1f4f537e550e4299a945a97c1f8a0441
28165bb98959e7e7d9be67f0d248b31d
2c95e83759487d78070b56e40843c543
2e7c90c45b3cd8db15cd22e0caacfd40
31515f871cb12d538d53e730e5ddd406
3227c8a45ce4ccf8c475a51b331720c1
3c70bc09d1f8033e57323879d50ca3ce
40ec0d84272f1f2394b4a3b74dafbf70
46058baa3ef1bdf553d89439cacf0675
46a0071b7e5ea442580a2f80d2fcef42
47c68680c9a00b117764114668357e23
47cf9fda04b2abef75f1eca9804aaebe
496f2a2f14bda410b5f3dcff40bf56c3
4f52ca22d2d28e1ecdb9fba92e4cdde3
4fb7503dd8b21396bf9643e0dce70fcf
4ffd8ae803d7498e2d5a7a7a3a1268f8
5038e5cd4888adb3661d9958f04a1ec1
505724eac0faf0eb32e4ad25ab5cddfe
518a533d6ff1d86afc0f7d94c0a1be7c
565a87ba8e79f5e081ea937068082afd
57511cb12fb5f505b3330dfec18f3432
65cbaec27b51d54dc0bceeef298719a8
66ac99b3501846a6c18f2671dbf31873
6702f0057c401cf390adc28d201118f8
6b14a4d6212087fe8d88ad012dbc8598
6b781c1082014a0177f42e918adb35de
6c737910247e3122fe810df6a63581f7
6c7846d955bb5f3842bb7c35fae1569a
725489b29e7afbc045b2814dff5474a6
72ca000f40335d771936d077d4cabefb
75931e00c81274b1c279d23dfdb0bbad
76a8391c77723b06587f648dcbde07e9
c43c50baa3271b375298847bf6a7fc13
c4ee082a4ce704dcb3145e2cfd47ef6f
c7beb386813580a4c4812de3ee1aa429
c8ed3353ae9c8b84ea7a9e81d2828193
c9c001c45b2eecaee9704fb21e731ac7
ca09b19b6975e090fb4eda6ced1847b1
cced9e8b1a99b9000f4b958f13b164a5
d32e387d60a18fd90c4854f167b4df4b
d43e6ae895039108cf68a36140190b0f
daa6ce148e2b8e5fd694183338db6ec9
e166ee1de912bf17453d2da1dc06fc6d
e2c3a6bcb015e2e5137d4a46881d38b6
f0960552876da5ef74b8ece55116929e
f2afcfd2ecfb3ea3261855ce1a4747b7
f4a8605fa09e447108eb714eccad57d0
fae63014d33efe844a25f2606de900b6
98bf46542e3e9daa280ef0b395a7dabd
9a57a80692012878fcb463f41ce6dcfa
9d50143836d41726b6564a524453b868
9d9da1992f63776e135c1c1215ee1741
a027a4f65e0b0a83eccb56d9047347bd
a5fd946bc7e8b12cdfd207790216b4b1
a6d8cc18af5a983b4c1a7f4838780b01
aa3f386f10864f46a09610d0e03a26b5
aeee6b71690a1df75792fcd3d11b8ede
af8de58e3538fcb40334109bcd571939
b397383ba85fc726b424aac26b42f6ae
b651f7dcfeb3e304f7eb636000a6b935
b895d34958be7565888c15a51e0c73c7
b95ba7fb130f95ccae13c54312a69d36
bac7be7eebb8670ae624a0179a366148
be82532aa428dc5f30107ccfa08da8c6
7b8d0b4e718bc543de4a049e23672d79
7b91f06584afdc4a2aa6edd9d04198b7
853403bd5feea1ecf83e812759e1ccc7
8690ccd36c9d63b63e8d0278f0449e3b
886a8ded2ea2f35ee009088d2c24dd32
889e8b93ec0c16ffac62ced220ed8e30
8f4392f839152c9614699048ee4fea11
953d5a3d8e00bbd2dba08579d95c61dc
775c0666a7a482ce664c72ed9195f120
7a4927e1a2aad1bc8ccef956130df0c0

iplogger[.]org/2zaEa6
bit[.]ly/PDF_MicrosoftOnline
cdn.filesend[.]jp/private/hTsvHkbWaUSEZ7ilocBGMTgumxqFmSrVgF9Ht5LL6YCf4A7Eu28rIxdbo-ND_F9/Chimers.gif
4sync[.]com/web/directDownload/QHZsERS6/rHb0lMWD.f2e6a9154ab6cd29b337d6b555367580
4sync[.]com/web/directDownload/rE33SDmE/iNXXJkWJ.4bf28df12d9e7d99bc902edb6d23c6e2
raw.githubusercontent[.]com/R3mEm/vox/main/vox.ps1
paste.c-net[.]org/CookiesEstrogen
paste.c-net[.]org/ExportDeposit
paste.c-net[.]org/OrientalAntonio
paste.c-net[.]org/ShaveDavie
paste.c-net[.]org/SidingFatigue
paste.c-net[.]org/HearingsGuided
paste.c-net[.]org/SelvesGangster
paste.c-net[.]org/StaceConcerns
paste.c-net[.]org/NelsonTasteful
paste.c-net[.]org/ShaveDie
paste.c-net[.]org/GiovanniKismet
paste.c-net[.]org/TreatsGlamour
paste.c-net[.]org/NeedlessHorton
paste.c-net[.]org/KillingsSucked
paste.c-net[.]org/PuckerStake
paste.c-net[.]org/AliacesLorean
paste.c-net[.]org/MuggingFunny
paste.c-net[.]org/HazelMagnets
paste.c-net[.]org/AliasesKorean
paste.inexa-group[.]com
press.giize[.]com
tf-bank[.]com
aeternam[.]me
nedbank.za[.]com
nedbankplc.4nmn[.]com
secure.graviom[.]fr
i-development[.]one
paste.c-net[.]org/BogeyUglier
paste.c-net[.]org/MuggingFunny