信息化觀察網(wǎng)

TA551（也稱為Shathak）是基于電子郵件的惡意軟件傳播活動(dòng)，通常針對說英語的地區(qū)?；仡櫄v史，TA551曾經(jīng)推出過不同的竊取信息的惡意軟件系列，比如Ursnif和Valak。在2020年7月中旬之后，另一個(gè)信息竊取程序IcedID惡意軟件被TA551研發(fā)出來。

攻擊鏈

從2020年7月中旬到11月，TA551的感染過程一直保持一致，流程圖如圖1所示。

從2020年7月到2020年11月，TA551（Shathak）的攻擊鏈

最初的誘餌是欺騙電子郵件鏈的電子郵件，這些電子郵件鏈?zhǔn)菑南惹笆芨腥局鳈C(jī)上的電子郵件客戶端檢索的。該消息有一個(gè)附帶的ZIP文件和一條消息，通知用戶打開該附件所需的密碼。

在打開ZIP文件后，受害者發(fā)現(xiàn)了一個(gè)帶有宏的Microsoft Word文檔。如果受害者在易受攻擊的Windows計(jì)算機(jī)上啟用宏，受害者的主機(jī)將檢索IcedID惡意軟件的安裝程序DLL。這將感染易受攻擊的Windows計(jì)算機(jī)。有關(guān)針對日語受害者的最新示例，請參見圖2-7。

2020年11月4日針對日語受害者的TA551電子郵件的示例

使用消息中的密碼打開ZIP文件

ZIP文件中的Word文檔

來自Wireshark過濾的感染的流量

在Windows主機(jī)上的感染過程中創(chuàng)建的文件和目錄

在被感染的Windows主機(jī)上保持IcedID持續(xù)存在

IcedID的出現(xiàn)

研究人員有一個(gè)GitHub存儲(chǔ)庫，可以跟蹤TA551最近的活動(dòng)。該倉庫包含了自2020年7月6日以來TA551發(fā)動(dòng)的每一波攻擊的信息。從2020年7月14日開始，我們在這波攻擊中只看到了IcedID惡意軟件。

自2020年7月14日以來，這些垃圾郵件就一直針對英語地區(qū)的受害者，直到2020年10月27日，開始出現(xiàn)日語模板的Word文檔。從10月27日至11月，TA551一直以講日語的受害者為目標(biāo)。2020年20月20日。在針對日本的攻擊大約進(jìn)行了三周之后，TA551從2020年11月24日開始回到講英語地區(qū)的受害者。

無論針對哪個(gè)目標(biāo)群體，TA551都繼續(xù)將IcedID用作其惡意軟件有效載荷。

TA551在2019年的歷史

我們早在2019年2月就發(fā)現(xiàn)了TA551，其特點(diǎn)如下：

1.TA551已經(jīng)傳播了不同系列的惡意軟件，包括Ursnif(Gozi/ISFB)，Valak和IcedID。

2.TA551惡意垃圾郵件會(huì)根據(jù)從先前受感染的Windows主機(jī)檢索到的數(shù)據(jù)來欺騙合法電子郵件鏈，它將這些電子郵件鏈的副本發(fā)送給原始電子郵件鏈的收件人。

3.偽造的電子郵件包括一條短信息，它作為鏈中的最新項(xiàng)目。這是一個(gè)通用語句，要求收件人使用提供的密碼打開附加的ZIP文件。

4.ZIP的文件名使用電子郵件中被欺騙的公司的名稱，例如，如果被欺騙的發(fā)件人是someone companyname.com，則ZIP附件將被命名為companyname.zip。

5.在2020年，我們還開始看到帶有info.zip或request.zip作為附件ZIP文件名稱的電子郵件。

6.這些受密碼保護(hù)的ZIP附件包含一個(gè)Word文檔，其中包含用于安裝惡意軟件的宏。

7.提取的Word文檔的文件名遵循隨著該活動(dòng)的進(jìn)行而發(fā)展出的明顯模式。

8.由關(guān)聯(lián)的Word宏生成的URL也遵循引人注目的模式，該模式也隨著該活動(dòng)的進(jìn)行而發(fā)展。

TA551在2019年的活動(dòng)

圖8顯示了我們可以從此活動(dòng)中確認(rèn)的最早電子郵件，該電子郵件的日期為2019年2月4日。該電子郵件針對以英語為母語的收件人，并傳播了Ursnif惡意軟件。

從2019年2月開始的TA551垃圾郵件示例

與以上示例相關(guān)聯(lián)的文件：

SHA256哈希值：3dab8a906b30e1371b9aab1895cd5aef75294b747b7291d5c308bb19fbc5db10；

文件大小：157696字節(jié)；

文件名：Request11.doc；

文件描述：Word文檔，帶有Ursnif的宏（Gozi/ISFB）；

SHA256哈希值：3afc28d4613e359b2f996b91eeb0bbe1a57c7f42d2d4b18e4bb6aa963f58e3ff

文件大小：284160字節(jié)；

文件位置：hxxp：//gou20lclair[.]band/xap_102b-AZ1/704e.php?l=zyteb12.gas；

文件描述：通過Word宏檢索的Windows EXE示例——Ursnif的安裝程序；

圖9顯示了來自該活動(dòng)的日期為2019年4月2日的電子郵件。該電子郵件以說意大利語的收件人為目標(biāo)，并傳播了Ursnif惡意軟件。

從2019年4月開始的TA551垃圾郵件示例

與以上示例相關(guān)聯(lián)的文件：

SHA256哈希值：582213137bebc93192b0429f6687c859f007ef03e6a4c620eada8d98ca5d76ba；

文件大小：91136字節(jié)；

文件名稱：doc_02.04.doc；

文件描述：帶有Ursnif宏的Word文檔；

SHA256哈希值：8 c72d5e5cb81f7a7c2b4881aff3be62cdc09caa52f93f9403166af74891c256e

文件大?。?06208字節(jié)；

文件位置：hxxp：//seauj35ywsg[.]com/2poef1/j.php?l=zepax4.fgs；

文件說明：安裝Ursnif的Windows EXE示例，該Ursnif由與這波Word文檔相關(guān)的宏檢索；

圖10顯示了該活動(dòng)的一封日期為2019年10月30日的電子郵件，該電子郵件以說德語的收件人為目標(biāo)，并傳播了Ursnif惡意軟件。

從2019年10月開始的TA551垃圾郵件示例

與以上示例相關(guān)聯(lián)的文件：

SHA256哈希值：10 ed909ab789f2a83e4c6590da64a6bdeb245ec9189d038a8887df0dae46df2a；

文件大小：269312字節(jié)；

文件名稱：：info_10_30.doc；

文件描述：具有Ursnif宏的Word文檔；

SHA256哈希值：9e5008090eaf25c0fe58e220e7a1276e5501279da4bb782f92c90f465f4838cc

文件大?。?00032字節(jié)；

文件位置：hxxp：//onialisati[.]com/deamie/ovidel.php?l=brelry2.cab；

文件描述：通過Word宏檢索的Windows EXE示例——Ursnif的安裝程序；

注意上面示例中的URL是如何以.cab結(jié)尾的，直到2020年10月下旬，這種模式對于TA551 Word文檔中的宏所生成的URL都相當(dāng)一致。

圖11顯示了該活動(dòng)于2019年12月17日發(fā)送的電子郵件，該電子郵件以日語用戶為目標(biāo)，并傳播了Ursnif惡意軟件。

從2019年12月開始的TA551垃圾郵件示例

與以上示例相關(guān)聯(lián)的文件：

SHA256哈希值：3b28f3b1b589c9a92940999000aa4a01048f2370d03c4da0045aabf61f9e4bb6；

文件大?。?01528字節(jié)；

文件名稱：info_12_18.doc；

文件描述：具有Ursnif宏的Word文檔；

SHA256哈希值：3a22d206858773b45b56fc53bed5ee4bb8982bb1147aad9c2a7c57ef6c099512

文件大小：1650176字節(jié)；

文件位置：hxxp：//vestcheasy[.]com/koorsh/soogar.php?l=weecum5.cab；

文件描述：通過Word宏檢索的Windows EXE示例——Ursnif的安裝程序；

請注意，受Ursnif感染的主機(jī)有時(shí)會(huì)檢索后續(xù)惡意軟件。例如，在2019年12月19日，通過TA551感染Ursnif的Windows主機(jī)又感染了后續(xù)惡意軟件IcedID和Valak。

TA551在2020年的歷史

圖12顯示了2020年3月26日來自TA551的一封電子郵件，該電子郵件以說德語的收件人為目標(biāo)，并傳播了ZLoader（Silent Night）惡意軟件。

2020年3月以來的TA551垃圾郵件示例

與以上示例相關(guān)聯(lián)的文件：

SHA256哈希值：62ecc8950e8be104e250304fdc32748fcadaeaa677f7c066be1baa17f940eda8

文件大?。?27757字節(jié)；

文件名稱：information_03.26.doc

文件描述：Word doc with macro for ZLoader(Silent Night)

SHA256哈希值：9b281a8220a6098fefe1abd6de4fc126fddfa4f08ed1b90d15c9e0514d77e166

文件大?。?86400字節(jié)；

文件位置：hxxp：//x0fopmxsq5y2oqud[.]com/kundru/targen.php?l=swep7.cab；

文件描述：Windows DLL為ZLoader檢索的Word宏；

圖13顯示了該活動(dòng)于2020年4月28日發(fā)送的一封電子郵件，該電子郵件以說英語的收件人為目標(biāo)，并傳播了Valak惡意軟件。

2020年4月以來的TA551垃圾郵件示例

與以上示例相關(guān)聯(lián)的文件：

SHA256哈希值：bd58160966981dd4b04af8530e3320edbddfc2b83a82b47a76f347d0fb4ca93a

文件大小：61233字節(jié)；

文件名稱：docs,04.20.doc；

文件描述：Word文檔和Valak宏；

SHA256哈希值：9ce4835ef1842b7407b3c8777a6495ceb1b69dac0c13f7059c2fec1b2c209cb1

文件大?。?18816字節(jié)；

文件位置：hxxp：//qut6oga5219bf00e[.]com/we20lo85/aio0i32p.php?l=nok4.cab；

文件說明：通過Word宏檢索到的Windows DLL示例——Valak的安裝程序

此時(shí)，文檔名稱已經(jīng)改變了格式。從那時(shí)起，我們開始看到從每天的攻擊中提取的Word文檔的幾個(gè)不同的名稱。

圖14顯示了一封來自該活動(dòng)的電子郵件，日期為2020年5月22日。該電子郵件針對以英語為母語的收件人，并傳播了Valak惡意軟件。

2020年5月以來的TA551垃圾郵件示例

與以上示例相關(guān)聯(lián)的文件：

SHA256哈希值：3562023ab563fc12d17981a1328f22a3d3e4c358535b9a0c28173a6e4ad869ba；

文件大?。?4338字節(jié)；

文件名稱：file_05.20.doc；

文件描述：Word文檔和Valak宏；

SHA256哈希值：4468 edc18de42e61b64441c75aedcb15d553410d473e77fc8ae31b358acd506a

文件大?。?84832字節(jié)；

文件位置：hxxp://s6oo5atdgmtceep8on[.]com/urvave/cennc.php?l=haao1.cab；

通過Word宏檢索到的Windows DLL示例——Valak的安裝程序

到了此時(shí)，ZIP附件的密碼格式已更改為三位數(shù)，后跟兩個(gè)字母，并且模板樣式也已更新。

我們繼續(xù)看到Valak被TA551推到了2020年7月初。值得注意的是，Valak是一個(gè)惡意軟件下載者，我們經(jīng)?？吹絀cedID是這些感染的后續(xù)惡意軟件。

然而，到2020年7月中旬，TA551開始直接從Word文檔宏中傳播IcedID了。

最近的發(fā)展

最近幾周，TA551改變了通信方式。在2020年10月19日之前的幾個(gè)月中，Word宏生成的用于檢索安裝程序二進(jìn)制文件的URL遵循了一個(gè)明顯的模式。該模式包括：

1.URL路徑中的php?l=；

2.以.cab結(jié)尾的URL；

自2020年10月20日以來，這些模式發(fā)生了巨大變化。表1顯示了從10月份開始的變化。

由TA551傳播的Word文檔中的宏生成的URL模式

到2020年10月27日，TA551宏生成的URL在HTTP GET請求的開頭包含更新或共享之類的英語術(shù)語。這些URL由四到六個(gè)小寫英文字母組成的系列結(jié)尾，后面跟著從1到18的數(shù)字。這些URL的長度不一致，它們可能很短，也可能很長。

自2020年11月以來，我們還注意到IcedID感染期間產(chǎn)生的偽造圖像的細(xì)微變化，包括TA551活動(dòng)之外的偽造圖像。

例如，到2020年11月初，安裝程序dll創(chuàng)建的IcedID dll最初保存到受害者的AppDataLocalTemp目錄，并且文件名以波浪號（?）開頭并以.dll結(jié)尾，如圖6所示。在2020年11月，我們開始看到一個(gè)變化：最初的IcedID dll保存到受害者的AppDataLocal，文件名以.dat結(jié)尾，如圖15所示。

2020年11月24日從TA551 IcedID感染中看到的偽造圖像

這些變化可能是惡意軟件開發(fā)者為了逃避檢測而做出的努力。至少，它們可能會(huì)讓正在對被感染主機(jī)進(jìn)行分析的人感到困惑。

這樣的變化在惡意軟件家族中是常見的，因?yàn)樗鼈冸S著時(shí)間的推移而演變。我們可以期待在接下來的幾個(gè)月里看到更多關(guān)于IcedID惡意軟件和TA551的變化。

最后，在2020年11月期間，通過TA551 Word宏檢索的安裝程序DLL的運(yùn)行方法發(fā)生了變化：

舊方法：regsvr32.exe[installer DLL filename]；

新方法：rundll32.exe[installer DLL filename],ShowDialogA-r；

但是，必須有最新信息才能確保正確檢測到不斷發(fā)展的活動(dòng)，例如TA551。

總結(jié)

自從我們上次在2020年7月對部署Valak惡意軟件的攻擊者進(jìn)行審查以來，TA551一直在迭代。在過去的幾個(gè)月中，我們經(jīng)常將IcedID視為TA551安裝的Valak和Ursnif感染的后續(xù)惡意軟件。目前Valak和Ursnif等惡意軟件下載程序已經(jīng)被淘汰，現(xiàn)在最流行的是IcedID。

雖然TA551已經(jīng)決定使用IcedID作為惡意軟件的有效載荷，但隨著惡意活動(dòng)的發(fā)展，我們繼續(xù)看到流量模式和感染現(xiàn)象的變化。

本文翻譯自：https://unit42.paloaltonetworks.com/ta551-shathak-icedid/