信息化觀察網(wǎng)

本文來(lái)自嘶吼網(wǎng)，作者/布加迪。

這伙威脅分子使用惡意軟件攻擊關(guān)鍵政府基礎(chǔ)設(shè)施員工、制造公司及其他行業(yè)。

在過(guò)去的一年里，一伙攻擊者通過(guò)惡意谷歌廣告或虛假的Facebook個(gè)人簡(jiǎn)檔傳播竊取信息的惡意軟件，從而攻擊Facebook商業(yè)帳戶。感染鏈通過(guò)合法應(yīng)用程序使用DLL側(cè)加載手段，還使用用各種編程語(yǔ)言（比如Rust、Python和PHP）編寫的獨(dú)立可執(zhí)行文件。

安全公司Morphisec的研究人員在一份新報(bào)告中稱：“我們已經(jīng)看到SYS01stealer攻擊關(guān)鍵政府基礎(chǔ)設(shè)施員工、制造公司及其他行業(yè)。這起活動(dòng)背后的威脅分子使用谷歌廣告和虛假的Facebook個(gè)人簡(jiǎn)檔來(lái)攻擊Facebook商業(yè)帳戶，這些廣告或虛假簡(jiǎn)檔大力宣傳游戲、成人內(nèi)容和破解版軟件之類的內(nèi)容，以引誘受害者下載惡意文件。攻擊旨在竊取敏感信息，包括登錄數(shù)據(jù)、cookie以及Facebook廣告和商業(yè)帳戶信息。”

Zscaler的研究人員過(guò)去也報(bào)告過(guò)這起活動(dòng)，他們將其歸因于DUCKTAIL，這個(gè)總部位于越南的黑客組織同樣專門從事滲入Facebook商業(yè)帳戶的活動(dòng)。然而，Morphisec研究人員認(rèn)為這起活動(dòng)并不歸因于DUCKTAIL。自2021年以來(lái)一直很活躍的DUCKTAIL攻擊似乎更具針對(duì)性和復(fù)雜性，最終目的是濫用與被劫持帳戶相關(guān)的支付方法，從而在平臺(tái)上投放廣告。

DLL側(cè)加載變體

Morphisec研究人員跟蹤并分析了可以追溯到2022年5月的幾起SYS01stealer攻擊，發(fā)現(xiàn)逐漸出現(xiàn)了不同的變體。無(wú)論是通過(guò)Facebook個(gè)人簡(jiǎn)檔來(lái)分發(fā)還是通過(guò)惡意廣告來(lái)分發(fā)，幾乎所有攻擊都離不開(kāi)一個(gè)以游戲、電影、破解版應(yīng)用程序甚至裸照為幌子的ZIP文件。該文件通常含有作為合法應(yīng)用程序一部分的可執(zhí)行文件以及將在該可執(zhí)行文件運(yùn)行后加載的惡意DLL。

這種技術(shù)名為DLL側(cè)加載或DLL劫持，會(huì)影響配置成使用相對(duì)路徑加載特定DLL的合法應(yīng)用程序。這意味著應(yīng)用程序?qū)⒆學(xué)indows API可以搜索DLL，而不是使用絕對(duì)路徑指定DLL所在的確切位置，而搜索的位置之一將是當(dāng)前工作目錄，即打開(kāi)可執(zhí)行文件所在的目錄。

這意味著攻擊者可以將這種可執(zhí)行文件與一個(gè)DLL一起放置在一個(gè)文件夾中——該DLL的名稱與應(yīng)用程序要查找的DLL相似，它們的流氓DLL將被加載到內(nèi)存中。由于加載由可能經(jīng)過(guò)數(shù)字簽名、已知不是惡意的合法可執(zhí)行文件完成，一些安全解決方案可能不會(huì)標(biāo)記DLL。

如果用戶起疑心，他們可能會(huì)使用VirusTotal之類的服務(wù)掃描干凈的.exe文件，而不是掃描隨附的DLL，尤其是由于它具有隱藏屬性，甚至可能不會(huì)出現(xiàn)在文件資源管理器中。

在一個(gè)攻擊變體中，研究人員發(fā)現(xiàn)了攻擊者濫用WDSyncService.exe，這個(gè)可執(zhí)行文件是存儲(chǔ)設(shè)備制造商西部數(shù)據(jù)開(kāi)發(fā)的應(yīng)用程序WD Sync的一部分。在另一個(gè)變體中，攻擊者使用了ElevatedInstaller.exe，這是技術(shù)公司佳明（Garmin）開(kāi)發(fā)的應(yīng)用程序。這兩個(gè)應(yīng)用程序都存在DLL側(cè)加載漏洞，企圖分別加載名為WDSync.dll和vcruntime140.dll的DLL。

感染鏈導(dǎo)致SYS01stealer

惡意DLL是一種惡意軟件加載器，可以執(zhí)行其他隱藏的可執(zhí)行文件，或從隱藏在同一ZIP壓縮包中的.dat或.txt文件提取它們。這些文件使用不同的編程語(yǔ)言（比如Rust或Python）創(chuàng)建，用于設(shè)置計(jì)劃任務(wù)、下載誘餌文件，并將它們顯示給受害者或提示誘餌錯(cuò)誤。

最終的攻擊載荷也從指揮和控制（C&C）服務(wù)器下載，它始終是使用Inno-Setup創(chuàng)建的安裝程序，部署研究人員稱為SYS01stealer的木馬程序。這個(gè)惡意程序用PHP編寫，而PHP通常是一種Web腳本語(yǔ)言，因此它需要執(zhí)行PHP運(yùn)行時(shí)環(huán)境（php.exe）。PHP運(yùn)行時(shí)環(huán)境包含在安裝程序中，執(zhí)行的命令是php.exe include.php。

include.php是負(fù)責(zé)部署計(jì)劃任務(wù)以實(shí)現(xiàn)持久隱藏的腳本，加載index.php，里面含有竊取帳戶的邏輯代碼。該軟件包還含有一個(gè)名為rhc.exe的文件，用于隱藏已啟動(dòng)程序的窗口和一個(gè)Rust可執(zhí)行文件（有時(shí)名為rss.txt），后者的目的是解密基于Chromium的瀏覽器用于保護(hù)會(huì)話cookie等敏感網(wǎng)站數(shù)據(jù)的加密密鑰。

SYS01stealer腳本聯(lián)系指揮和控制服務(wù)器，并發(fā)送有關(guān)受害者的身份識(shí)別信息。C&C服務(wù)器響應(yīng)腳本任務(wù)。一項(xiàng)名為get_ck_all的任務(wù)用于從系統(tǒng)上安裝的所有基于Chromium的瀏覽器中提取所有的cookie和登錄數(shù)據(jù)。

研究人員表示，攻擊還檢查用戶是否登錄了Facebook帳戶。為此，它采取的手段是檢查cookie主機(jī)名是否含有facebook.com，并收集分別存儲(chǔ)用戶ID和會(huì)話秘密的會(huì)話特定cookie：xs和c_user。

提取的信息然后用于查詢Facebook的圖形API，并提取有關(guān)受害者帳戶的所有可用信息，然后將信息上傳回C&C服務(wù)器。

另一個(gè)實(shí)現(xiàn)的任務(wù)是dlAR，它代表下載和運(yùn)行。顧名思義，該腳本將從特定的URL下載文件，并使用指定的參數(shù)在系統(tǒng)上執(zhí)行。攻擊者似乎通過(guò)下載同樣使用DLL側(cè)加載的更新版加載器來(lái)使用該任務(wù)以更新竊取程序，這回是通過(guò)濫用西部數(shù)據(jù)WD Discovery應(yīng)用程序以及惡意WDLocal.dll。

其他實(shí)現(xiàn)的任務(wù)名為upload和r，前者用于將指定的本地文件上傳回C&C，后者用于通過(guò)Windows命令行提示符執(zhí)行指定的命令，并將結(jié)果發(fā)布到服務(wù)器。

Morphisec的研究人員表示，有助于防止SYS01stealer的基本措施包括實(shí)施零信任政策，并限制用戶下載和安裝程序的權(quán)限。而SYS01stealer在本質(zhì)上依賴采用社會(huì)工程伎倆的活動(dòng)，因此培訓(xùn)用戶了解攻擊者使用的技巧以便知道如何識(shí)破技巧就顯得很重要。

本文翻譯自：https://www.csoonline.com/article/3689891/attack-campaign-uses-php-based-infostealer-to-target-facebook-business-accounts.html