Palo Alto Networks发现BabyShark恶意软件系列背后的威胁行为者已经将其业务扩展到了针对加密货币行业的间谍活动之外。

    这与前几天eset的报告的攻击手法基本一致，可参照blog.alyac.co.kr/2243。

摘要

在2019年2月，unit42发布了一个关于BabyShark恶意软件系列的博客以及针对美国国家智库的相关鱼叉网络钓鱼活动。自该出版物以来，利用BabyShark的恶意攻击持续到2019年3月和4月。攻击者将目标扩展到加密货币行业，表明这些攻击背后的人也有利于获取经济利益。

    在跟踪威胁组的最新活动时，unit42的研究人员能够收集BabyShark恶意软件的服务器端和客户端文件，以及两个编码的辅助PE有效负载文件，恶意软件在收到受害主机时安装这些文件。通过分析文件，我进一步了解BabyShark恶意软件的整体多阶段结构和功能，例如它如何尝试维护操作安全性和支持的远程管理命令。根据研究，恶意软件作者似乎将编码的辅助负载称为“Cowboy”

    研究表明，涉及BabyShark恶意软件的最新恶意活动似乎是出于两个目的：

    关于核安全和朝鲜半岛国家安全问题的间谍活动

    基于样本中使用的诱饵内容，重点关注加密货币行业的经济收益，如图所示.Xcryptocrash是一种在线加密货币赌博游戏。

    假设BabyShark恶意软件工具集在同一大组织的参与者之间共享，或者同一组被分配了额外的任务。

分析中，我们发现BabyShark攻击使用KimJongRAT和PCRat作为编码的辅助有效载荷，因此称为：“Cowboys”

可疑访问记录

    BabyShark有一个多阶段感染链，每个阶段之间都有检查，如图所示，以确保只有目标主机才能进入下一阶段，最后才会向攻击者发回信号。

    这是通过为服务器进行可疑访问尝试（例如使用无效参数访问）的人维护列入黑名单的IP地址和计算机名称来实现的，这是一种可能使分析更难的技术。 黑名单中的IP地址和计算机名称以base64编码格式写在[BASE_URI] /blackip.txt中，如图所示。

    当使用与黑名单匹配的数据进行新的访问尝试时，服务器将不会进入下一阶段，并通过图4中所示的单独日志文件向操作员发出警报

    BabyShark的C2服务器还记录对其基本URI的访问，并重定向到http://go.microsoft [。] com /。这样做的目的可能是避免由于托管Web服务器的潜在错误配置而看到其文件。

远程命令

    操作员可以向受BabyShark感染的受害者系统发出基于VBS和PowerShell的命令。我们从C2中找到的远程命令位于下表中，但BabyShark并不仅限于这些命令，因为攻击者可以创建更多VBS或PowerShell命令文件。

    基于VBS的远程命令：

    基于PowerShell的远程管理命令：

KimJongRAT and PCRat是Cowboys!

恶意软件作为一组交付：

一个EXE装载机

一个DLL加载器

一个编码有效载荷

    EXE和DLL加载器的功能是相同的：唯一的区别是文件类型。这些加载器稍后在接收到执行命令时运行：“execute”以调用EXE类型加载器或“power com”以启动DLL类型加载器。我们推理出两种不同类型的加载器的原因是在防病毒软件中断的情况下具有加载有效载荷的冗余。加载器将加载自定义编码的辅助有效负载，在内存中解码并执行。

    在我们之前的 研究中，我们写了关于BabyShark和KimJongRAT恶意软件系列之间可能存在的联系。我们根据恶意软件行为的相似性，目标中的类似兴趣以及从同一威胁行为者看到的新编译的KimJongRAT恶意软件样本建立了这些可能的链接。在我们的最新分析中，我们从BabyShark的C2服务器收集了两个辅助有效负载文件cow_pass.gif和cow.gif。解码后，我们发现这些样本分别是KimJongRAT和PCRat。他们的元数据在下表中。

    PCRat是一个臭名昭着的远程管理木马，其源代码在公共互联网上公开可用。该恶意软件是Gh0st RAT恶意软件系列的变体，它与Gh0st有许多相似之处，包括其网络信标结构，如图

    最初，我们对样本的旧时间戳感到好奇，并且很难从多年来公开可用的原始PCRat二进制文件中进行修改。但是，当我们在分析时观察到它与C2服务器之间的通信时，运营商似乎正在积极地操作恶意软件。

    解码的KimJongRAT样本似乎在代码中显示了过去报告的变体的一些变化。此样品中加入一个替代密码混淆API字符串，如示于图5中，以隐藏其意图并去除其网络功能为C2数据泄露，这可能有利于下面讨论的密码聚集。

    由于原来的文件名“cow_pass.fig”所暗示的，KimJongRAT似乎被完全用作口令提取和信息偷窃者工具通过威胁演员，和所收集的数据被exfiltrated到C2与来自其他恶意软件，如BabyShark或PCRat支持。该KimJongRAT恶意软件感染计算机窃取的信息包括从Microsoft Outlook和Mozilla Thunderbird电子邮件凭据，登录谷歌，Facebook的凭证，以及雅虎从浏览器的IE浏览器，浏览器，Mozilla Firefox和Yandex的浏览器帐户。所有这些信息以及受害者计算机的操作系统版本都存储在文件“％APPDATA％\ Microsoft \ ttmp.log”中。“ttmp.log”中的内容始终以字符串“AAAAFFFF0000CCCC”开头，然后附加base64编码的被盗凭证。

CVE-2018-8174

    我们还观察到一个野外案例，但我们确实在BabyShark C2服务器上找到了一个利用CVE-2018-8174（Windows VBScript引擎远程执行代码漏洞）的PHP示例，这表明威胁行为者可能是利用此漏洞使目标通过水坑攻击或鱼叉式网络钓鱼电子邮件中的恶意URL加载BabyShark的第一阶段HTA。

    如果从同一IP进行多次访问，攻击者的漏洞利用脚本会记录受害者的远程IP地址并重定向到http：// google [。] com。这也许是一种旨在挫败研究人员的策略。

Cowboy转化

    在我们的研究过程中，我们发现了一个基于图形用户界面（GUI）的程序，该程序可能由BabyShark恶意软件作者从公共恶意软件存储库中创建。该文件将用作文件编码器工具，将PE文件转换为可由前面描述的Cowboy EXE和DLL加载器加载的有效负载格式。我们相信BabyShark作者使用此工具来创建攻击。其元数据见下表

    此工具只是在当前工作目录中打开一个名为“cowboy”的文件，并将其编码为Cowboy编码格式，如下所述。如果找不到名为“cowboy”的文件，它会弹出一个消息框，通知“文件牛仔不存在！”如图。

编码通过以下三个步骤完成：

反转从文件中读取的原始字节内容，名称为“cowboy”

取反转字节，Base64对它们进行编码

取base64编码的字符串并将其切割成10个块并反转块的顺序

我们用Python编写了一个解码器脚本，可以在本博客的附录部分找到。

结论

    自从我们之前的研究发布以来，利用BabyShark恶意软件的恶意攻击仍在继续。事实上，他们扩大了他们的业务以瞄准加密货币行业。恶意软件的服务器端实现表明，恶意软件作者已经做出一些努力来维护操作恶意软件和C2基础架构的操作安全性。威胁行为者在其活动中利用其他商品和定制开发的工具。在这种情况下，它们是PCRat和KimJongRAT，但这些可能会在未来更改为其他恶意软件系列。使用BabyShark恶意软件的恶意攻击似乎也可能继续基于我们的观察，并可能继续扩展到新的行业。

IOC

恶意Word宏文档

75917cc1bd9ecd7ef57b7ef428107778b19f46e8c38c00f1c70efc118cb8aab5，

PCRat

f86d05c1d7853c06fc5561f8df19b53506b724a83bb29c69b39f004a0f7f82d8，

KimJongRAT

d50a0980da6297b8e4cec5db0a8773635cee74ac6f5c1ff18197dfba549f6712，

牛仔装载机

4b3416fb6d1ed1f762772b4dd4f4f652e63ba41f7809b25c5fa0ee9010f7dae7

33ce9bcaeb0733a77ff0d85263ce03502ac20873bf58a118d1810861caced254

牛仔转换器

bd6efb16527b025a5fd256bb357a91b4ff92aff599105252e50b87f1335db9e1

原文：https://unit42.paloaltonetworks.com/babyshark-malware-part-two-attacks-continue-using-kimjongrat-and-pcrat/

欢迎关注微信：威胁情报小屋