最后更新于2024年7月24日(星期三)17:32:56 GMT

以下分析师对这项研究做出了贡献: 埃文·麦肯,马特·史密斯,伊佩克·索拉克,杰克·麦克马洪

Rapid7最近观察到一个针对使用微软搜索引擎Bing搜索W2表单的用户的活动. 用户随后被引导到一个虚假的国税局网站, 诱使他们下载他们的W2表单,最终下载一个恶意的JavaScript (JS)文件. The JS file, when executed, 下载并执行微软软件安装程序包(MSI),该程序包依次删除并执行包含Brute Ratel Badger的动态链接库(DLL).

在本博客中,我们将详细介绍攻击链,并提供预防措施,以帮助保护用户.

Overview:

Starting on June 21, 2024, Rapid7观察到两个独立的事件,用户下载并执行链接到URL的可疑JavaScript (JS)文件 hxxps://grupotefex[.] com/forms-pubs/about-form-w-2/. 执行JS文件之后, Rapid7观察到一个MSI文件的下载和执行,该文件负责将可疑的DLL放入用户的 AppData/Roaming/ profile. 经过进一步分析,Rapid7确定可疑DLL包含一个蛮鼠獾. Brute Ratel是一个用于红队和对手模拟的命令和控制框架.

当执行成功时, 蛮鼠獾随后会下载并注入Latrodectus恶意软件. Latrodectus 威胁行为者是否使用隐蔽的后门来查询有关受感染机器的信息, execute remote commands, 下载并执行额外的有效载荷.

6月23日,Zscaler ThreatLabz发布了一份 tweet 表明恶意软件Latrodectus家族部署背后的初始访问代理使用了Brute Ratel作为平台.

On June 24, a blog was released by reveng.艾,勾勒出我们观察到的一个相同的攻击链. From the posts, 我们注意到妥协指标重叠(IOC)。, 表明观察到的行为是相关的.

Initial Access:

在分析事件的过程中, Rapid7观察到,用户查询了包含关键词的搜索引擎必应 W2 form. 他们随后航行到该领域 appointopia[.]com,它将浏览器重定向到该URL hxxps://grupotefex[.] com/forms-pubs/about-form-w-2/.

在受控环境中复制事件后,我们观察到,在查询 w2 form 2024 使用必应,最上面的结果是指向该域名的链接 appointopia[.]com 声称有W2表格可供下载.

图1 -使用必应搜索“w2 form 2024”的结果

单击链接后,浏览器将被定向到该URL hxxps://grupotefex[.] com/forms-pubs/about-form-w-2/,该网站向用户展示了一个虚假的国税局网站,引诱用户下载他们的W2表格.

图2 -虚假的美国国税局网站

在与网站上的超链接进行交互时, 我们每次都观察到, a CAPTCHA would appear, 引诱用户去解决它.

经过仔细检查, 用户会看到一个验证码系统, 似乎是用来验证人类活动的. 然而,这个验证码是一个恶意计划的一部分. 一旦回答成功,CAPTCHA将下载一个恶意的JavaScript文件 form_ver,在文件名后面加上访问的UTC时间,例如 Form_Ver-14-00-21. 下载的JS文件的来源来自Google Firebase URL, hxxps: / / firebasestorage.googleapis[.]com/v0/b/namo-426715.appspot.com/o/KB9NQzOsws/Form_Ver-14-00-21.js?alt=media&令牌= dd7d4363 - 5441 - 4 - b14 af8c cb584f829c7——1. 这个JavaScript文件将负责下载下一阶段的有效负载.

图3 -在hxxps://grupotefex上解决的验证码示例[.] com/forms-pubs/about-form-w-2/”

Technical analysis:

我们从6月21日发生的事件中获取了其中一个JS文件,并在受控环境中分析了其内容. 我们观察到JS文件包含隐藏在注释掉的行之间的代码. 威胁行为者使用这种技术是为了扩大文件的大小,混淆代码,以逃避反病毒解决方案和阻碍反转.

此外,我们观察到JavaScript包含颁发给的有效Authenticode证书 黄铜门设计建造有限公司. 威胁参与者将嵌入有效证书,以利用信任机制并使脚本看起来合法.

图4- JS文件Form_ver-14-00-21的详细信息.js`

我们分析了JS文件并观察到类似于在注释中提取和执行隐藏代码的技术的代码. 具体来说:代码定义了一个可以读取脚本文件的ScriptHandler类, 解析任何以。开头的行 //////,并将这些代码行存储在extractedCode属性中,如图5所示. 然后,代码定义了一个方法 runExtractedCode() 使用new执行提取的代码 Function(). 它为当前脚本文件实例化一个ScriptHandler, 提取隐藏代码, and executes it.

这允许在脚本的注释中隐藏任意代码, 然后在脚本运行时提取并执行哪些内容. 注释提供了一种隐藏隐藏代码的方法. 该技术用于将恶意代码隐藏在脚本文件中,使用户认为它是良性的. 执行脚本时, 隐藏的代码将在用户不知情的情况下被提取并运行.

图5 - Form_ver-14-00-21代码的第一部分.js`

清理脚本文件后, 我们观察到该脚本的目的是从URL下载一个MSI包 hxxp://85.208.108[.]63/BST.msi and execute it.

图6 -清理“Form_ver-14-00-21”的内容.js`

6月25日发生的另一起相关事件, 我们观察到JS文件正在从类似的URL下载有效负载, hxxp://85.208.108[.]30/neuro.msi.

MSI Analysis

我们获得了最新的MSI文件, neuro.msi, from hxxp://85.208.108[.]30/neuro.msi 并分析了内容. 我们观察到MSI文件的内容包含一个内阁(.cab) file named disk1.cab which stored a DLL, capisp.dll.

图7 - MSI File ' neuro .文件内容.msi`

我们还观察到,MSI包 neuro.msi 包含一个自定义动作,其功能是删除DLL, capisp.dll,在AppData/Roaming/文件夹下,使用 rundll32.exe with the export remi.

图8 - MSI日志文件显示安装和执行DLL ' capisp.dll`

我们从MSI安装程序中获取DLL并分析其内容.

Capisp.dll Analysis

在最初的分析中,我们观察到DLL与VLC媒体播放器相关. 我们还观察到DLL包含一个可疑的资源 نالوقتمتأخر 的偏移量 0x00EB2C0. 我们确定了资源名称 نالوقتمتأخر 是阿拉伯语,翻译过来是“很晚了”,指的是时间.

图9 -可疑资源名称

在分析导出功能时 remi 我们注意到,该函数首先存储一个硬编码字符串 )5Nmw*CP>sC%dh!E(eT6d$vp<),以备以后使用. 然后,该函数计算位于偏移量(0x00EB2C0)处的资源,该偏移量标志着加密数据的开始, 将使用异或解密例程与先前存储的字符串解密.

图10 - capisp . js中包含的代码片段.dll`

在数据解密之后,该函数将使用Windows API VirtualAlloc 分配一个新的内存区域,以便复制和存储解密后的数据.

Using that logic, 我们在Cyberchef中复制了这个过程,并观察到解密的数据类似于另一个Windows二进制文件. 在分析新的二进制时,我们观察到一个有趣的字符串, badge\_x64_rtl.bin.packed.dll. 我们还观察到,新的二进制文件还包含另一个嵌入式二进制文件.
进一步的分析表明,解密二进制文件的目的是加载和执行嵌入二进制文件. 我们将嵌入的二进制文件识别为Brute Ratel Badger (BRC4)。, Brute Ratel的远程访问代理. 执行成功后, BRC4程序试图建立与三个硬编码指挥与控制(C2)域的连接:

  • bibidj[.]biz
  • barsman[.]biz
  • garunt[.]biz

在以前的攻击版本中, 我们观察到BRC4程序试图与C2结构域建立通信 barsen[.]monster and kurvabbr[.]pw.

在执行BRC4程序后,我们观察到下载 Latrodectus 然后被注入探索者号.exe process.

图11 -将Latrodectus恶意软件注入浏览器.exe

我们观察到,Latrodectus恶意软件试图联系以下url:

  • hxxps://meakdgahup[.]com/live/
  • hxxps://riscoarchez[.]com/live/
  • hxxps://jucemaster[.]space/live/
  • hxxps://finjuiceer[.]com/live/
  • hxxps://trymeakafr[.]com/live/

Conclusion

Rapid7最近观察到一个针对用户搜索的活动 W2 forms. 该活动引诱用户从一个虚假的国税局网站下载伪装成W2表格的JS文件. 一旦JS文件被执行, 它下载并执行包含Brute Ratel獾的MSI包. 妥协成功后, 威胁行为者随后部署了名为Latrodectus的恶意软件家族, 一种恶意加载程序,被威胁行为者用来在受损设备上获得立足点并部署额外的恶意软件.

Mitigation guidance:

提供用户意识培训,旨在告知用户如何识别此类威胁.
通过将默认的“打开”设置更改为记事本,防止执行脚本文件,如JavaScript和VisualBasic.exe.
在网络代理上阻止或警告未分类的网站. 除了阻止未分类的网站, 某些web代理将显示警告页面, 但是允许用户通过点击警告页面中的链接继续. 这将阻止驱动漏洞和恶意软件能够下载进一步的有效载荷.

Rapid7 customers:

通过Rapid7扩展的检测规则库,insighttidr和管理检测和响应客户已经拥有了现有的检测覆盖范围. Rapid7建议在所有适用的主机上安装Insight Agent,以确保对可疑进程的可见性和适当的检测覆盖率. 以下是已部署并将对与此恶意软件活动相关的行为发出警报的检测的非详尽列表:

  • 可疑进程- WScript从临时或下载目录运行JavaScript文件
  • 端点预防-进程尝试使用“自我注入”技术

MITRE ATT&CK Techniques

Tactics Technique Description
Resource Development SEO Poisoning (T1608.006) “威胁演员”使用SEO中毒,确保他们的广告在搜索结果中排名第一
Initial Access 飞车妥协(T1189) 成功解决验证码后, 浏览器被定向到从另一个URL下载JavaScript文件
Execution 命令和脚本解释器:JavaScript (T1059).007) 用户执行下载的JavaScript文件
Defense Evasion 嵌入式有效载荷(T1027).009) 蛮码有效载荷嵌入在解密有效载荷中
Defense Evasion 命令混淆(T1027).010) 下载的JavaScript文件包含由注释行分解的命令,以阻碍分析和防病毒扫描
Defense Evasion 加密/编码文件(T1027.013) Latrodectus使用字符串解密来阻碍检测和分析
Defense Evasion 解混淆/解码文件或信息(T1140) MSI包丢弃的DLL包含XOR例程来解密Brute Ratel有效载荷
Privilege Escalation 动态链接库注入(T1055).001) 将Latrodectus dll注入Explorer中.exe process
Command and Control Web Protocols (T1071.001) Brute Ratel和Latrodectus使用HTTPS与他们的C2服务器通信

妥协指标:

hbi (Host Based Indicators)

Indicator File Hash Description
Form_Ver-14-00-21.js F8121922AE3A189FBAE0B17C8F5E665E29E2E13B2E7144DABA4B382432B4949E JS文件从URL hxxps:// firebasestage [.]googleapis.com/v0/b/namo-426715.appspot.com/o/KB9NQzOsws/Form_Ver-18-44-37.js?alt=media&令牌= dd7d4363 - 5441 - 4 - b14 af8c cb584f829c7——1
BST.msi 5 b18441926e832038099acbe4a90c9e1907c9487ac14bdf4925ac170dddc24b6 MSI文件从URL hxxp://85下载.208.108[.]63/BST.msi
neuro.msi D71BFAB9CCA5DF6A28E12BA51FE5EAF0F9151514B3FD363264513347A8C5CF3A MSI文件从URL hxxp://85下载.208.108[.]30/nuero.msi包含在JS文件中
vpn.msi 4586250 dbf8cbe579662d3492dd33fe0b3493323d4a060a0d391f20ecb28abf1 MSI文件从URL hxxp://193下载.32.177[.]192/vpn.msi包含在JS文件中
aclui.dll 8484560 c1526ee2e313a2b57f52ea5b31edd05a0c9664bd7f60da020871bfe6f DLL包含在MSI文件BST.msi and vpn.msi
capisp.dll 9 b7bdb4cb71e84c5cff0923928bf7777a41cb5e0691810ae948304c151c0c1c5 DLL包含在MSI文件neuro.msi
BruteRatel payload AD4A8983EDFB0DBA81E3D0BAE1AB549B500FD8A07DAF601E616B7E721D0674C6 BruteRatel解密的有效载荷包含在capisp.dll

基于网络的指标

Indicator Description
appointopia[.]com 用于SEO中毒的域名,重定向到URL hxxps://grupotefex[.] com/forms-pubs/about-form-w-2/
hxxps://grupotefex[.] com/forms-pubs/about-form-w-2/ 包含虚假IRS网站的网址,引诱用户下载W2表格
85.208.108[.]63 Domain hosting BST.msi
193.32.177[.]192 Domain hosting vpn.msi
85.208.108[.]30 Domain hosting neuro.msi
kurvabbr[.]pw BruteRatel C2 -有效载荷包含在aclui.dll
barsen[.]monster BruteRatel C2 -有效载荷包含在aclui.dll
barsman[.]biz BruteRatel C2 -有效载荷包含在capisp.dll
bibidj[.]biz BruteRatel C2 -有效载荷包含在capisp.dll
garunt[.]biz BruteRatel C2 -有效载荷包含在capisp.dll
hxxps://meakdgahup[.]com/live/ Latrodectus C2
hxxps://riscoarchez[.]com/live/ Latrodectus C2
hxxps://jucemaster[.]space/live/ Latrodectus C2
hxxps://finjuiceer[.]com/live/ Latrodectus C2
hxxps://trymeakafr[.]com/live/ Latrodectus C2

Resources

Article URL
Zscaler ThreatLabz Post http://x.com/Threatlabz/status/1804918852528357791
Latrodectus分支机构使用Brute Ratel C4恢复操作 http://blog.reveng.ai/latrodectus-distribution-via-brc4/