IcedID 使用 ATSEngine 注入面板攻击电子商务网站

作者: 互联网资讯  发布:2019-10-22

在我们检测的攻击中,意识到一些 IcedID 运营商正在使用恶意软件来定位电子商务领域中非常具体的品牌。我们的研究人员指出,这种攻击可能是从主僵尸网络中划分出来的,这些僵尸网络由专门从事欺诈性商品交易的犯罪分子运营。

使用 keylogger 攻击企业用户的垃圾邮件活动会窃取账户凭证和敏感信息,用作之后发起账号接管和 BEC 攻击。

图 9:在控制面板视图中解析的被窃取帐户信息(来源:IBM Trusteer)

图片 1

· 内容变量 – 包括报告生成、帐户页面控制、将 HTML 内容推送到受害者正在查看的页面,以及用于跟踪活动的注释模块。

恶意软件在 AutoIt 脚本的帮助下会在受感染的系统中完成驻留,AutoIt 脚本是以可执行文件 gvg.exe 的形式存在的,会把自己以 AutoRun 记录的形式加入到 Windows 注册表中,这样可以确保每次系统重启后仍然可以自动重启。

图 1:IcedID 特洛伊木马接收有关连接到攻击服务器的说明(来源:IBM Trusteer)

研究人员分别发现 2019 年 4 月和 5 月攻击企业用户的恶意攻击活动,攻击者使用垃圾邮件来攻击不同行业的企业,包括交通和物流、健康、出口和进口、营销、农业等。

图 2:设计用于设置浏览器接受外部脚本注入的 IcedID 代码(来源:IBM Trusteer)

图片 2

虽然目前的 IcedID 配置同时具备 web 注入和重定向攻击,但让我们关注其两阶段 web 注入方案。此策略与类似的特洛伊木马不同,大多数特洛伊木马从配置或动态部署整个注入。

图片 3

图 3:用于将远程脚本注入目标网站的 IcedID 代码(来源:IBM Trusteer)

在 4 月和 5 月的 HawkEye 攻击活动,攻击者使用位于爱沙尼亚共和国的垃圾邮件服务器将垃圾邮件伪装成来自西班牙银行或合法公司的消息来传播 HawkEye Reborn v8.0 和 HawkEye Reborn v9.0 软件。

控制面板中的视图显示表中的基本数据,为攻击者提供受害者登录目标站点的凭据:

HawkEye Reborn v9 恶意软件套件

八、分段的 IcedID 僵尸网络

HawkEye Reborn UI

· 受害者访问过的或正在访问的网站的登录凭据 ;

HawkEye 是专门用于从受感染的设备中窃取信息的,但也可以被用做加载器,可以使用其僵尸网络来提取其他恶意软件到设备中作为第三方网络犯罪的服务。

· 主页功能。

Hawkeye Keylogger 发送的邮件

图片 4

样本垃圾邮件

以下代码段显示了文档对象模型脚本元素的创建,其中包含 Text / javascript 类型和 ID jsess_script_loader。 注入的开发人员使用这种技术将远程脚本注入合法网页。它从攻击者的 C&C 中获取远程脚本,然后将其嵌入脚本标记中,在原始网页的头部或者在其正文中。

4 月和 5 月的 HawkEye 攻击活动

在 2018 年,IcedID 在全球金融特洛伊木马图表上排名第四,恶意活动贯穿全年。

图片 5

欺诈场景因运营商而异,但 IcedID 的 TTP 保持不变,适用于特洛伊木马所有的攻击。因此,IcedID 的 web 注入可应用于任何网站,其重定向方案可适用于任意目标。

IBM X-Force 分析发现 HawkEye Reborn v9 样本主要攻击西班牙、美国和阿联酋的用户,而 HawkEye v8 主要攻击西班牙用户。为了用 keylogger/stealer 恶意软件感染用户,受害者在打开伪造的发票时 PhotoViewer 会释放一个 mshta.exe 二进制文件,该二进制文件会使用 PowerShell 来连接到 C2 服务器,并释放其他的恶意软件 payload。

五、管理数据窃取和存储

HawkEye 相关的垃圾邮件攻击活动

· 受害者的 IP 地址 ;

Cisco Talos 研究人员在对 HawkEye Reborn v9 keylogger/stealer 恶意软件的分析发现 HawkEye Reborn keylogger/stealer 在其所有者和开发过程的变化都证明了其在不断进化。

一旦受害者输入这些详细信息,数据就发送给攻击者的 ATSEngine 服务器并解析成如下形式,允许犯罪分子通过控制面板查看和搜索数据。

HawkEye keylogger 和信息窃取恶意软件套件从 2013 年就开始开发了,经过这些年恶意软件开发者不断加入了新的特征和模块来增加其信息监控和数据窃取的能力。

· 受害者 BotID;

根据攻击的特征和释放恶意软件 payload 的邮件以及用信息窃取木马感染目标等特征,研究人员认为这 2 起攻击活动背后的攻击者是相同的。Cisco Talo 研究人员在 4 月份也发现了其他释放 Hawkeye keylogger 的垃圾邮件活动。

图片 6

研究人员还发现脚本的第二行是一个名为 AAHEP.txt 的文件。该文件含有与真实 Hawkeye Keylogger 相关的函数和命令相关的所有指令。

图片 7

分析 2019 年 4 月和 5 月的 IoC,研究人员发现 2019 年 2 月 11 日至 3 月 3 日期间从土耳其服务器加载的另外一起垃圾邮件活动,但 IP 地址是来自相同的 C 类网络。

虽然一些特洛伊团伙选择将攻击范围扩大到更多国家,但这需要资金、资源来构建适应的攻击工具,与当地有组织犯罪团伙合作以及额外的洗钱活动。在 IcedID 的案例中,该团伙并未寻求扩展。自从首次出现以来,IcedID 一直专注于北美地区,主要针对该地区的银行和电子商务企业。

Hawkeye 恶意软件开发团队目前在暗网和黑客论坛出售 Hawkeye,在 2018 年 12 月易主后仍然在通过分销商传播。

IBM Security 于 2017 年 9 月发现 IcedID 并为其命名。该现代银行特洛伊木马程序具有与 TrickBot 和 Gozi 等恶意软件类似的模块。它通常针对银行、支付卡提供商、移动服务提供商、payroll、网络邮件和电子商务网站,其攻击目标主要位于美国和加拿大。从他们的配置文件中,显而易见的是,IcedID 的运营商寻找比消费者账户中常见的更高价值的商业账户。

感染过程

· 来自此受感染设备的最后报告时间 ;

图片 8

一、起源

HawkEye Reborn v9 是恶意软件套件的最新版本,可以从不同的应用收集信息,然后通过 FTP, HTTP, SMTP 等协议发回给运营者。

三、针对特定电子商务供应商

虽然垃圾邮件使用一般的问候语,文本和内容质量很差,也没有任何公司的 logo,但是垃圾邮件发送者可以将发送地址伪装成看似合法银行域名的地址。垃圾邮件附件含有伪造的商业发票,受害者打开后就会在后台释放 HawkEye 恶意软件。

· Accounts 页面功能 – 显示受害者使用受感染用户的凭据访问的帐户页面。

· CVV2;

· 从 web 注入到目标页面的其他抓取数据,包括受害者的姓名、支付卡类型、卡号、CVV2 以及居住地 ;

验证用户的数据后,保存到 C&C:

攻击服务器使攻击者能够通过许多功能来命令受感染的 bot。让我们看一下解码 IcedID 恶意脚本后的函数列表:

要执行 web 注入,外部脚本(恶意 JavaScript 代码段)负责将 HTML 代码注入受感染用户的浏览器。使用此策略,恶意软件不会从配置文件中部署整个注入,这实际上会将其暴露给可以成功解密配置的研究人员。相反,它使用初始注入作为触发器来实时从其攻击服务器获取注入的第二部分。这样,攻击可以保持更加隐蔽,攻击者可以更灵活的更新注入,而无需更新所有受感染设备上的配置文件。

作为第一步,要从攻击服务器接收任何信息,受感染设备上的常驻恶意软件必须向僵尸网络的运营商验证自己的身份。它使用配置文件中的脚本执行此操作。如果僵尸程序已通过服务器验证,则会从攻击者的 ATSEngine 服务器发送恶意脚本,在本例中通过 URL home_link / gate.php 发送。

· 攻击者针对特定受害者及其帐户插入的注释部分。

让我们看一下这些注入的示例代码。此特定示例取自旨在窃取凭据并接管浏览美国流行电子商务网站的用户帐户的攻击。

图片 9

六、注入攻击服务器的功能

ATSEngine 控制面板使攻击者能够使用时间戳查看活动。从受害者的设备获取以下信息并将其发送到攻击服务器:

本文由金沙澳门官网dkk发布于互联网资讯,转载请注明出处:IcedID 使用 ATSEngine 注入面板攻击电子商务网站

关键词: