假冒FBI、CIA传播多个病毒木马,中招后被完全控制,腾讯电脑管家支持拦截

2021-08-19 来源:原创 作者:腾讯电脑管家
【文章摘要】腾讯安全检测到国内有电脑用户遭受假冒“FBI、CIA”的攻击者投递多重病毒木马攻击,中招系统会被植入多个后门、远程控制木马,以及门罗币挖矿程序,还具备蠕虫传播模块,中毒系统会通过outlook向联系人群发病毒邮件,同时感染u盘、移动硬盘等移动存储器,通过这些渠道继续扩大攻击范围。该团伙的攻击活动对企业与个人电脑用户危害严重,腾讯安全专家提醒用户保持警惕,勿轻易打开可疑邮件或文件。时刻保持腾讯电脑管家或腾讯零信任iOA的病毒防护功能为开启状态,实时拦截恶意程序运行。

一、概述

腾讯安全检测到国内有电脑用户遭受假冒“FBICIA”的攻击者投递多重病毒木马攻击,中招系统会被植入多个后门、远程控制木马,以及门罗币挖矿程序,还具备蠕虫传播模块,中毒系统会通过outlook向联系人群发病毒邮件,同时感染u盘、移动硬盘等移动存储器,通过这些渠道继续扩大攻击范围。

进一步分析发现,攻击者使用的病毒木马种类繁多:包含js远控木马WSHRatC#窃密木马NjRat、感染安卓系统的恶意远控木马等等。通过腾讯安全威胁情报数据查询,发现该团伙早在20196月已频繁活动,当时伪造成“信用卡申请表.exe”,“咨询表.exe”传播远程控制木马(NjRat),20199-12月期间,还曾投递多款安卓平台远控木马。在腾讯安全本次捕获到的攻击活动中,攻击者投递的部分木马模块制作时间为2019年,但直到近日才被各安全平台检测收录。

 一旦不慎中招,受害者电脑安装的安全软件功能会被破坏,Windows defender会被关闭,攻击者通过多种方式安装的后门,会窃取浏览器保存的帐号密码信息,后台添加管理员权限的帐号,开启远程桌面等等方式对中毒系统进行远程控制。攻击者释放的挖矿木马会大量消耗系统资源,令电脑运行速度变慢。

 该团伙的攻击活动对企业与个人电脑用户危害严重,腾讯安全专家提醒用户保持警惕,勿轻易打开可疑邮件或文件。时刻保持腾讯电脑管家或腾讯零信任iOA的病毒防护功能为开启状态,实时拦截恶意程序运行。

图1

图2


通过腾讯安全威胁情报系统查询,腾讯安全专家找到攻击者的社交媒体帐号和可疑注册信息。


二、样本分析

1.*\360Tray\360Upd.bat

攻击初始入口,腾讯安全检测到国内有受害者遭受到该初始攻击。

初始攻击会用多种方法对抗安全软件:

1)      通过host劫持国内主流安全软件的网站,关闭安全软件的联网功能;

2)      尝试结束国内主流安全软件相关进程;

3)      通过注册表关闭Windows Defender

4)      开启计算机3389端口,以图实现远程桌面管理;

5)      尝试停止部分安全服务项。


图3

初始攻击后植入以下后门功能:

1) 添加具备管理员权限的后门账号:

账号/密码:gu**t/gu**t@2**0

2) 创建名为WindowsSystem32360TrayJavaMicrosoftOfficesystem的目录,并从以下地址下载9个恶意文件。通过使用文件名伪装,设置隐藏属性,添加计划任务等实现开机自动运行。

hxxps://fbioss.oss-cn-shenzhen.aliyuncs.com/download/nkt/auto.jpg

hxxps://fbioss.oss-cn-shenzhen.aliyuncs.com/download/nkt/NKT.jpg

hxxp://down.1996.xn--6qq986b3xl:8090/download/fdr.jpg

hxxp://down.1996.xn--6qq986b3xl:8090/download/getxmr/W/360Setup.jpg

hxxp://down.1996.xn--6qq986b3xl:8090/download/getxmr/W/Taskmgr.jpg

hxxp://down.1996.xn--6qq986b3xl:8090/download/getxmr/W/config.jpg

hxxp://down.1996.xn--6qq986b3xl:8090/download/js.jpg

hxxp://down.1996.xn--6qq986b3xl:8090/download/8090.jpg

hxxp://down.1996.xn--6qq986b3xl:8090/getxmr/update.ps1


4

2.*\system\SystemAutoUpdate.bat

功能为360Upd.bat的子集,主要为结束部分安全软件与服务清理。

3.*\360Tray\360Debug.vbs

功能为自身启动目录设置,其它恶意模块注册表启动项设置,该模块会调用本地outlook自动向联系人发送名为“系统资料备份”的恶意邮件,通过群发邮件扩大传播范围。

恶意载荷地址(暂未配置):

hxxp://down.1996.xn--6qq986b3xl:8090/download/data.rar

5

4.*\360Tray\360Setup.exe

该模块用C#编写的挖矿木马进程,版本信息伪装成国内安全软件,主要进行初级的安全对抗,可检索清理当前系统中的可疑挖矿进程,最终通过内存执行的方式进行挖矿运算。

使用矿池:

xmr.f2pool.com

钱包:

87QEYiS6vVWjXPirvNdgJ96hBrBKHu41wJtMeetCodt7HPUjSaGvBEDBitWztvusMBiVTg6aLvs2LUVagvvTfhgb3rYjiQn

5.*\WindowsSystem32\Taskmgr.exe

二进制xmr(门罗币)矿机

6.*\WindowsSystem32\config.json

矿机配置文件,地址,钱包同360Setup.exe

7.*\java\java.js

js后门远控,功能十分丰富,包括:进程管理、任意命令执行、任意模块下载执行、文件管理、浏览器存储密码窃取、键盘记录、反向代理等等功能。

通过其内置的多个二进制插件可知,该工程名为WSHRatC2服务器地址: cia.kim