译者:知道创宇404实验室翻译组
原文链接:https://blogs.juniper.net/en-us/threat-research/new-pastebin-like-service-used-in-multiple-malware-campaigns

前言

Juniper Threat Labs发现了几个依赖于pastebin-like服务的恶意软件活动。有问题的domain是paste.nrecom.net。 这些攻击通常以网络钓鱼电子邮件开始,当用户被诱骗执行恶意软件时,它会在不写入磁盘的情况下,从paste.nrecom.net将其加载到内存中。为恶意软件基础设施使用合法的web服务并不是什么新鲜事,正如我们看到的APT group FIN6使用pastebin来托管感染链的一部分,rock使用它来进行命令和控制。虽然使用合法的web服务并不新奇,但这是我们第一次看到攻击者使用paste.nrecom.net。我们发现的恶意软件包括Agentsela、LimeRAT、Ransomware和Redline Stealer。

什么是paste.nrecom.net?

paste.nrecom自2014年5月开始投入使用。pastebin是一种可以发布代码或文本数据并与他人共享的服务。paste.nrecom做同样的事情,它还提供了一个允许编写脚本的API。这对攻击者是有利的,因为他们可以轻松地以编程方式插入和更新数据。该服务由Stikked提供支持,Stikked是一个基于PHP的开源pastebin。

攻击者怎么进行恶意攻击?

因为它是一个纯文本的服务,人们会认为它不能在其中托管可执行文件(二进制数据)。但是,二进制数据可以通过简单的编码来表示为文本文件。常用的编码方法是使用base64。

以base64编码的恶意粘贴。

为了增加另一层混淆,它们使用XOR密钥对二进制数据进行加密。例如,以下文件使用XOR密钥0x02加密。

经过base64解码后,仍使用XOR算法对文件进行加密。

完成所有必要的解码和解密后,可以看到可执行文件,如上所示。

从2020年9月21日开始,我们已经看到几个恶意软件家族利用这项服务迅速发展。

恶意软件活动

攻击通常以包含附件(例如文档,存档或可执行文件)的网络钓鱼电子邮件开始。当用户被诱骗安装恶意附件时(第一阶段),它将从paste.nrecom.net下载下一阶段。我们还看到恶意软件在同一服务中托管其配置数据。

Agent Tesla

Agent Tesla是一种间谍软件,它能够从Web浏览器,邮件客户端和FTP服务器窃取个人数据。它还可以收集屏幕截图,视频并捕获剪贴板数据。该恶意软件的最新版本还能够从VPN客户端窃取个人数据。它在地下市场的售价低至15美元,根据附加功能可能会升至70美元。

Agent Tesla是使用这种类似pastebin的服务中最活跃的恶意软件之一。广告系列通常从带有恶意附件的网络钓鱼电子邮件开始。根据我们发现的样本,这些活动针对与航运,供应链和银行相关的多个行业。在某些情况下,附件是归档文件,例如.iso,.rar或.uue,如下所示:

从链中可以看到,有两个paste.nrecom请求,因为它会将Agent Tesla的有效负载分为两个。第一个请求是文件的前半部分,第二个请求是文件的后半部分。此技术使安全解决方案难以分析有效负载。

以下是一些电子邮件附件和一些电子邮件附件中的文件,我们发现这些电子邮件附件是使用paste.nrecom安装Agent Tesla的。

在某些情况下,附件是下载Agent Tesla加载程序的Office文档。

W3Cryptolocker勒索软件

W3Cryptolocker是一个相对较新的勒索软件。该勒索软件于2020年7月出现。根据其代码中的字符串,我们将该恶意软件称为W3Cryptolocker。

该加载程序托管在一个可能被黑客入侵的网站italake.com上。

它将加密所有驱动器中的所有文件,但扩展名为“ .xls”的文件和具有以下字符串的文件夹除外:

  • Windows
  • ProgramData
  • $Recycle.bin
  • System Volume Information

它为加密文件添加了扩展名.xls。对每个文件夹进行加密后,它将在每个文件夹上创建一个“ Read_Me.txt”文件,并显示以下消息。

访问https://yip[.]su/2QstD5会将您带到一个Freshdesk支持站点bit7.freshdesk.com。

其他W3Cryptolocker样本

  • c97852b425e41d384227124d93baf6c2d3e30b52295a828b1eac41dc0df94d29
  • 9a0af98d0b8f7eacc3fdd582bbc0d4199825e01eeb20c2a6f98023c33ece74f6
  • 01eea2a4628c6b27a5249a08152655246871acafa657e391b73444c05097976e
  • 9a08e87e8063b13546e464f73e87b2ca5bde9410fec4e614313e2b8a497592fa
  • 8dfe87850bd17b4eb0169b85b75b5f104ae6b84deeb2c81fe6ae5e19685f6c66
  • 53124033d521158771eac79ad6f489c6fdd5b25ab96712035c2ca65b3a3c5eed
  • aac2024789ffd2bfce97d6a509136ecf7c43b18c2a83280b596e62d988cedb10
  • fafabdffa67883587ba1a3c29f6345a378254f720efe8c2f318a4d5acdbce373

Redline Stealer

Redline Stealer是一种恶意软件,于2020年3月左右出现,据报道它针对美国的医疗保健和制造业。该恶意软件被发现在论坛上投放广告,并提供多种定价选项,起价为100美元/月。它具有以下功能:

  • Browser Data Stealer
    • Login and Passwords
    • Cookies
    • Autocomplete Fields
    • Credit Cards
  • Remote Task Functions
    • Execute Commands
    • Download Files
    • Download Files and Execute
    • RunPE (Process Injection for fileless infection)
    • OpenLink
  • FTP and IM client stealer
  • File-grabber
  • Collects information about the victim’s system

我们发现的样本是将比特币矿工存档到RAR文件中。该档案文件包含一个可执行文件MinerBitcoin.exe,该文件可从paste.nrecom.net下载Redline Stealer有效负载。

LimeRAT

LimeRAT是用.NET编码的远程管理木马,并且是开源的。它是APT-C-36小组用来针对哥伦比亚政府机构的恶意软件。它可以用作:

  • Ransomware
  • Remote Desktop
  • Crypto Mining
  • CryptoStealer
  • DDOS
  • Keylogger
  • Password Stealer

我们发现的另一个示例是aae2e0d0792e22164b3c81d0051c5f94a293bae69e7aac5cc4ad035860dbf802。在进行此分析时,该样本仍具有零VT检测。它从https://paste[.]nrecom[.]net/view/raw/93a7cd20下载LimeRAT。

结论

使用恶意软件基础结构的合法Web服务(例如pastebin或paste.nrecom)为网络犯罪分子提供了一个优势,因为这些服务由于其合法使用而无法轻易删除。我们建议安全操作部门将paste.nrecom添加到可能出于恶意目的而滥用的Web服务中。建议监视此类服务,以检查可疑内容,特别是以base64编码的二进制数据。

IOC

Domain

Paste.nrecom.net
192.12.66.108(ZoomEye搜索结果
lol.thezone.vip


Paper 本文由 Seebug Paper 发布,如需转载请注明来源。本文地址:https://paper.seebug.org/1354/