全球加密货币公司的梦魇：揭秘APT组织“危险密码” |微步在线报告

导语
日前，微步在线捕获了一个专门攻击加密货币公司的APT团伙，我们根据攻击手法将其命名为“危险密码”（DangerousPassword）。虚拟货币行业的从业者们，可要小心了。

TAG：加密货币公司、APT、中国、后门、危险密码
TLP：白（使用与转发不受限制）
日期：2019-11-21

概要近日微步在线威胁情报云捕获到多个具备相同特点的压缩木马文件，并关联发现幕后黑客的更多网络资产及攻击样本。由于诱饵文件以“每月业务报告”、“职位描述”、“项目风险简介”等话题，且内容均涉及加密货币，研判认为幕后存在一个专门攻击加密货币公司的APT团伙，我们根据攻击手法将其命名为“危险密码”（DangerousPassword），具体情况包括：

“危险密码”发布的诱饵文件涉及中文、英文、日文、俄文等，域名资产数量过百，且攻击目标集中于加密货币公司，目的为盗窃密币，是一个资源丰富、目标明确的APT团伙。
“危险密码”至少于2018年3月开始活跃，主要通过钓鱼邮件投递恶意文件下载链接，诱导收件者从仿冒的谷歌、微软、亚马逊云服务器下载木马压缩文件。
压缩文件一般包含诱饵加密文档和伪装成密码文件的恶意快捷方式，用户启动后会下载后门脚本直接执行，同时展示文档密码迷惑用户。
恶意后门启动后监测主机是否存在“金山毒霸”、“360”等软杀进程，以判断绕过或是否驻留等后续操作。同时后门会将主机信息、运行进程等数据发送回C&C服务器，并持续发起请求以执行后续操作。
微步在线威胁检测平台（TDP）、威胁情报管理平台（TIP）、DNS防火墙（OneDNS）、威胁情报云API均已支持该团伙最新攻击的检测。如需协助，请与我们联系： contactus@threatbook.cn。

详情
近日，微步在线威胁情报云捕获到多个利用压缩包存储木马的样本文件，解压后的文件包括经过加密的合法Office文档以及伪装成“密码”TXT（包括英语、俄语、日语等）的恶意快捷方式文件，效果如下图所示：

分析发现，快捷方式指向的地址均为美国bit.ly网站提供的短链接形式，文件执行后会从C&C服务器返回加密文档的密码同时在后台执行恶意代码，让用户误以为找到了密码并成功打开加密文件，是一个典型的社会工程学攻击手法。

样本分析
此次捕获木马的攻击框架如下：

以其中一份为例分析如下：Table 1
文件名
New Employee_s Salary and Bonus  Guideline.zip
文件类型
Zip压缩文件
文件大小
43kb
SHA256
A50EC2F42BEC1C43E952DE2728DE0217F178440BDD8FCEF70BB6DB4C27E9B4BB
1、压缩包包含三个文件，两个相同的加密的docx文件，以及一个伪装成“Password.txt”的lnk文件。

“1.New Employee's Salary and Bonus Guideline.docx”和“2.New Employee's Salary and BonusGuideline.docx”是两个哈希相同的文件，其文件内容经过加密，以此诱使用户点击“Password.txt”获取密码。Password.txt.lnk文件将远程链接一段Vbscript脚本执行，短域名形式的URL为“hxxps://bit[.]ly/2MgEsjc”，实际网络请求时，URL地址为“hxxp://download[.]showprice.xyz:8080/open?id=1qbg9gs5iLsG0BMJmCBAVWdmAbkV7WFDYPndK528Q7I%3D”。
2、通过lnk文件请求执行的vbscript脚本代码如下所示。

这段vbscript脚本的作用有四个：

a、在用户临时目录写入真正的Password.txt本文文件然后打开，显示密码内容“newsalarysystem”（该密码用于打开诱饵文件中的docx文件）。如用户关闭文本编辑器进程notepad，则Password.txt随即被删除。
b、在临时目录创建名为“xBoxOne.lnk”的lnk文件，该文件请求执行远程脚本类文件，URL地址：hxxps://bit[.]ly/2xMHylE。然后将该文件移动到启动目录实现持久化驻留。
c、杀软检测。
d、解密释放名为“qjqykntc.vbs”的文件到用户临时目录，然后执行。
杀软检测如下，通过wmi接口遍历当前系统进程，如检测到“kwsprot”进程（金山毒霸）或“npprot”进程（NPAV防病毒保护），则使用cscript.exe执行后续的落地vbscript；反之则使用wscript.exe引擎（猜测这里是为了做动态免杀处理）。然后接着进行杀软进程名称查找，如检测到包含“hudongf”的进程（360主动防御）或“qhsafe”的进程（360杀软组件），则删除临时目录中创建的lnk文件；反之正常执行。

在未检测到相关杀软的环境下释放的文件如下。

该段vbscript中，进行一系列字符串拼接、base64解密、杀软检测之后，将执行以下shell命令。

该shell将携带参数“41.85.145.164:8080/open”启动qjqykntc.vbs脚本。然后将临时目录中的lnk文件移动到系统启动目录实现持久化驻留。

3、分析释放执行的qjqykntc.vbs。
这是一个后门类的vbscript，该脚本将持续地向“http:41.85.145.164:8080/open?topic=s随机数”发送Post请求。如目标返回数据大于等于10字节则结束post请求，然后执行返回数据。

监控到的post请求如下。

4、监控到后续C&C返回的依旧是vbscript形式的脚本代码，抓包数据如下。

这段vbscript的作用是收集用户主机信息（用户名称、主机名称、主机装机配置信息、系统版本信息、网卡信息、ip等等）、系统当前进程信息，然后将这些信息返回给C&C服务器。C&C地址依旧为第一段vbs中编码的IP：41.85.145.164：8080

5、通过对C&C域名showprice.xyz进行拓线关联，发现C&C端还存在其他可疑组件，可用于下发。

其中较为特殊的是v.dat文件，这是一款免费、开源的远程管理工具，TightVNC，版本号2.8.8.

TightVNC工具端配置界面如下，通过设置连接密码（需与服务端保持一致）以及被控端ip即可实现远程桌面控制。被控端IP信息在上述分析的vbscript中已经获取，推断该工具将被用于黑客的后续攻击中。

6、分析启动目录下的xBoxOne.lnk文件。
xBoxOne.lnk链接执行远程资源脚本，url地址：hxxps://bit[.]ly/2xMHylE，跳转地址为hxxp://start.showprice[.]xyz:8080/open?id=rwWMIZ8lQAhRwWMTUEMo7orKhsHwtFd0WCYa1uiXpGeyOIy%2BMCi5djeGEpOUUix/。通过持续监控收到返回数据下。

这是一段类似于最开始password.txt.lnk链接执行的vbscript脚本，释放在用户临时目录的vbscript完全一致，取消了无用的自启设置，在代码混淆层面做了一些调整，内置的释放脚本启动参数换成了域名形式的C&C（drivegoogle.publicvm[.]com）。  其用于释放执行的脚本原始加密形态如下。

解密逻辑为：将元数据中的“`”（开单引号）、“~”（波浪号）进行替换，然后通过自定义的“bEABrsCDaInopJKdeLGHZcfMNOyzPiQRvwxSTklUVWghjmqXYFtu”字符串序列与默认base64字符序列“ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz”进行凯撒密码解密替换。解密函数如下。

该段脚本将执行自解密的lhMDuTqVJi.vbs，传入参数“drivegoogle.publicvm.com/open”。请求执行../open目录返回数据。

关联分析对此次捕获样本的C&C关联发现，幕后黑客还注册有大量类似恶意资产，且多仿冒谷歌、微软、亚马逊等大厂域名，如googleupload.info、docs.goglesheet.com、msupdate.publicvm.com、amzonnews.club等。

而从拓线出的域名又能关联到该组织更多攻击样本，追溯发现其攻击特点包括：1、攻击初始阶段为发送带有恶意链接的钓鱼邮件，诱导收件者下载上文分析的木马压缩包文件，如下图中的钓鱼邮件使用中文，且目标为一家区块链技术公司。

2、诱饵文档名称包括“每月业务报告”、“DevelopmentManagement Plan”（发展管理计划）、“事業の指針”（事业方针）、“Security Report (August 2019)”（2019年8月安全报告）、“NewEmployee's Salary and Bonus Guideline”（新员工薪金和奖金指南）、“CONSENSYSJOB DESCRIPTION”（CONSENSYS职位描述）、“BlockVerify Group Job Description[GDPR]”（BlockVerify小组职位描述）、“Обзор рисков проекта”(项目风险简介)等，推测其邮件发送目标可能涉及科技公司的高管、技术、招聘、运营等人员，且所有文档内容均与加密货币有关，因此判断其攻击目标为加密货币公司。

3、早期攻击中的恶意代码需通过启动Office文档中的宏启动，而从其LNK文件属性判断，攻击者至少自2018年6月22日起开始使用快捷方式植入后门，攻击手法更为巧妙，隐蔽性更强。

附录[h1]点击“阅读原文”查看更多相关IOC。[/h1]

关于 ThreatBook

THREATBOOK PRODUCTS

产品一览

TDP  |  TDPS  |  TIP
OneDNS 安全DNS

THREATBOOK CUSTOMERS

典型客户

政府

新华社 | 农业部 | 国家信息中心
海淀区政府 | 浦口信息中心

金融

人民银行清算中心
工商银行 | 农业银行 | 中国银行 | 交通银行
招商银行 | 民生银行 | 光大银行 | 微众银行
中国银联 | 农信银资金清算中心 | 蚂蚁金服
渤海银行 | 南京银行 | 浦发银行
厦门国际银行 | 江苏农信 | 山东农信
山东城商行联盟
中国平安 | 安邦保险 | 前海人寿 | 太平洋保险
银河证券 | 安信证券 | 国信证券 | 证通股份
广发证券 | 东方证券 | 中信建投证券 | 凡普金科
兴业证券 | 光大证券 | 中信集团 | 华泰证券
中信证券 | 国泰君安证券 | 东方花旗证券

能源

中国石油 | 国家电网 | 南方电网

互联网

腾讯 | 百度 | 字节跳动 | 金山云 | 爱奇艺 | 京东 | 美团
唯品会 | 汽车之家 | 瓜子二手车 | Bilibili | 太极云

更多

VIVO | 顺丰速运 | 中国移动
千寻位置 | 中兴通讯 | 波司登 | OPPO

THREATBOOK PARTNERS

合作伙伴

以下企业或产品中集成了微步威胁情报：

阿里云态势感知
情报模块(需单独采购)

互联网域名系统北京市工程研究中心
DNS硬件防火墙

以下企业或产品没有集成微步威胁情报：

深信服

安恒信息
绿盟科技
瀚思科技

等其他企业

产品合作信息以微步在线官方披露为准
我们将随时更新合作伙伴名单及合作类别