澳大利亚通信公司失陷,被利用分发恶意样本

安全
攻击者使用 LOLBAS 技术,利用 CVE-2022-30190 漏洞恶意代码,无需将可执行文件落地,尽量降低端点检出可执行文件的可能性。为了最大限度保持隐蔽,攻击者在多个阶段中都使用了合法签名。

澳大利亚通信公司失陷,被利用分发恶意样本

近日,微软披露 Microsoft Office 存在远程代码执行漏洞 CVE-2022-30190。Avast 的研究人员发现澳大利亚通信公司 VOIPS Telecom 帕劳分公司已经被攻陷,用于分发恶意软件。受害者打开恶意文档后,将会通过恶意网站下载并执行恶意软件。

复杂攻击

攻击分为多个阶段,相对复杂。攻击者使用 LOLBAS(Living off the Land Binaries And Scripts)技术,利用 CVE-2022-30190 漏洞恶意代码,无需将可执行文件落地,尽量降低端点检出可执行文件的可能性。为了最大限度保持隐蔽,攻击者在多个阶段中都使用了合法签名。

第一阶段

失陷的网站上部署了一个名为 robots.txt的可执行文件,这样在日志中即使被发现也能够尽可能不引起管理人员的注意。调用微软支持诊断工具程序(msdt.exe),下载 robots.txt并保存为 Sihost.exe,最后执行恶意程序。

image.png-89.8kB

下载文件

image.png-1421.1kB

网络流量

image.png-129kB

解码命令

第二阶段

当 msdt.exe 执行 Sihost.exe 时,样本会下载第二阶段的 Loader(b63fbf80351b3480c62a6a5158334ec8e91fecd057f6c19e4b4dd3febaa9d447)。下载的 Loader 用于下载和解密第三阶段的恶意文件,该文件为也在相同 Web 服务器上部署的加密文件 favicon.svg。

image.png-76.9kB

解密操作

image.png-35.4kB

样本下载

第三阶段

加密文件 favicon.svg 被解密后,会下载第四阶段的样本。

image.png-462.5kB

解密样本示例

image.png-323.9kB

样本下载

这些样本也是部署在 palau.voipstelecom.com.au上的,被命名为 Sevntx64.exe与 Sevntx.lnk。

第四阶段

恶意样本执行时,会加载一个长为 66kb 的 Shellcode 程序。该程序名为 Sevntx64.exe,是 AsyncRAT 家族的恶意程序,且与 Sihost.exe使用相同的证书进行签名。

image.png-561.4kB

加载 Shellcode

第五阶段

感染链的最后,攻击者部署 AsyncRAT 远控木马(aba9b566dc23169414cb6927ab5368b590529202df41bfd5dded9f7e62b91479)。木马与 palau.voipstelecom.com.au 的 443 端口进行 C&C 通信。

image.png-1081.9kB

AsyncRAT 配置信息

回溯

研究人员也发现了恶意软件的早期版本:

责任编辑:赵宁宁 来源: FreeBuf.COM
相关推荐

2023-12-25 16:16:28

2022-09-29 00:19:37

安全数据泄露网络安全

2013-06-03 09:35:18

澳大利亚云政策云计算

2020-12-02 15:06:44

手机监控漏洞攻击

2009-11-13 17:56:32

澳大利亚政府Juniper Net

2015-01-07 13:31:41

网络故障澳大利亚

2011-05-04 10:51:55

EA手机游戏

2016-11-03 09:46:26

大数据应用澳大利亚

2010-01-21 09:01:35

2012-10-09 09:33:29

CIO富士通微软

2018-04-26 10:51:07

云计算公共云澳大利亚政府

2012-08-13 09:30:53

2021-04-29 06:34:02

毫米波频谱牌照

2015-10-09 10:52:55

澳大利亚桌面主题Windows

2012-05-04 08:55:22

RIM黑莓BlackBerry

2011-11-23 13:20:44

网真华为

2021-10-19 16:43:54

加密货币比特币货币

2012-03-28 10:10:53

澳大利亚电信协同服务

2021-12-14 15:58:07

信息泄露网络攻击漏洞
点赞
收藏

51CTO技术栈公众号