摘要:結合報告披露的內容,有數字加密貨幣的相關人員收到了如下圖的郵件之後,點擊了對應的html從而導致後臺惡意代碼執行,有意思的是其提供的後續惡意代碼和之前Coinbase安全人員提供的一致,即de3a8b1e149312dac5b8584a33c3f3c6,因此將這個兩次事件聯繫到一起,猜測這次0day的攻擊源頭來自於people.ds.cam.ac.uk/nm603/awards/Adams_Prize。而我們注意到fireeye在2019年3月底的利用 WinRAR 漏洞CVE-2018-20250的攻擊活動報告中的一起攻擊活動中,提到了利用 WinRAR 漏洞投遞 Netwire 木馬,並且使用了89.34.111.113的 C2,其 C2 IP 地址和此次0day 漏洞的攻擊 C2相同。

背景

近期的 Firefox漏洞CVE-2019-11707最早是 Google Project Zero的Samuel Groß在4月15號提交的,不過他發現的0day只能導致代碼執行,卻無法進行Firefox的沙盒逃逸,因此如果在實際攻擊中利用應該還需要配合一個沙盒逃逸的漏洞。

隨後在近日,數字貨幣交易機構Coinbase的安全人員向Firefox提交了其內部遭到攻擊時捕獲到的一個漏洞,該漏洞經過證明爲一處沙盒逃逸的漏洞,並被命名爲CVE-2019-11708。

後續Coinbase的相關安全人員也公佈了其中的 IOC,並且聲稱其並不是遭受攻擊的唯一數字貨幣交易機構。

Hash:

af10aad603fe227ca27077b83b26543b

de3a8b1e149312dac5b8584a33c3f3c6

C2 IP:

89.34.111.113:443

185.49.69.210:80

並且著名的Mac惡意樣本研究小站Objective-See發佈了涉及該漏洞事件投遞的macOS 後門的分析報告(https://objective-see.com/blog/blog_0x43.html)。

結合報告披露的內容,有數字加密貨幣的相關人員收到了如下圖的郵件之後,點擊了對應的html從而導致後臺惡意代碼執行,有意思的是其提供的後續惡意代碼和之前Coinbase安全人員提供的一致,即de3a8b1e149312dac5b8584a33c3f3c6,因此將這個兩次事件聯繫到一起,猜測這次0day的攻擊源頭來自於people.ds.cam.ac.uk/nm603/awards/Adams_Prize。

隨後我們對相關線索進行進一步的分析。

分析

我們通過vt可以看到Coinbase提供的兩個樣本,其中主要關注第二個,該樣本和之前objective-see中提到的一致。

第一次的提交時間爲6月6日,來自於南非,第二次則是6月20日,來自於加拿大。

再看看由Coinbase提供的兩個ip,89.34.111.113:443和185.49.69.210:80

其中89.34.111.113下就有之前提到的de3a8b1e149312dac5b8584a33c3f3c6(IconServicesAgent),除此之外一個還有一個windows相關的樣本,上傳時間爲2018年4月16日。

結合奇安信TIP 平臺也可以查看到該 IP 歷史對應的樣本,其爲 Emotet,知名的銀行木馬。

185.49.69.210:80下則沒有太多有效關聯信息。

分析下de3a8b1e149312dac5b8584a33c3f3c6這個樣本,該樣本應該是 Mac 下的 Netwire RAT,Netwire RAT 是一個公開的木馬。樣本中有一處比較特殊的字符串”hyd7u5jdi8″。

hyd7u5jdi8這個字符比較特殊,其曾在2012年的Netwire樣本中出現,該樣本號稱第一個mac osx及linux的樣本。

而該Netwire 木馬之前也被APT組織和網絡犯罪團伙所使用。

例如被認爲隸屬於伊朗的APT 33所使用, 著名的網絡犯罪團伙Carbanak和尼日利亞黑客組織SilverTerrier。

有意思的是之後名爲Vitali Kremez的研究人員介紹該字符串也出現在 FireEye在2017年5月報的CVE-2017-0261 eps 0day攻擊事件中。

而在當時的攻擊中最後投遞的樣本正是Netwire。

而從fireeye的報告中可以看到,這起攻擊中出現了三個團伙turla,apt28,及一個未知的經濟動機組織,該組織使用的正是NETWIERE,且其攻擊的目標爲全球銀行組織在中東的相關機構。

而我們注意到fireeye在2019年3月底的利用 WinRAR 漏洞CVE-2018-20250的攻擊活動報告中的一起攻擊活動中,提到了利用 WinRAR 漏洞投遞 Netwire 木馬,並且使用了89.34.111.113的 C2,其 C2 IP 地址和此次0day 漏洞的攻擊 C2相同。

總結

當前的證據似乎還不能完全歸屬到已知的攻擊組織,但結合上述關聯分析,我們可以做出如下推測:

1. 該組織應該以經濟牟利爲重要攻擊動機,歷史攻擊目標可能爲銀行,並延伸至數字貨幣交易所

2. 從目標地域來看,中東似乎是其主要目標,但結合文件上傳地分佈,也不排除是全球性的

3. 使用 Netwire 作爲其主要的 RAT 工具,值得注意的是 Netwire 是公開的商業版 RAT,並適配與多個平臺,攻擊者可能使用的帶有特定指紋的版本

4. 攻擊者似乎具備較強的0day 漏洞利用能力,但也不排除其是購買的0day 漏洞,但值得注意的是攻擊者一直處於活躍之中。

參考鏈接

*本文作者:奇安信威脅情報中心,轉載請註明來自FreeBuf.COM

相關文章