网络第5域

UTG-Q-003:微软应用商店7ZIP供应链投毒事件始末

字号+作者: 来源:安全内参 2023-12-12 00:00 评论(创建话题) 收藏成功收藏本文

经过测试,微软应用商店并没有上架官方的7ZIP安装程序,如果用户搜索“7z”相关的关键词则会展示该恶意安装包。概述奇安信威胁情报中心在日常终端运营过程'...

经过测试,微软应用商店并没有上架官方的7ZIP安装程序,如果用户搜索“7z”相关的关键词则会展示该恶意安装包。

概述LkL品论天涯网

奇安信威胁情报中心在日常终端运营过程中发现了一个异常的行为,一个名为WindowsPackageManagerServer的进程经过复杂的操作最终启动了免杀的Lumma Stealer,我们随即展开了调查,并最终在微软应用商店找到了对应的恶意安装包,内容为俄语版的7Zip软件。经过我们的测试微软应用商店并没有上架官方的7ZIP安装程序,如果用户搜索“7z”相关的关键词则会展示该恶意安装包。LkL品论天涯网

LkL品论天涯网

LkL品论天涯网

LkL品论天涯网

我们第一时间将该情况上报给了微软,目前该恶意软件已经从微软应用商店下架, 上报时间线如下:LkL品论天涯网

LkL品论天涯网

LkL品论天涯网

LkL品论天涯网

通过溯源发现该安装包最早出现于2023年一月份,几乎免杀了一整年。我们内部将该团伙命名为UTG-Q-003,并将该事件细节和IOC公开给开源社区,供友商分析排查。LkL品论天涯网

LkL品论天涯网

LkL品论天涯网

LkL品论天涯网

攻击链LkL品论天涯网

我们不清楚攻击者是如何将恶意的安装包上架到微软应用商店的,基于奇安信大数据平台7z-soft软件最早的下载时间是2023年3月17。执行链如下:LkL品论天涯网

LkL品论天涯网

LkL品论天涯网

JPHP是使用java的虚拟机执行PHP代码的一款开源项目,将php的源代码编译成java字节码,并在JVM里面运行,故免杀效果非常好,攻击者使用JPHP的库函数jurl从远程服务器下载后续payload。LkL品论天涯网

LkL品论天涯网

LkL品论天涯网

LkL品论天涯网

攻击者为了保持长时间的免杀在其C2服务器上频繁更新payload,我们一天能请求到2-3个MD5不同的soft.exe,主要目的是窃取受害机器上的txt、doc、rdp、key、wallet、seed、lnk等类型的文件,所涉及的家族为redline malware、Lumma Stealer、Amadey。LkL品论天涯网

LkL品论天涯网

基于VT数据我们观察到7z-soft.exe除了微软应用商店投递外还有别的下载方式LkL品论天涯网

LkL品论天涯网

LkL品论天涯网

LkL品论天涯网

上述URL目前已经无法访问,但是基于历史的数据我们发现在请求域名(deputadojoaodaniel.com.br)后跳转到cdn.discordapp.com托管的链接上LkL品论天涯网

LkL品论天涯网

LkL品论天涯网

LkL品论天涯网

查看两个域名历史的html页面发现均为wordpress网站,这就意味着UTG-Q-003极有可能入侵了wordpress的网站并将其作为跳板,用于存放payload和实现网页重定向。这种攻击手法对于俄语系的团伙非常常见。LkL品论天涯网

LkL品论天涯网

LkL品论天涯网

LkL品论天涯网

在十月份时我们检测到在访问analiticaderetail.com时直接跳转到了browserneedupdate.com页面,经过我们的分析,这是攻击者另一套攻击链,基于chrome浏览器消息推送机制的社工攻击链,攻击流程如下:LkL品论天涯网

LkL品论天涯网

LkL品论天涯网

LkL品论天涯网

攻击者制作了一个较为逼真的cloudflare DDOS防护页面,并提示你该域名正在处于DDOS攻击中,接着弹出一个仿冒人机验证的框诱导受害者进行点击,LkL品论天涯网

LkL品论天涯网

LkL品论天涯网

LkL品论天涯网

点击后会新启动一个页面并跳转到brolink2s.site域并加载一个JS,JS主要功能弹出显示通知并且诱导受害者点击允许按钮。LkL品论天涯网

LkL品论天涯网

LkL品论天涯网

LkL品论天涯网

受害者一旦点击允许,那么该网站就会加入chrome的消息推送列表,并且通知推送适用于任何平台(MAC、windows、Android)。LkL品论天涯网

LkL品论天涯网

LkL品论天涯网

LkL品论天涯网

即使受害者的浏览器处于关闭状态,攻击者依然可以通过windows通知推送相关链接,推送效果图如下:LkL品论天涯网

LkL品论天涯网

LkL品论天涯网

LkL品论天涯网

我们统计从十月至今一共有十个域名重定向到browserneedupdate.com,域名类型也都为电影资源网、软件开发等,这就意味着攻击者完全可以在攻击的第一阶段只投递带有诱导受害者开启消息通知链接的钓鱼邮件,并且通过入侵合法网站设置跳转的方式绕过邮件网关检测,第二阶段攻击者根据目标主机的平台可以推送定制化的钓鱼链接,诱导受害者下载并运行诱饵文件,这种社工方式的可信度要比钓鱼邮件提示用户软件更新要高很多,并且非常隐蔽。LkL品论天涯网

Domain LkL品论天涯网

analiticaderetail.comLkL品论天涯网

creatologics.comLkL品论天涯网

www.50kmovie.comLkL品论天涯网

linta.softwareLkL品论天涯网

captionhost.netLkL品论天涯网

www.bcca.krLkL品论天涯网

opwer.topLkL品论天涯网

fms.net.brLkL品论天涯网

leanbiome-leanbioome.comLkL品论天涯网

zuripvp.tkLkL品论天涯网

creatologics.comLkL品论天涯网

除此之外,UTG-Q-003还投递过如下类型的安装包,仍然是基于JPHP框架的下载者。LkL品论天涯网

LkL品论天涯网

LkL品论天涯网

LkL品论天涯网

LkL品论天涯网

LkL品论天涯网

LkL品论天涯网

LkL品论天涯网

归因和影响LkL品论天涯网

基于奇安信威胁情报中心遥测数据,从8月份开始,从微软应用商店下载该安装包的数量明显增多,我们认为可能与winrar漏洞有关,在CVE-2023-38831的EXP公布后四五天就有东亚地区的APT组织对中国大陆发起钓鱼攻击活动,各单位可能要求员工更换压缩软件,外加国内搜索引擎已经被SEO黑产团伙搞得乌烟瘴气,根本无法找到7zip官方下载网站,所以部分用户只能去微软应用商店去下载7zip从而导致中招。LkL品论天涯网

LkL品论天涯网

LkL品论天涯网

这也是为什么在一款俄语的恶意安装包上的差评竟由中文用户提交,这看起来很讽刺但这就是目前国内软件下载的糟糕生态。LkL品论天涯网

LkL品论天涯网

LkL品论天涯网

LkL品论天涯网

攻击者所使用的域名的注册信息都是与俄乌相关的,但我们无法获取到国外受害者的信息,特别是俄语区的受害者。故无法做出相关的归属。LkL品论天涯网

LkL品论天涯网

LkL品论天涯网

LkL品论天涯网

总结LkL品论天涯网

目前,基于奇安信威胁情报中心的威胁情报数据的全线产品,包括奇安信威胁情报平台(TIP)、天擎、天眼高级威胁检测系统、奇安信NGSOC、奇安信态势感知等,都已经支持对此类攻击的精确检测。LkL品论天涯网

LkL品论天涯网

LkL品论天涯网

IOCLkL品论天涯网

有关UTG-Q-003的详细IOC,请参阅奇安信威胁情报中心红雨滴团队Github [1]。LkL品论天涯网

LkL品论天涯网

参考链接LkL品论天涯网

[1].https://github.com/RedDrip7/APT_Digital_Weapon/tree/master/UTG-Q-003LkL品论天涯网

本网除标明“PLTYW原创”的文章外,其它文章均为转载或者爬虫(PBot)抓取; 本文只代表作者个人观点,不代表本站观点,仅供大家学习参考。本网站属非谋利性质,旨在传播马克思主义和共产主义历史文献和参考资料。凡刊登的著作文献侵犯了作者、译者或版权持有人权益的,可来信联系本站删除。 本站邮箱[email protected]