网络第5域

UTG-Q-007:越南语木马ROTbot正在瞄准亚洲地区

字号+作者: 来源:安全内参 2024-02-22 00:00 评论(创建话题) 收藏成功收藏本文

该团伙攻击目标有中国、韩国、越南、印度等亚洲国家,行业涉及建筑、房产营销、互联网,并使用特有的ROTbot木马窃取加密货币、知识产权、社交账号等敏感数'...

该团伙攻击目标有中国、韩国、越南、印度等亚洲国家,行业涉及建筑、房产营销、互联网,并使用特有的ROTbot木马窃取加密货币、知识产权、社交账号等敏感数据。

概述vjU品论天涯网

奇安信威胁情报中心在日常终端运营过程中发现客户收到了定向的钓鱼邮件,附件名为“版權資訊及版權保護政策 Dentsu Taipei.zip”,内容包含恶意的lnk文件和正常的PDF诱饵,天擎EDR第一时间对脚本木马进行了拦截,虽然攻击者并未对我们的客户造成太大的损失,但该团伙使用的中文诱饵和后续木马引起了我们的兴趣。vjU品论天涯网

经过一段时间调查,奇安信威胁情报中心将该犯罪团伙归为未知威胁组织类别,赋予其跟踪编号UTG-Q-007。该团伙攻击目标有中国、韩国、越南、印度等亚洲国家,行业涉及建筑、房产营销、互联网,并使用特有的ROTbot木马窃取加密货币、知识产权、社交账号等敏感数据,与faceduck Group(ducktail)盈利模式类似存在劫持facebook商业账号ads的行为,我们将相关细节披露给开源社区,供友商进行分析排查。vjU品论天涯网

vjU品论天涯网

技术细节vjU品论天涯网

在针对加密货币行业的攻击中投递的PDF如下:vjU品论天涯网

vjU品论天涯网

vjU品论天涯网

vjU品论天涯网

投递的LNK元数据如下:vjU品论天涯网

vjU品论天涯网

vjU品论天涯网

vjU品论天涯网

调用forfiles.exe并执行powershell脚本,最终启动mshta加载远程hta脚本文件,C2服务器opendir内容如下:vjU品论天涯网

vjU品论天涯网

vjU品论天涯网

vjU品论天涯网

139.99.23.XX-Tru.hta主要为混淆的VBScript文件,主要功能为启动powershell脚本:vjU品论天涯网

vjU品论天涯网

vjU品论天涯网

vjU品论天涯网

经过AES解密后再经Gzip解压后执行内容,如下:vjU品论天涯网

vjU品论天涯网

vjU品论天涯网

vjU品论天涯网

vjU品论天涯网

vjU品论天涯网

攻击者使用了一种改进型的UAC绕过技术,为了规避杀软的拦截,攻击者创建了一个名为.omg的progID,并将ms-settings progID 中的 CurVer 条目指向.omg,当启动系统文件fodhelper.exe时会先使用ms-settings progID打开文件,并读取CurVer的内容,CurVer已经被指向到攻击者创建的.omg的ProgID中,最终执行$OMG变量中的ps脚本,$code内容如下:vjU品论天涯网

vjU品论天涯网

vjU品论天涯网

vjU品论天涯网

从远程服务器下载压缩包并运行,攻击者一直在持续更新hta的执行链,在最新的LNK诱饵中执行链已经与上述完全不同,UTG-Q-007投递了多种类型的木马:NetSupport、Stealc、AsyncRAT、Rhadamanthys,其中不少为MAAS提供的家族,在我们剔除MAAS常用的木马后,发现UTG-Q-007使用的一款新型的木马,我们将其命名为ROTBot,PDB中出现了越南语。vjU品论天涯网

PDB vjU品论天涯网

D:\ROT\ROT\Build rot Export\2024\Bot Export Chiến\14.225.210.XX-Chiến -Ver 2.0\GPT\bin\Debug\spoolsv.pdbvjU品论天涯网

ROTbot首先会获取受害者设备的基础信息,并用基础信息中的公网IP、进程列表、用户名、计算机名与内置的列表进行比对,如果出现在列表中则中止执行vjU品论天涯网

vjU品论天涯网

vjU品论天涯网

检测完成后,会通过GET请求来获取第一阶段载荷,URL为google云文档vjU品论天涯网

vjU品论天涯网

vjU品论天涯网

vjU品论天涯网

vjU品论天涯网

vjU品论天涯网

返回一个ChildBot.txt文件,里面的内容是经过两次Base64加密后的信息,解密后如下vjU品论天涯网

vjU品论天涯网

vjU品论天涯网

vjU品论天涯网

其中第一段部分为下一阶段载荷获取的链接(google云文档),第二部分和第三部分用于拼接通知设备上线的URL(telegram bot) ,之后会从资源中释放一个DLL文件:SQLite.Interop.dl,到当前目录下。vjU品论天涯网

vjU品论天涯网

vjU品论天涯网

vjU品论天涯网

将收集到的信息组成上线包,格式如下:vjU品论天涯网

vjU品论天涯网

vjU品论天涯网

vjU品论天涯网

通过Telegram API上传给Telegram bot。vjU品论天涯网

vjU品论天涯网

vjU品论天涯网

vjU品论天涯网

上线成功后会调用API函数getUpdates检测上线包是否发送成功,接着将获取的配置信息写入Setting.xml文件中。vjU品论天涯网

vjU品论天涯网

vjU品论天涯网

vjU品论天涯网

最后在内存中加载自身资源文件AI.dll,并运行其 Plugin.Run方法,通过URLArgsMainBot 字段(第二个google文档链接)获取下一阶段配置文件vjU品论天涯网

vjU品论天涯网

vjU品论天涯网

vjU品论天涯网

配置解密后分为两个部分,第一部分是C2,第二部分是互斥体名称vjU品论天涯网

vjU品论天涯网

vjU品论天涯网

vjU品论天涯网

对当前屏幕进行截图并保存到temp文件夹下,图片文件名由16个随机字符组成,然后把屏幕截图通过API上传到telegram bot,以后每次向电报机器人发送消息时都会发送一张截图,并将消息附加在截图后vjU品论天涯网

vjU品论天涯网

vjU品论天涯网

vjU品论天涯网

根据AVDetect字段选择性的进行持久化操作vjU品论天涯网

vjU品论天涯网

vjU品论天涯网

vjU品论天涯网

如果存在kaspersky则不进行持久化,如果存在avg 和avast时则向tg bot发送如下消息:vjU品论天涯网

vjU品论天涯网

vjU品论天涯网

vjU品论天涯网

窃取浏览器数据包含facebook、instagram、youtube、商业版tiktok等vjU品论天涯网

vjU品论天涯网

vjU品论天涯网

vjU品论天涯网

攻击者想要劫持一些社交网账号的ads以谋取经济利益。攻击意图与faceduck Group(ducktail)团伙相似,我们在2023年终报告中详细描述了faceduck Group在国内的攻击活动[1],但是我们并没有发现UTG-Q-007与faceduck Group存在重叠的证据。vjU品论天涯网

ROTbot最后会进入远控逻辑,回连第二阶段配置文件中的C2,经过分析发现控制代码源自于开源项目Quasar。vjU品论天涯网

vjU品论天涯网

vjU品论天涯网

vjU品论天涯网

基础设施和受害者vjU品论天涯网

基于奇安信威胁情报中心遥测数据,UTG-Q-007在承载hta脚本时使用了大量的跳板网站,可能购买了MAAS相关的服务:vjU品论天涯网

跳板网站vjU品论天涯网

网站描述vjU品论天涯网

hxxps://solutionsinengineering.com/Source.htavjU品论天涯网

澳大利亚建筑公司 wordpressvjU品论天涯网

hxxps://all-access-media.com/media/templates/site/localer-en.htavjU品论天涯网

照片网站vjU品论天涯网

hxxps://thecreativelion.com/wp-content/uploads/2021/11/xczxcxzcxzcxzcxzc23.htavjU品论天涯网

IT公司 wordpressvjU品论天涯网

hxxps://topmark-tuitioncentre.co.uk/wp-content/uploads/useanyfont/wp-contentplugins.htavjU品论天涯网

教育机构 wordpressvjU品论天涯网

hxxps://elmejorlocal.com.co/wp-content/uploads/2018/05/cachexxx.htavjU品论天涯网

商场 wordpressvjU品论天涯网

hxxps://one-stopspa.com/wp-content/uploads/2019/11/lolcaljefosijfoesnofiegoiesgnos.htavjU品论天涯网

医疗美容 wordpressvjU品论天涯网

hxxps://embutidoskami.sdb.bo/wp-content/uploads/2015/06/HDDREQ.htavjU品论天涯网

食品公司 wordpressvjU品论天涯网

hxxps://alexiakombou.com/wp-content/uploads/2021/12/EN-localer.htavjU品论天涯网

个人博客 wordpressvjU品论天涯网

hxxp://mw-solaris.com/solaris.htavjU品论天涯网

区块链游戏网站vjU品论天涯网

除了跳板网站外,UTG-Q-007团伙注册的域名也呈现出一定的规律性。vjU品论天涯网

vjU品论天涯网

vjU品论天涯网

vjU品论天涯网

ROTbot回连的C2服务器如下:vjU品论天涯网

C2 vjU品论天涯网

14.225.210.97:12024vjU品论天涯网

14.225.210.98:12024vjU品论天涯网

上述IP隶属于越南邮电集团vnpt,该公司提供的VPS相对来讲较为廉价,在以往的攻击事件中我们只观察到有团伙使用vnpt的vps作为代理展开攻击活动,将其作为C2的情况并不多见。vjU品论天涯网

vjU品论天涯网

vjU品论天涯网

vjU品论天涯网

ROTbot在2024年共使用了三个telegram bot:vjU品论天涯网

Bot vjU品论天涯网

first_name vjU品论天涯网

username vjU品论天涯网

6548823856:AAFj_qauGdRc8HWmo1ZSBQ_EtviF7hK0GKovjU品论天涯网

Debug2024149XXbotvjU品论天涯网

tetris149_botvjU品论天涯网

6383173017:AAH2kFOJOIXulitofO7YV1QBI8VOzzFoA-YvjU品论天涯网

Chienthan1425BotvjU品论天涯网

chiendebug14225BotvjU品论天涯网

6712371927:AAF6lsf9WRb4cggeJzfTgHTreot8-jO1CTkvjU品论天涯网

AKhue14225XXBotvjU品论天涯网

KhueVu14225BotvjU品论天涯网

经过短暂的监控,我们观察到了一个位于越南的受害者,正在被窃取浏览器中youtube的凭证。vjU品论天涯网

vjU品论天涯网

vjU品论天涯网

受害者上传的屏幕截图如下:vjU品论天涯网

vjU品论天涯网

vjU品论天涯网

vjU品论天涯网

受害者被窃取数据时正在使用sketchup建筑软件进行建模,下方任务栏中装有CF穿越火线(由Tencent公司运营的FPS游戏),符合受害者所在地区的游戏生态,从version版本来看攻击者似乎已经迭代数个版本,ROTbot的活跃时间可能更早 ,虽然其仍处于debug阶段, 但在2024年初就表现出不俗的能力,奇安信威胁情报中心会持续对其进行监控。vjU品论天涯网

vjU品论天涯网

总结vjU品论天涯网

目前,基于奇安信威胁情报中心的威胁情报数据的全线产品,包括奇安信威胁情报平台(TIP)、天擎、天眼高级威胁检测系统、奇安信NGSOC、奇安信态势感知等,都已经支持对此类攻击的精确检测。vjU品论天涯网

vjU品论天涯网

vjU品论天涯网

IOCvjU品论天涯网

MD5:vjU品论天涯网

120c6d7e78fb92b2feada47c9d8bbab0vjU品论天涯网

b86ba0844db442df61a5889b004e615bvjU品论天涯网

30705266725f9bad60ea12821acf740avjU品论天涯网

8bd7eece235cee14ab700f23b7ac29dbvjU品论天涯网

51bad062733f1babc99254ca06db0e46vjU品论天涯网

90a4af96abea4d8179c789fa3c72ddcfvjU品论天涯网

82456d523f39ecb87324542c918e7dd6vjU品论天涯网

6dd355c754cc7d3bcdeeeef32fdc16c9vjU品论天涯网

vjU品论天涯网

C2:vjU品论天涯网

14.225.210.97:12024vjU品论天涯网

14.225.210.98:12024vjU品论天涯网

vjU品论天涯网

Hta载荷:vjU品论天涯网

hxxp://149.248.79.118/149248XX/149248XX.htavjU品论天涯网

hxxp://154.56.56.41/nilxvnq.htavjU品论天涯网

hxxp://199.34.27.196/139.99.23.XX/139.99.23.XX-Tru.htavjU品论天涯网

hxxp://199.34.27.196/139.99.23.XX/139.99.23.XX.htavjU品论天涯网

hxxp://199.34.27.196/14.225.210.98/14.225.210.XX-Khue.htavjU品论天涯网

hxxp://199.34.27.196/14.225.210.XX/14.225.210.XX-Chien.htavjU品论天涯网

hxxp://45.9.190.201/dt-excv.htavjU品论天涯网

hxxp://51.79.208.192/T/T.htavjU品论天涯网

hxxp://80.76.51.250/Downloads/start-of-proccess.lnkvjU品论天涯网

hxxp://81.19.140.150/crypto.htavjU品论天涯网

hxxp://82.115.223.34/pdf/final.htavjU品论天涯网

hxxp://83.217.9.36/manual.htavjU品论天涯网

hxxp://94.156.253.211/Downloads/run-dwnl-restart.lnkvjU品论天涯网

hxxp://mw-solaris.com/solaris.htavjU品论天涯网

hxxps://alexiakombou.com/wp-content/uploads/2021/12/EN-localer.htavjU品论天涯网

hxxps://all-access-media.com/media/templates/site/localer-en.htavjU品论天涯网

hxxps://coingecko.bond/lass.htavjU品论天涯网

hxxps://coingecko.bond/PuttyUac.htavjU品论天涯网

hxxps://distribution.adrdownload.software:40430/e4f0340b1/Scan004_40599.htavjU品论天涯网

hxxps://elmejorlocal.com.co/wp-content/uploads/2018/05/cachexxx.htavjU品论天涯网

hxxps://embutidoskami.sdb.bo/wp-content/uploads/2015/06/HDDREQ.htavjU品论天涯网

hxxps://one-stopspa.com/wp-content/uploads/2019/11/lolcaljefosijfoesnofiegoiesgnos.htavjU品论天涯网

hxxps://solutionsinengineering.com/Source.htavjU品论天涯网

hxxps://thecreativelion.com/wp-content/uploads/2021/11/xczxcxzcxzcxzcxzc23.htavjU品论天涯网

hxxps://topmark-tuitioncentre.co.uk/wp-content/uploads/useanyfont/wp-contentplugins.htavjU品论天涯网

vjU品论天涯网

域名:vjU品论天涯网

adobe.barvjU品论天涯网

adobe.charityvjU品论天涯网

coingecko.betvjU品论天涯网

coingecko.biovjU品论天涯网

coingecko.bondvjU品论天涯网

coingecko.centervjU品论天涯网

coingecko.cfdvjU品论天涯网

coingecko.codesvjU品论天涯网

coingecko.spacevjU品论天涯网

dwnld.funvjU品论天涯网

dwnld.onlinevjU品论天涯网

libreoffice.bestvjU品论天涯网

libreoffice.betvjU品论天涯网

libreoffice.bondvjU品论天涯网

libreoffice.wikivjU品论天涯网

losbandygs.org.esvjU品论天涯网

mlr.latvjU品论天涯网

op-09816me.latvjU品论天涯网

plomtenburg.comvjU品论天涯网

post-b09276.infovjU品论天涯网

tetromask.onlinevjU品论天涯网

tetromask.sitevjU品论天涯网

update.barvjU品论天涯网

updts.spacevjU品论天涯网

www.losbandygs.org.esvjU品论天涯网

www.plomtenburg.comvjU品论天涯网

www.post-b09276.infovjU品论天涯网

参考链接vjU品论天涯网

[1].https://ti.qianxin.com/uploads/2024/02/02/dcc93e586f9028c68e7ab34c3326ff31.pdfvjU品论天涯网

本网除标明“PLTYW原创”的文章外,其它文章均为转载或者爬虫(PBot)抓取; 本文只代表作者个人观点,不代表本站观点,仅供大家学习参考。本网站属非谋利性质,旨在传播马克思主义和共产主义历史文献和参考资料。凡刊登的著作文献侵犯了作者、译者或版权持有人权益的,可来信联系本站删除。 本站邮箱[email protected]