“蛛”联璧合？LUNAR SPIDER活动中发现WIZARD SPIDER的TrickBot定制模块

2019年2月7日，CrowdStrike Intelligence发现了一个对WIZARD SPIDER恶意组织的TrickBot恶意软件进行分发的新活动，此次活动来自LUNAR SPIDER恶意组织，其特殊之处在于，这是迄今为止首次在LUNAR SPIDER的活动中发现此类TrickBot模块的变体。

WIZARD SPIDER是TrickBot银行恶意软件的俄罗斯运营商，迄今为止一直处于不断发展的阶段，GRIM SPIDER疑似为WIZARD SPIDER威胁组织的所属小组。而LUNAR SPIDER恶意组织则是东欧商品银行恶意软件的开发和运营商，其名下的恶意软件BokBot（又名IcedID）于2017年4月首次出现。BokBot恶意软件通过使用webinjects和恶意软件分发功能，让LUNAR SPIDER在凭证盗窃和电信欺诈上大展拳脚。

2017年7月，CrowdStrike Intelligence首次确认了涉及BokBot和TrickBot的活动。在这些活动中，受BokBot感染的机器发出了下载和执行TrickBot有效载荷的命令。自那时起，BokBot和TrickBot之间的关系便一直断断续续，而最近的这次活动可能标志着两者关系进入了一个更为“亲密”的阶段。

TrickBot的分发

2019年2月7日，LUNAR SPIDER的BokBot（项目ID C610DF9A）被观测到从http://tfulf[.]host/ sw9hjxzq.exe处下载并执行了一个加载器，该定制的加载器随后从http://185.68.93[.]30/sin.png处下载了一个TrickBot加载器。此样本的配置文件表明它是TrickBot的1000351版本并且属于组标（gtag）为sin2的组。前缀为sin的组标是先前前缀为mom的组标的继任，与此次LUNAR SPIDER活动相关。

完整的TrickBot配置文件，包括命令和控制（C2）服务器，如下所示。

<mcconf>
     <ver>1000351</ver>
     <gtag>sin2</gtag>
     <servs>
          <srv>185.246.64[.]237:443</srv>
          <srv>68.119.85[.]138:449</srv>
          <srv>65.184.200[.]184:449</srv>
          <srv>185.62.188[.]30:443</srv>
          <srv>96.36.253[.]146:449</srv>
          <srv>92.38.135[.]33:443</srv>
          <srv>24.247.181[.]155:449</srv>
          <srv>31.131.22[.]212:443</srv>
          <srv>208.79.106[.]155:449</srv>
          <srv>192.227.204[.]224:443</srv>
          <srv>124.29.213[.]74:449</srv>
          <srv>46.100.14[.]215:449</srv>
          <srv>190.109.178[.]222:449</srv>
          <srv>103.47.168[.]172:449</srv>
          <srv>208.79.110[.]201:449</srv>
          <srv>204.14.154[.]126:449</srv>
          <srv>103.47.168[.]72:449</srv>
          <srv>103.47.168[.]91:449</srv>
          <srv>46.21.249[.]220:443</srv>
          <srv>107.146.147[.]235:449</srv>
          <srv>185.62.188[.]30:443</srv>
          <srv>68.111.123[.]100:449</srv>
          <srv>103.47.169[.]27:449</srv>
          <srv>24.247.182[.]240:449</srv>
          <srv>36.91.74[.]138:449</srv>
          <srv>125.209.82[.]158:449</srv>
          <srv>76.107.90[.]235:449</srv>
          <srv>47.224.98[.]123:449</srv>
          <srv>185.222.202[.]79:443</srv>
          <srv>24.247.182[.]253:449</srv>
          <srv>216.17.92[.]138:449</srv>
          <srv>199.21.106[.]189:449</srv>
          <srv>208.79.106[.]213:449</srv>
          <srv>24.247.182[.]253:449</srv>
          <srv>136.25.2[.]43:449</srv>
          <srv>181.129.93[.]226:449</srv>
          <srv>170.79.176[.]242:449</srv>
     </servs>
     <autorun>
          <module name="systeminfo" ctl="GetSystemInfo"/>
          <module name="injectDll"/>
          <module name="pwgrab"/>
     </autorun>
</mcconf>

修改后的TrickBot模块

此次活动遵循了先前的模式，利用BokBot协助传播TrickBot。不过，最有趣的部分是定制加载器是嵌入式base64编码的可移植可执行（PE）文件，如图1所示。

图1. Base64编码的PE文件

嵌入的PE文件由定制加载器提取，然后解码并执行。分析表明，解码后的PE文件实际上是TrickBot横向移动模块shareDll的修改版本。通常，TrickBot模块以动态链接库(DLL)的形式下载，并提供一组名为Start、Control和Release的导出标准集。然后此DLL将被注入到一个TrickBot模块化框架内的子svcho .exe进程中。但是，在没有此框架的情况下，BokBot分发的shareDll模块是一个PE文件。

此外，标准的TrickBot模块中的字符串不以任何方式进行混淆或保护。但是，由BokBot分发的模块中的字符串，都用256位AES、派生密钥和初始化向量（IV）进行加密，以及使用自定义字母表terKSDozBw1l24IyCL6AHh / + 5WRiGnj3xJQ8YkEbcgOZVNPamMsuUTpd0q9vFfX7进行Base64编码。字符串以与主TrickBot加载器完全相同的方式存储在加密的字符串表（如图2所示）中，并在需要时进行解密。

图2.加密字符串表

下面的表1概述了shareDll模块的两个变体之间的关键区别。

表1.比较两种ShareDLL变体之间的主要差异

在这两种情况下，shareDll模块的主要功能是通过在受害者网络内横向移动以到达当前登录用户可访问的机器。在BokBot分布式实例中，一旦找到了可访问的机器，修改后的spreader模块将尝试下载位于http://185.68.93[.]30/sin.png或http://185.68.93[.]30/win.png中的TrickBot加载器，并在可访问的网络计算机上安装TrickBot。

BokBot在本地机器上安装TrickBot并在网络中横向移动的整个过程如图3所示。

图3.使用ShareDll安装TrickBot和横向移动的BokBot

该模块被重新命名

从2019年2月8日开始，CrowdStrike Intelligence观察到了此种重新命名的TrickBot模块被传递给组标为sin2和sin4的受害者。LUNAR SPIDER的活动与这些组标密切相关。重命名的模块及其各自的SHA256哈希值如表2所示，包含字符串sin，tin和win。

表2.重命名的模块和关联的SHA256哈希值

与由BokBot分发的TrickBot模块——shareDll中的变化的不同之处在于，模块sharesinDll，tabtinDll和wormwinDll分别在功能上等同于TrickBot部署的模块shareDll，tabDll和wormDll，并保留TrickBot模块的典型特征。更明确地说，模块是DLL，不包含加密字符串，并且具有Start，Control和Release的标准TrickBot导出。

结论

目前还不清楚模块重命名的目的是什么，但它可能是一种方法，能够跟踪前面提到的组标其相关模块的活动。此外，CrowdStrike Intelligence正在探索一种可能性，即运营组标前缀为sin的TrickBot的子公司与运营ID为C610DF9A的BokBot子公司之间的联系。值得注意的是，其他项目ID的BokBot在帮助分发TrickBot上已经有一段时间了。

关于这一最新进展的另一个关键点是银行恶意软件家族Dyre（又名Dyreza）和Neverquest（又名Vawtrak）的开发运营商之间存在的历史关系。这种关系很关键，因为：

·WIZARD SPIDER中有成员曾开发和运营过Dyre。

· LUNAR SPIDER中有成员曾开发和运营过Neverquest。

尽管曾在威胁行动中屡次取得成功，Dyre和Neverquest却分别于2015年11月和2017年5月突然停止运营（图4）。在Neverquest停止运营时，LUNAR SPIDER却将BokBot引入了市场。这表明，这种变更，可能是早已计划好的。

与之相反，Dyre在俄罗斯采取强制措施后停止了行动，其中一家名为25th Floor的莫斯科电影和制作公司的办公室于2015年11月遭到搜查。虽然俄罗斯执法部门没有公布任何细节，但据推测，此办公室涉及到Dyre的运作。从Dyre停止运营，到TrickBot发布之前，有一年的时间间隔，TrickBot与Dyre也有许多类似的地方，但TrickBot的发展之路却比Dyre要顺畅许多。

图4.恶意软件操作日期的时间表

虽然自2017年以来，BokBot一直在帮助传播TrickBot，但之前没有观察到有为某项活动特意开发的定制TrickBot模块的举动。这一重大进展表明了LUNAR SPIDER和WIZARD SPIDER成员之间的密切关系。CrowdStrike Intelligence预计Dyre和Neverquest运营期间建立的历史关系已得到重振和巩固，而WIZARD SPIDER和LUNAR SPIDER已然建立了成功的恶意软件操作体系。