利用木马化TeamViewer针对多个国家政府机构的攻击行动

简介

近日Check Point的研究人员发现了几起网络攻击事件，主要是针对美国财政部门的官员以及几位欧洲大使馆代表。此次攻击以伪装成机密文件的恶意附件开始，通过将TeamViewer（一个流行的远程访问和桌面共享软件）武器化来完全控制受感染的电脑。

在研究了此次攻击的感染链和基础设施后，我们将其比对了先前的攻击案例，并将攻击者锁定在了一位俄语黑客身上。

在本文中，我们将讨论感染链、攻击目标、攻击者使用的 工具 以及攻击背后的可能原因。

感染链

感染始于一个带有恶意宏的XLSM文档，该文档以“军事融资计划”（Military Financing Program）为主题，通过电子邮件发送给潜在目标:

电子邮件主题:军事融资计划

文档名称:“Military Financing Program.xlsm”

sha – 256:efe51c2453821310c7a34dca3054021 d0f6d453b7133c381d75e3140901efd12

图1:恶意文件

这份仿制精良的Excel文件，不光背景印上了美国标志，还在文档底部写上了“最高机密”。虽然攻击者努力使文档看起来具有说服力，但他们似乎忽略了文档中遗留的一些西里尔语的成分(比如工作簿的名称)，而这可能会帮助我们揭示攻击源的更多信息。

图2：感染链

一旦宏启用，有两个文件将从XLSM文档中的十六进制编码单元格中被提取。第一个文件是一个合法的AutoHotkeyU32.exe程序，另一个则是AutoHotkeyU32.ahk，它是一个AHK脚本，负责向C＆C服务器发送POST请求，并可以接收其他AHK脚本URL用以下载和执行。

另外，有三个不同的AHK脚本在服务器上等待响应以开启下一阶段：

· hscreen.ahk：负责截取受害者PC的屏幕截图并将其上传到C＆C服务器。

· hinfo.ahk：将受害者的用户名和计算机信息发送到C＆C服务器。

·htv.ahk：下载并执行TeamViewer的恶意版本，并将登录凭据发送到C＆C服务器。

恶意TeamViewer DLL（TV.DLL）通过DLL side-loading技术加载，用于通过钩住程序调用的Windows API为TeamViewer添加更多“功能”。

修改的功能包括:

· 隐藏TeamViewer的接口，这样用户就不会知道它正在运行。

· 将当前TeamViewer会话凭据保存到文本文件中。

· 允许传输和执行额外的EXE或DLL文件。

图3:MoveFileW函数钩子:添加payload“执行”和“注入”功能。

攻击目标

如上一节所述，AutoHotKey脚本的首要用途之一是从受感染的PC上传屏幕截图。

这些截图上传到的目录是暴露的，可以通过浏览特定的URL查看:

图4:打开带有受害者截图的目录

但是，这些截屏文件会定期从服务器中删除，并且最终“open directory”视图会被禁用。

在那之前，我们能够确定此次攻击的部分受害者，因为大多数截屏都包含了身份信息。

根据我们在自己的遥测中观察到的目标，以及从服务器上收集到的信息，我们能够列出部分目标国家的名单:

· 尼泊尔

· 圭亚那

· 肯尼亚

· 意大利

· 利比里亚

· 百慕大

· 黎巴嫩

仅仅看它针对的国家名单，很难判断这场运动背后是否有地缘政治动机，因为它针对的不是某个特定地区，而且受害者来自世界各地。

不过，观察到的受害者名单显示，攻击者对公共金融部门特别感兴趣，因为他们似乎都是攻击者“精心挑选”的税务部门官员。

行动溯源

我们观察到，该攻击者在其以往的攻击行动中都用到了TeamViewer的木马化版本，但恶意DLL的特性以及感染的第一阶段都随着时间的推移发生了变化。

传播

威胁行为者使用的初始感染载体也随着时间的推移而发生变化，在2018年，我们曾在他制造的多起攻击案例中看到过自解压档案的多种用途，而不是使用AutoHotKey向用户显示诱饵图像的恶意文档。

例如，自解压档案“Положениеопрокуратурегорода（приказомпрокуроракрая）_25.12.2018.DOC.exe”（翻译成“市检察官办公室条例”（按区域检察官的命令）_25.12.2018.DOC.exe”）显示图像如下：

图6:诱饵图片

这张照片显示的是哈萨克斯坦的官员，发布于哈萨克斯坦外交部网站。该可执行文件的原始名称及其显示的内容似乎都表明，它的目标是俄语受害者。

还有其他一些行动也是针对俄语人群的，其中就有一份武器化的Excel文档中提到了需要启用宏才能显示文件完整的俄语内容：

图7:诱饵文件

SHA-256: 67d70754c13f4ae3832a5d655ff8ec2c0fb3caa3e50ac9e61ffb1557ef35d6ee

启用宏后文件将显示金融相关内容:

图8：启用宏后的诱饵文档

上述两种不同的传播方法都显示了攻击者的目标主要针对俄语人群，同时也显示了攻击者对金融世界的兴趣。

Payload

在所有攻击行动中，攻击者对恶意TeamViewer DLL功能进行了多项更改。 以下是每个版本的功能亮点：

第一个版本（？-2018）：

· 通过TeamViewer进行远程控制。

· 发送和执行文件。

· 发送基本系统信息。

· 能够自我删除。

· 使用config.bin配置文件。

第二个版本(2018)：

· 引入了一个新的C&C命令系统。

· 命令的部分列表，可以使用内部帮助命令查看(该命令还提供了多个俄语版本):

图9:恶意DLL中的帮助命令

· 银行，在线商店和加密市场的Chrome历史记录 – 可以要求DLL从预定义列表中返回所有在线服务的列表。（请见附录）

· 配置文件已由嵌入式配置替换。

第三个版本(2019年——)

· 移除命令系统。

· 添加DLL执行功能。

· 依靠外部AutoHotKey脚本进行信息收集和TeamViewer获取凭证。

归因

在此类行动中通常很难找出谁是幕后主使，但我们通过跟踪之前的行动找到了一个名为“EvaPiks”、经常活跃在`CyberForum [.] ru`论坛的用户，他要么是幕后黑手，要么就是使用工具的创建者。我们在多个帖子中有看到EvaPiks与其他用户交流技术的过程，其中大部分技术都在该系列行动中用到过。

以下是该论坛中某些主题的翻译片段：

图10:其他用户建议EvaPiks使用的宏代码

EvaPiks在最新的攻击中使用了上述的的宏代码，并且一些变量名称如“hextext”都没有改变。

在下面的屏幕截图中，我们看到EvaPiks对其他用户提供了一个“效果很好”的Delphi代码片段：

图11：EvaPiks向其他用户提供的 PHP 代码

图12：DLL代码中的面板URL

除了类似的Delphi用法外，在其中一次攻击中还使用了论坛“(newpanel_gate/gate.php)”中提到的URL。

早在2017年，EvaPiks就在论坛上寻求建议，提出了关于API函数调用截取的问题:

图13:2017年在论坛上寻找的建议

图14:DLL代码中的钩子

在我们观察到的样本中也使用了相同的“CreateMutexA”和“SetWindowTextW”函数挂钩技术。

该论坛的另一个屏幕截图显示了EvaPiks如何尝试新功能，其中一些功能已集成到恶意DLL中：

图15：来自论坛的开发截图

除了`CyberForum [.] ru`之外，我们还发现这个头像在一个非法的俄罗斯卡盗论坛上很活跃：

图16：EvaPiks在该卡盗论坛上对某用户的辱骂

攻击基础设施

观察到的几乎所有样本都使用相同的网络托管公司：HostKey。（有关URL列表，请参阅附录B）

此外，我们在恶意DLL使用的C＆C服务器上观察到以下登录面板：

图17：“Cyber Industries”登录面板托管于193.109.69 [.] 5

图18：登录面板托管在146.0.72 [.] 180

总结

从我们调查调查结果来看，这似乎是一场经过深思熟虑的攻击，攻击者精心挑选了少数受害者，并使用量身定制的内容来诱骗目标受众。

另一方面，这次攻击的某些方面进行得不那么谨慎，并且暴露了通常在类似的活动中被很好掩盖的细节，比如犯罪者的个人信息和在线历史，以及他们对恶意活动的执行进展。

恶意DLL允许攻击者向受攻击的机器发送额外的有效负载并远程运行它们。由于我们无法找到这样的有效负载，也不知道除了DLL中提供的功能之外，它还引入了什么其他功能，所以最新一起攻击的真正意图仍然不清楚。然而，根据攻击者的历史信息，我们推测攻击可能的动机跟财务敲诈相关。

IOCs

DLLs

013e87b874477fcad54ada4fa0a274a2
799AB035023B655506C0D565996579B5
e1167cb7f3735d4edec5f7219cea64ef
6cc0218d2b93a243721b088f177d8e8f
aad0d93a570e6230f843dcdf20041e1e
1e741ebc08af09edc69f017e170b9852
c6ae889f3bee42cc19a728ba66fa3d99
1675cdec4c0ff49993a1fcbdfad85e56
72de32fa52cc2fab2b0584c26657820f
44038b936667f6ce2333af80086f877f`

Documents

4acf624ad87609d476180ecc4c96c355
4dbe9dbfb53438d9ce410535355cd973`

C&Cs

1c-ru[.]net/check/license
intersys32[.]com/3307/
146.0.72[.]180/3307/
146.0.72[.]180/newcpanel_gate/gate.php
185.70.186[.]145/gate.php
185.70.186[.]145/index.php
193.109.69[.]5/3307/gate.php
193.109.69[.]5/9125/gate.php`

Appendix A: Yara Rule

rule "TeamViwer_backdoor"
{

meta:
date = "2019-04-14"
description = "Detects malicious TeamViewer DLLs"

strings:

// PostMessageW hook function
$x1 = {55 8b ec 8b 45 0c 3d 12 01 00 00 75 05 83 c8 ff eb 12 8b 55 14 52 8b 55 10 52 50 8b 45 08 50 e8}

condition:
uint16(0) == 0x5a4d and $x1
}`

Appendix B: Online services of interest

Banks

bankofamerica.com,pacwestbancorp.com,alipay.com,cbbank.com,firstrepublic.com,chase.com
citibank.com,bankamerica.com,wellsfargo.com,citicorp.com,pncbank.com,us.hsbc.com,bnymellon.com
usbank.com,suntrust.com,statestreet.com,capitalone.com,bbt.com,tdbank.com,rbs.com,regions.com
53.com,ingdirect.com,keybank.com,ntrs.com,www4.bmo.com,usa.bnpparibas.com,mufg.jp,aibgroup.com
comerica.com,zionsbank.com,mibank.com,bbvabancomerusa.com,huntington.com,bank.etrade.com,synovus.com
bancopopular.com,navyfcu.org,schwab.com,rbcbankusa.com,colonialbank.com,hudsoncitysavingsbank.com,db.com
peoples.com,ncsecu.org,associatedbank.com,bankofoklahoma.com,mynycb.com,firsthorizon.com,firstcitizens.com
astoriafederal.com,firstbankpr.com,commercebank.com,cnb.com,websterbank.com,fbopcorporation.com
frostbank.com,guarantygroup.com,amtrust.com,nypbt.com,wbpr.com,fult.com,penfed.org,tcfbank.com,lehman.com
bancorpsouthonline.com,valleynationalbank.com,thesouthgroup.com,whitneybank.com,susquehanna.net,citizensonline.com
ucbh.com,raymondjames.com,firstbanks.com,wilmingtontrust.com,bankunited.com,thirdfederal.com,wintrustfinancial.com
sterlingsavingsbank.com,boh.com,arvest.com,eastwestbank.com,efirstbank.com,theprivatebank.com,flagstar.com
becu.org,umb.com,firstmerit.com,corusbank.com,svb.com,prosperitybanktx.com,washingtonfederal.com
ucbi.com,metlife.com,ibc.com,cathaybank.com,trustmark.com,centralbancompany.com,umpquabank.com
pcbancorp.com,schoolsfirstfcu.org,mbfinancial.com,natpennbank.com,fnbcorporation.com,fnfg.com,golden1.com
hancockbank.com,firstcitizensonline.com,ubsi-wv.com,firstmidwest.com,oldnational.com,ottobremer.org
firstinterstatebank.com,northwestsavingsbank.com,easternbank.com,suncoastfcu.org,santander.com
everbank.com,bostonprivate.com,firstfedca.com,english.leumi.co.il,aacreditunion.org,rabobank.com
parknationalbank.com,provbank.com,alliantcreditunion.org,capitolbancorp.com,newalliancebank.com
johnsonbank.com,doralbank.com,fcfbank.com,pinnaclebancorp.net,providentnj.com,oceanbank.com
ssfcu.org,capfed.com,iberiabank.com,sdccu.com,americafirst.com,hncbank.com,bfcfinancial.com
amcore.com,nbtbank.com,centralpacificbank.com,banksterling.com,bannerbank.com,firstmerchants.com,communitybankna.com
hsbc.com,rbs.co.uk,bankofinternet.com,ally.com,bankofindia.co.in,boi.com.sg,unionbankofindia.co.in,bankofindia.uk.com
unionbankonline.co.in,hdfcbank.com,axisbank.com,icicibank.com,paypal.com,pnm.com,wmtransfer.com,skrill.com,neteller.com
payeer.com,westernunion.com,payoneer.com,capitalone.com,moneygram.com,payza.com`

Crypto Markets

blockchain.info,cryptonator.com,bitpay.com,bitcoinpay.com,binance.com,bitfinex.com,okex.com
huobi.pro,bitflyer.jp,bitstamp.net,kraken.com,zb.com,upbit.com,bithumb.com,bittrex.com,bitflyer.jp
etherdelta.com,hitbtc.com,poloniex.com,coinone.co.kr,wex.nz,gate.io,exmo.com,exmo.me,yobit.net
korbit.co.kr,kucoin.com,livecoin.net,cex.io,c-cex.com,localbitcoins.net,localbitcoins.com,luno.com
allcoin.com,anxpro.com,big.one,mercatox.com,therocktrading.com,okcoin.com,bleutrade.com,exchange.btcc.com
bitkonan.com,coinbase.com,bitgo.com,greenaddress.it,strongcoin.com,xapo.com
electrum.org,etherscan.io,myetherwallet.com,bitcoin.com`

Online Shops

ebay,amazon,wish.com,aliexpress,flipkart.com,rakuten.com,walmart.com
target.com,bestbuy.com,banggood.com,tinydeal.com,dx.com,zalando,jd.com
jd.id,gearbest.com,lightinthebox.com,miniinthebox.co`