NO.58 | 2019.08.30
banner
title有備而來 友善列印>>
【情資案例調查報告】Gorgon駭客組織遠端木馬來攻擊,陌生文件勿開啟_資通安全組

一、案例背景說明
  「奇安信威脅情報中心」近期發現一個疑似來自南亞名為Gorgon的駭客組織[1],該組織透過發送釣魚郵件給目標收件人,並利用惡意程式竊取被攻擊者的相關隱私信息。其目標不僅涵蓋全球政府單位,亦會對貿易或個人組織發起攻擊,某些郵件甚至會採用中文語系,影響範圍相當廣泛,而Palo Alto的Unit42資安團隊已將此攻擊活動命名為Aggah[2]

二、案例研究說明
  
  本中心參考奇安信威脅情報中心所分析之「Microsoft_activity_report.xls」(中文翻譯為「微軟活動報告」)樣本,進一步分析本中心蒐集之資訊後,整理成案例說明。當使用Office以外的表格編輯器開啟檔案時,會顯示如圖1中之提示,提醒用戶使用Excel打開文件;而若以Excel打開文件,則會要求用戶啟用office巨集,如圖2所示。
 

圖1:誘導用戶使用Excel打開文件
(資料來源:奇安信威脅情報中心)
 

圖2:要求用戶啟用office巨集
(資料來源:奇安信威脅情報中心)

  對巨集進行分析後,會發現一行使用mshta命令的語法,執行後會連線到駭客申請的blogspot網站平台。查看網頁原始碼後,會發現實際上是可以執行的javascript代碼,詳見圖3。透過urldecode解碼和字串反轉後,會解析出一個惡意腳本,詳見圖4。
 

圖3:檢視網頁原始碼可得到一段javascript代碼
(資料來源:本中心分析整理)


圖4:透過urldecode解碼的惡意腳本
(資料來源:本中心分析整理)
 
  此腳本首先會刪除Windows Defender、office以及相關的程序、連線至原始碼儲存分享的線上平台Pastebin,並將事先上傳的惡意程式碼寫入受害主機的註冊表內,詳見圖5。程式碼經分析為遠端木馬RevengeRAT,它允許攻擊者遠程訪問系統並收集敏感信息,包括鍵盤記錄、監控使用者行為、竊取個人資訊以及散播其他惡意軟體。
 

圖5:刪除微軟防毒同時將惡意程式寫入受害主機
(資料來源:本中心分析整理)

三、駭客攻擊流程與手法
  
  下圖6為整理駭客第一種攻擊流程與方式,攻擊步驟說明如下:
  1. Email夾帶惡意office檔案
  2. 檔案巨集連線至Blogger
  3. 執行網頁javascript代碼
  4. 執行惡意腳本
  5. 刪除主機內Windows Defender、office相關程序
  6. 下載木馬程式RevengeRAT
  7. 收集系統敏感信息
 
 圖6:Gorgon駭客組織攻擊流程與方式
(資料來源:本中心分析整理)

四、Indicator of Compromise (IoC)資訊

  本段分享此惡意程式之入侵指標(Indicator of Compromise, IoC)檢測,包含關聯的URL、SHA1、MD5、SHA256相關入侵指標,以利各業者分析情資及加強資安防護,詳見表1至表3。
 
編號 關聯URL
1 https://mysexophone[.]blogspot[.]com/
2 https://createdbymewithdeniss[.]blogspot[.]com/p/john2formbook[.]html
3 https://xasnniejxlasx[.]blogspot[.]com/p/3[.]html
4 ahusdhailisjdiajsw[.]blogspot[.]com
5 http://hold-v02[.]ga/PTJ3315MIC[.]xls
6 http://www[.]jacosgallery[.]com/Microsoft_activity_report[.]xls
7 http://www[.]bi0l0[.]com/LdswraHmaKExmeSDE
8 http://www[.]bitl4[.]com/Ldsw3aHmaKE6meSDE
9 lninbgsfxtgtrwfg[.]blogspot[.]com
10 kronozzz2[.]duckdns[.]org
11 microsoftoutlook[.]duckdns[.]org
12 yahakhan[.]duckdns[.]org
13 tonypp[.]duckdns[.]org:8000
14 zoebin[.]duckdns[.]org
15 http://pastebin[.]com/raw/6MxHuHq4
表1: Gorgon駭客組織關聯URL
(資料來源:奇安信威脅情報中心,本中心分析整理)
 
編號 MD5
1 cb838037905a3382a83f83ad8aa89557
2 ad966af7ec29412c3bd3d849d0b9cf39
3 52c38a2241657c69b5d465713ca18192
4 c0e1b02647315fff567ae271da30c648
5 a8a8d792f404ecf97d0df751f6832bcf
6 ca2fcb72fb937541a701bd1bfc76d411
7 444cc47b9b44dc1606e58054bc56c471
8 02136c64091e48bc9ccdb392a439718e
9 adc2a8990f956531e2ac5caf67f233ad
10 c599a61f18ad70d5549aa1479d8da55e
11 fb909ab56b29e9ff186434193561ee23
表2: Gorgon駭客組織關聯MD5
(資料來源:奇安信威脅情報中心,本中心分析整理)
 
編號 SHA256
1 0f266a7c9ff37313e6d8b823e3407271e635d565cde3e0829a15fffa65f776d8
2 9058c8bb49718e2c849a7ec5dde21be36a00e30cf307824325260804ec9214ac
表3: Gorgon駭客組織關聯SHA256
(資料來源:奇安信威脅情報中心,本中心分析整理)
 
五、整體建議與總結

  Gorgon駭客組織將攻擊目標設為全球政府機關、外貿組織等,其目的除了金錢外,還可能涉及政治行為。該組織擅長使用夾帶惡意巨集的Excel檔案執行社交工程,並利用外部網站中事先放好的惡意程式進行攻擊。與Palo Alto資安團隊Unit42的分析報告相互比對後發現,除手法相同外,其惡意腳本及惡意程式仍持續更新中。
為避免遭到駭客組織的攻擊,企業可採取以下保護措施,避免系統遭受任何潛在威脅之攻擊,例如:
  1. 提升員工資安意識,切勿直接開啟附加檔或連結。
  2. 針對報告中之入侵威脅指標(IoCs)請進行評估並納入防護監控規則,以強化資安防護設備之防禦能力。
  3. 確認office巨集功能是否預設為停用,避免檔案啟用時被嵌於檔案當中的惡意程式碼所利用。
 

參考資料:
[1]奇安信威脅情報中心,取自:https://www.secrss.com/articles/12487