網路釣魚
假裝成老人確認旅遊行程,「Re:」假回信真釣魚攻擊旅館業者
看看託管式 XDR 團隊如何揭發 RedLine Stealer 針對旅館業的隱匿魚叉式網路釣魚 (Spear Phishing )攻擊行動。
託管式 XDR 揭發使用 RedLine Stealer 攻擊旅館業的魚叉式網路釣魚攻擊行動
最近趨勢科技注意到有一家客戶的電子郵件數量暴增。經過進一步調查之後,我們發現還有另外三家旅館業的客戶也發生類似狀況。根據我們的觀察,這些電子郵件絕大多數的標題都很容易引起受害者注意,例如:「help」(求助)、「requesting for assistance」(請求協助)、「route map」(行程路線圖)、「this is me from booking.com」(我的 booking.com 大頭貼) 以及「booking reservation」(預訂房間)。有些電子郵件標題前面還會有「Re:」字樣來偽裝成回覆郵件,試圖讓受害者以為是收到電子郵件回覆。
此外,其電子郵件的內文也寫得很吸引它所設定的目標 (主要是飯店人員),藉此誘騙收件人點選某個會在系統上植入惡意程式的 Dropbox 連結,同時還附上 Bitly 短網址來指向惡意檔案的 Dropbox 連結。
不幸的是,還是有使用者被這些電子郵件所騙,進而下載了惡意程式。分析期間,我們特別注意到惡意程式樣本的檔案大小,一般來說,這類惡意檔案大多只有幾 KB 到幾 MB,但我們取得的樣本竟然高達 494.7 MB 至 929.7 MB。
技術層面分析
趨勢科技分析了一封歹徒佯裝成年長者向飯店確認其旅遊行程的網路釣魚郵件。乍看之下,這封似乎是個典型的一次性垃圾郵件,其內文包含一個會植入惡意程式的短網址,歹徒要求飯店人員幫他確認行程,並提供一個短網址來讓飯店人員查看行程路線圖。
如前面提到,我們認為這應該是一起專門針對旅館業的魚叉式網路釣魚攻擊行動。圖 3 顯示歹徒回覆飯店人員的郵件使用了很有禮貌又無助的口吻,試圖讓飯店人員點選連結,而這連結卻是指向一個惡意檔案,而非行程路線圖。
很不幸的,飯店員工真的掉入了魚叉式網路釣魚的陷阱。我們從 Trend Vision One™ 解決方案上看到該員工從 Outlook 郵件程式 (outlook.exe) 開啟了連結,下載了一個名為「Christian-Robinson-Route.zip」的檔案。這個 ZIP 壓縮檔內含一個雙重副檔名的檔案:「Christian-Robinson-Route.jpg.exe」,這是駭客一種誘騙受害人下載並執行惡意檔案的手法。
解壓縮出來執行的「Christian-Robinson-Route.jpg.exe」檔案接著會觸發一連串的事件。圖 5 顯示 Trend Vision One 觀察到的整個執行過程。
這起行動可大致分成四個階段:
第 1 階段:「Christian-Robinson-Route.jpg.exe」在系統植入「setupsoftwarefile_v7.7.exe」
「Christian-Robinson-Route.jpg.exe」是一個封裝檔,內含大量的填充資料。使用填充資料是一種惡意程式作者過去常用的老技巧,目的是為了躲避防毒軟體偵測、沙盒模擬分析以及 YARA 規則。我們看到的填充資料不是隨機的位元組就是重複的字串,應該是取決於用來製作或封裝的工具。如前面提到,這些樣本的大小從 494.7 MB 至 929.7 MB 不等。
該程式執行時,會產生一個名為「setupsoftwarefile_v7.7.exe」的 MSIL 檔案,並透過命令提示字元 (cmd.exe) 來執行這個檔案。接著這個檔案會解密出一個 PowerShell 腳本來執行。
第 2 階段:PowerShell 腳本從 hxxp://45.93.201[.]62/docs/ 網址取得一個已加密檔案
PowerShell 腳本會連線至以下網址:hxxp://45.93.201[.]114/docs/fzLJerifqJwFtnjbrlnJPNrfnupnYg[.]txt 來取得另一個名為「Ferriteswarmed.exe」的 MSIL 檔案,該檔案接著經過 AES 解密、GZIP 解壓縮,然後透過 .NET Reflective Load 方式載入到 PowerShell 當中,此程式具備程式除錯器 (debugger) 檢查功能,一旦發現除錯器就會終止執行。
![圖 10:來自 hxxp://45.93.201[.]114/docs/fzLJerifqJwFtnjbrlnJPNrfnupnYg[.]txt 的 HTTP 回應。](/content/dam/trendmicro/global/zh_tw/research/23/d/10/image-118.png)
![圖 11:hxxp://45.93.201[.]62/docs/](/content/dam/trendmicro/global/zh_tw/research/23/d/10/image-119.png)
根據我們所取得的樣本,還有另一個加密檔案是存放在 hxxp://45.93.201[.]114/docs/。
![圖 12:hxxp://45.93.201[.]114/docs/](/content/dam/trendmicro/global/zh_tw/research/23/d/10/image-120.png)
第 3 階段:「Ferriteswarmed.exe」MSIL 檔案解密出影像檔,也就是 RedLine Stealer 檔案
一個 PE 執行檔的資源區段當中包含著模組的資源資訊。在許多情況下,該區段會含有一些圖示和影像,也就是該檔案的資源。「Ferriteswarmed.exe」這個新的 MSIL 檔案會從它的資源區段解密出另一個偽裝成加密圖片的惡意檔案,這就是 Redline Stealer。接著,RedLine Stealer 將被注入到「aspnet_compiler.exe」內。
第 4 階段:RedLine Stealer 將偷到的資訊傳送至 C&C 伺服器
在 Trend Vision One 上可觀察 RedLine Stealer 會經由 Windows Management Instrumentation (WMI) 蒐集哪些資訊,包括:作業系統、顯示晶片、處理器、防毒軟體、處理程序以及硬碟等資訊。這些資訊會傳送到它的幕後操縱 (C&C) 伺服器,網路位址在:77.73.134[.]13:12785。
除此之外,它還會蒐集瀏覽器、虛擬加密貨幣錢包、VPN 應用程式以及已安裝應用程式 (如 Discord) 的資料。Security Scorecard 曾經發表過一份有關 RedLine Stealer 的詳細報告,其中 包含了一份它會蒐集哪些資料的詳細列表。我們發現他們所分析到的 RedLine Stealer 樣本與我們的有明顯不同:他們的樣本會建立一個 BasicHttpBinding 物件並使用 HTTP 來發送 SOAP 訊息給 C&C 伺服器,而我們所拿到的樣本則是使用 NetTcpBinding 來發送訊息。此外,我們樣本使用的指令也沒有名稱。
資安建議與趨勢科技解決方案
電子郵件相關的威脅正日益精密,也越來越難偵測。過去,我們可以從一些文法上的錯誤以及誇大的急迫性等蛛絲馬跡來辨識惡意郵件。但今日,駭客們已經進化到能夠模仿他們鎖定目標的說話口氣和語調,有時候甚至還會放長線釣大魚。
若要成功對抗垃圾郵件或網路釣魚威脅,企業必須為員工提供必要的工具、資源及教育訓練來提升他們對惡意郵件的辨識能力,以防止資料外洩和勒索病毒攻擊。企業可利用趨勢科技的 Phish Insight 來執行一些有效且自動化的真實世界網路釣魚模擬與客製化訓練。
趨勢科技全方位的 XDR 解決方案採用最有效的專家分析工具來解讀趨勢科技從企業各環節所蒐集到的深度資料,因此能更快發掘事件之間的關聯,迅速偵測並攔截攻擊。運用強大的人工智慧 (AI) 與專家資安數據分析來交叉關聯客戶環境的資料,再配合趨勢科技的全球威脅情報,就能提供量少質精的警報,更準確地提早偵測威脅。透過單一主控台、經過優先次序過濾的最佳化單一警報來源,以及逐步引導的事件調查,簡化企業掌握駭客攻擊路徑及衝擊範圍的步驟。
Trend Service One™ 提供了全年 365 天 7 天 24 小時的進階專屬支援、託管式 XDR 以及事件回應服務來提升企業的韌性。此外,這項服務還提供了解決方案的自動更新和升級、隨選教育訓練、最佳實務指南,以及網路資安與 CISO 專家的協助。
Trend Micro Apex One™ 解決方案在單一代理程式當中提供威脅偵測、回應及調查。藉由自動化威脅偵測及回應來防範日益多樣化的威脅,包括無檔案式威脅和勒索病毒。此外還包含進階端點偵測及回應 (EDR) 工具、強大的資安事件管理 (SIEM) 整合能力,以及一套開放式應用程式開發介面 (API) 來提供可採取行動的洞見、豐富的調查功能,以及涵蓋整個網路的集中可視性。
Trend Cloud One™ – Endpoint Security 與 Workload Security 透過整合的可視性、管理與角色 導向存取控管來保護端點、伺服器及雲端工作負載。這些服務提供了特化的防護,專為您的多樣化端點及雲端環境而最佳化,消除採用多套單一面向解決方案的成本與複雜性。此外,Trend Cloud One™ – Network Security 解決方案提供了超越傳統入侵防護系統 (IPS) 的功能,並且內含虛擬修補及已入侵威脅偵測,是強大混合雲防護平台的一環。
Trend Micro™ Deep Discovery™ Email Inspector 解決方案可偵測、攔截、分析惡意電子郵件附件。一些挾帶勒索病毒的垃圾郵件即使已經到達員工的信箱也能難逃偵測。此外,它還能檢查並攔截郵件內的惡意網址。其客製化沙盒模擬分析技術還可偵測並攔截偽裝成巨集的勒索病毒。這套解決方案採用在線 (online) 方式部署在郵件傳遞路徑上來攔截惡意的魚叉式網路釣魚訊息。它會分析已知及未知的特徵,並利用信譽評等分析來偵測最新的勒索病毒變種 (如 WannaCry) 及目標式攻擊。
入侵指標(IOCs)
| 檔案名稱 | SHA-256 | 趨勢科技偵測名稱 | 檔案大小 |
| Booking-id669392.jpg.scr | bf803adb5695fce143062e6f51980d46537167b7a9e0e85ad13a999e35bd0466 | Trojan.Win32.REDLINE.JKRC | 576.7 MB |
| Booking-Maps-id785392.exe | 6c5a4a8b7554000d5ab5221c43f25f093ba6a37c6b2511335e002f333c5af6c4 | Trojan.MSIL.REDLINE.V | 701.6 MB |
| Booking-Maps-id938192.exe | 6c5a4a8b7554000d5ab5221c43f25f093ba6a37c6b2511335e002f333c5af6c4 | Trojan.MSIL.REDLINE.V | 701.6 MB |
| Booking-Maps-id9382194.jpg.scr | bf803adb5695fce143062e6f51980d46537167b7a9e0e85ad13a999e35bd0466 | Trojan.Win32.REDLINE.JKRC | 576.7 MB |
| Christia-Robinson-Route.jpg.exe | 9bacf20a00f73124039c4476d600e70293ae60d1d1d28290a63000b510f313f0 | Trojan.Win32.REDLINE.EOC | 929.7 MB |
| Corel Contract.pdf.exe | 62e7d750df3bb49f9535e8b4ba91d5ba8f5c655a0027643b52a3d9ffb0b64208 | TrojanSpy.MSIL.NEGASTEAL.RJAHSPE | 750 MB |
| GoogleMaps.exe | af23af4d4b3ba82c76a50bb631b4aca8d98e9a1560000d5c6fce39977cb9d362 | NOT_DETECTED | 784.7 MB |
| GoogleMaps(2).exe | 84910fcdcb2edb3feeb3307bee0e6b33fc91caf8de344a3be71452b04b4595f0 | TrojanSpy.MSIL.AURORA.AA | 494.7 MB |
| GooglePhoto-MilanaZinowiewa.jpg.exe | 6cbe9be190f521408438262d0c7f2ccbfab32a6df558cec2a264285fdfffe5c2 | Trojan.Win32.REDLINE.JKRC | 765.3 MB |
| id328493942-Booking_info.jpg.scr | 53af2c266c7f18e7c1ab16460d3c09d773fe93ac0a840fa83a30cc1020d1019a | TrojanSpy.MSIL.REDLINE.DCRB | 898.6 MB |
| id695838211-Booking-Confirmation.exe | 4f1c1565afc782e688945c07a486205c59d43a98ae577c5d065bfed9a47a983d | Trojan.Win32.REDLINE.JKRC | 741.2 MB |
| Maps-Google-Adolv.jpg.exe | b5d8caa15cbf53d002edc6194abd0de43e4a139cc04f9703ae7bfc397bca66c8 | TrojanSpy.MSIL.REDLINE.DCRD | 769.9 MB |
| Michael-Martinez-Photo-Route.jpg.exe | 9bacf20a00f73124039c4476d600e70293ae60d1d1d28290a63000b510f313f0 | Trojan.Win32.REDLINE.EOC | 929.7 MB |
| photo-my-and-wife-passport.exe | 43328f774db70b98c4cbe83cc3be18de20a29b073b483eec49c64c6c301e4079 | TrojanSpy.Win32.REDLINE.DCRC | 816.4 MB |
| Route-Map.png.exe | 1b5f1e505e57b9915418f251f9c2343302f0737bdd85126666db56a27f0142f2 | TrojanSpy.MSIL.REDLINE.JNCSF | 888 MB |
| Stephan_Fruehauf_sparkasse_receipt_15.01.2023.pdf.exe | b83e50fa2c5c54e027f3bfe859e2a69e883bbb0080fed20aca176f77ad120fa1 | Trojan.Win32.REDLINE.EOC | 662.2 MB |