警惕!针对聚合支付商户的定向网络盗刷

摘要

安恒信息中央研究院猎影实验室持续跟进一起由黑产团伙(安恒信息内部追踪代号“GRP-LY-1001”)伪装聚合支付平台定向投递恶意木马进行网络盗刷获利的活动目前该黑产活动仍在持续进行,各相关聚合支付接入商户需提高安全警惕,提升员工安全意识,不随意打开来历不明的链接或文件,在进行网页支付前检查网站是否属于官方网址。同时可在企业侧部署相关安全检测防护产品。

该团伙类似活动已存在一段时间,至少可追溯到2021年年中。分析观察到其主要活动形式为通过社工等手段投送伪装为支付平台的钓鱼链接,诱导下载伪装为“安全控件”、“支付密钥”等程序的恶意木马,受害人执行中招后恶意程序自动收集信息(包括浏览器缓存、QQ号QQ好友QQ群组信息、击键记录信息等PC中关键信息),后续该团伙根据获得信息通过一定手法进行盗刷获利。

经过分析推测该团伙的产业链如下图所示:

1656380496_62ba5c501312b11e21aad

团伙画像

该团伙画像如下:

团伙性质黑产团伙
活跃时间至少从2021年8月开始至今
攻击动机信息窃取与盗刷获利
涉及平台Windows
疑似攻击来源国内
目标地域国内
涉及行业金融、电商等涉及聚合支付接入的单位
常用工具Gh0st远控软件、大灰狼远控软件、开源项目KCP和HP-Socket等
攻击方式钓鱼网站、社会工程等

由于在最新版本的样本中在收集系统信息时出现了中文描述信息如:“忙”、“闲”、“显示器”、“数量”、“硬盘”、“内存”等字符,因此推断该团伙成员可能为国内人员。

该团伙至少从2021年8月开始活动,通过发布钓鱼网站针对使用网银支付的用户发起信息窃取和银行卡盗刷攻击。捕获的样本中包含“安全控件”、“公钥”等关键词,最终载荷中包含经过魔改的远控木马如Gh0st、大灰狼等,魔改后的远控木马能够窃取受害者的敏感信息,在受害者不知情的情况下盗刷银行卡。

团伙攻击手法分析

该团伙通过一定的手段,引诱受害者点击伪造的“支付平台”等具有迷惑性的网站,通过层层诱导下载包装为控件、密钥等程序的恶意木马。

目前我们观察到至少8类伪装为支付页面的站点,包括“易联支付”、“敏付”、“杉德支付”、“农银汇理基金”、“中睿合银”、“盛付通”、“聚合支付”等。其中3类示例如下:

01第一类钓鱼站点

该类钓鱼网站通过伪造“敏付”支付页面,以“1分钱体验”为主题诱导用户进行支付。

1656380539_62ba5c7bae67938d2ff7f

点击移动端支付时会跳出提示,让用户只能点击PC端支付。

1656380549_62ba5c854110c62494b22

点击PC端支付后会让用户选择银行和卡类型。

1656380559_62ba5c8f374b0a1e50624

点击支付后会跳转到伪造的下载安全控件的页面。

1656380574_62ba5c9e5f409e295d97e

点击后会下载包含恶意软件的压缩包。

1656380581_62ba5ca5a8f670e060bae

02第二类钓鱼站点

该类网站伪造了“易联支付”DNA手机支付页面,进入网站后显示的是登录界面,诱导输入用户名和密码进行登录。

1656380591_62ba5caf83e0d2b8e5da1

登录后的页面制作粗糙,甚至网页代码的模板都没有进行替换。

1656380603_62ba5cbb063eca8d25997

页面提示用户进行验卡,但是无论是否填写信息,都会跳出提示点击指定链接。

1656380615_62ba5cc747b7592a9f557

点击链接将下载包含恶意软件的压缩包。

1656380623_62ba5ccf2420e2149b4e4

03第三类钓鱼站点

该类网站伪造了杉德支付平台。

1656380635_62ba5cdb04b43d1a179e5

同时,在安恒威胁分析平台中发现一个样本攻击手法与该团伙攻击手法完全吻合,并且文件名为“杉德公钥.rar”, 目前该钓鱼网站已关闭。

1656380644_62ba5ce4b84e037fda315

该团伙使用的木马程序经过多个版本的迭代,投递过程到最终载荷落地分为多个阶段,最终载荷为老牌远控程序进行魔改,版本越新越轻量化,通过插件化形式实现一些特定功能。经统计发现从2021年8月至2022年1月出现的样本的最终载荷为最初的版本(也可能有更早的版本,这里设定为新控第一代版本),从2022年2月至2022年4月的最终载荷为第二代版本,从2022年5月至今的最终载荷为第三代版本。

样本大致攻击流程图如下图所示:该团伙通过钓鱼网站诱导用户下载恶意软件,软件执行后通过回连C2服务器下载一个压缩包*.zip(*表示任意字母或数字)和一个解压软件8z.exe,通过创建的lnk文件运行8z.exe解压*.zip,压缩包中共包含4个文件,最终会将svchost.txt中包含的最终载荷加载至内存并执行。

1656380654_62ba5cee95310a898a967

统计的样本中还发现部分样本文件信息伪装成其他软件如qq音乐、360浏览器、Skype、酷狗音乐等,说明该团伙的投递样本可能不仅限于支付页面的钓鱼网站。从时间上来看,该团伙每隔一小段时间就会更换载荷分发服务器的ip网段,每隔一大段时间就会更换载荷分发服务器的ip。

1656380686_62ba5d0eb7e85526f2c64

此外,以地址“hxxp://118.99.36[.]1:280/*.zip?=0”为例,对全部可能的地址进行遍历请求,发现其响应的的最终载荷回连了不同命令分发服务器,足以见得该团伙的基础设施实力不容小觑。该行为可能由于该团伙考虑到被害主机的规模,均衡各个命令分发服务器的负载。

1656380695_62ba5d17ab6c299b2d2c1

最终载荷功能分析

01版本一

最初版本的最终载荷基于Gh0st远程控制软件进行魔改,通过接收服务器的命令实现不同的功能。

1656380708_62ba5d24d5899111a6681

部分命令功能尚不明确,已知的功能包括如下:

命令号实现功能
0将某一标志位置为1
1获取磁盘信息
8创建对话框
0xA枚举系统服务
0x10或0x1C监控屏幕
0x27执行指定文件
0x28关闭explorer.exe
0x29清理浏览器痕迹
0x2A获取Chrome浏览器用户配置信息
0x2B获取skype软件聊天信息
0x2C删除firefox用户配置文件
0x2D获取360浏览器用户配置信息
0x2E获取qq浏览器用户配置信息
0x2F获取搜狗浏览器用户配置信息
0x3F击键记录
0x45录音记录
0x46发送qq快速登录请求,登录成功后收集好友列表和群列表
0x48收集系统信息
0x5A弹出消息框
0x5B在注册表”SYSTEM\CurrentControlSet\Services\BITS”创建子键”0683ac706ca80d19b68edaf8b3dd38b5″
0x5C执行指定命令并获取输出结果
0x5D关闭指定窗口
0x5F卸载自身
0x60清除事件日志
0x64其他功能如:打开或关闭cd口、发出声响、震动当前窗口等
0x72从指定链接下载文件并保存
0x74安装自启动
0x75修改显示配置
0x76或0x77向temp路径写入文件名以“Ru”开头的文件
0x78向temp路径写入“Plugin32.dll”文件
0x79通过ie后台打开指定网页
0x7A通过默认浏览器后台打开指定网页
0x7B向注册表“HKEY_LOCAL_MACHINESYSTEMSetup”的“host”键写入指定值
0x7F获取系统信息和远程桌面状态
0x9F获取谷歌浏览器用户信息

02版本二

第二代版本的最终载荷中集成了“大灰狼”远程控制木马的插件,包含命令控制模块如下:

1656380722_62ba5d32644bc58c4c05d

部分命令功能尚不明确,已知的功能包括如下:

命令号实现功能
0关闭指定进程
1卸载自身
2写入配置文件Remark项
4写入配置文件Group项
6从指定域名下载并保存文件
7更新或卸载插件
8或9使用ie后台打开网页
0xA使用指定浏览器后台打开网页
0xC执行指定命令
0x66DllScreen插件:获取桌面像素信息并截图
0x69DllShell插件:远程执行cmd命令
0x6A离线键盘记录
0x6BDllKeybo插件:键盘记录
0x6DDllSerice插件:枚举服务插件
0x6EDllReg插件:枚举注册表插件
0x6FDllProxy插件
0x70DllSerSt插件:遍历所有系统用户信息
0x71结束explorer.exe进程
0x72清理浏览器痕迹
0x73获取谷歌浏览器用户配置信息
0x74获取Skype聊天信息
0x75获取Firfox浏览器用户配置信息
0x76获取360浏览器用户配置信息
0x77获取qq浏览器用户配置信息
0x78获取搜狗浏览器用户配置信息
0x79写入自启动
0x7A修改显示设置
0x83DllScreenhide插件

03ATT&CK

第三代版本的最终载荷中出现的大量的汉字用于描述收集的系统信息和命令执行结果,说明攻击者极有可能来自国内。命令控制模块中减少了可选的命令,但包含加载插件的功能。

1656380735_62ba5d3f3eed8b7bcf701

已知的功能包括如下:

命令号实现功能
0将某一标志位置为1
1尚不明确
2或3出现”加载成功”字符串,并分配内存区域,修改保护权限,可能是通过进程注入加载插件
4出现字符串“清理插件完成”,并释放分配的内存区域,可能为卸载插件功能
6枚举运行的进程的窗口标题
7写入指定内容到文件并执行该文件
8从指定域名下载、保存并执行文件
9写入自启动
0xA修改指定注册表键值
0x64开启连接
0x65关闭连接

此外,在第三代版本的最终载荷与命令控制服务器建立连接后每10秒判断一次系统忙闲状态并发送至服务器,如果系统挂机时长超过3分钟,则转为“闲”状态。

通过这种忙闲状态判断能够让攻击者知道用户是否在操作主机,以便能够在主机空闲时悄悄操控主机,避开用户使用阶段。

1656380748_62ba5d4cc89f07d69f26e

总结

该团伙在半年多的活动时间里,攻击手法始终变化不大,都是通过回连载荷分发服务器获取包含最终载荷的压缩包和解压软件,并通过“白加黑”的加载方式将最终载荷注入到内存中,躲避反病毒软件的检测。经过关联分析发现了该团伙掌握着大量的ip和域名,足以见得该团伙规模,而经过溯源发现的以支付页面为主题的钓鱼网站很有可能只是“冰山一角”。

防御建议

目前安全数据部已具备相关威胁检测能力,对应产品已完成IoC情报的集成。

本文作者:安恒威胁情报中心, 转载请注明来自FreeBuf.COM

主题测试文章,只做测试使用。发布者:1869,转转请注明出处:https://community.anqiangkj.com/archives/19154

(0)
打赏 微信扫一扫 微信扫一扫 支付宝扫一扫 支付宝扫一扫
上一篇 2022年7月10日 下午3:06
下一篇 2022年7月10日 下午3:09

相关推荐