诈骗信息和事件管理

在尝试在受害者的设备上传播恶意软件并尽可能长时间地停留时，有时攻击者会使用非常不寻常的技术。在最近从 2022 年开始的活动中，不知名的恶意行为者一直试图在未经用户同意的情况下在受害者的设备上挖掘加密货币;他们使用了大量资源进行分发，但更重要的是，使用了多个不寻常的向量来进行防御规避和持久性。其中一个向量是滥用开源 SIEM“Wazuh”代理。

我们非常确定这次活动是一场全球性的活动，但在本文中，我们将重点介绍一个感染链，根据我们的遥测数据，该感染链主要针对讲俄语的用户。攻击者使用网站免费下载流行软件（uTorrent、Microsoft Office、Minecraft 等）来分发恶意文件。这些网站在 Yandex 的搜索结果中向用户展示。恶意软件还通过针对加密货币投资者的 Telegram 频道以及 YouTube 视频中有关加密货币、作弊和赌博的描述和评论进行分发。

攻击者在 Yandex 搜索结果中宣传他们的网站。用户在搜索免费分发流行软件（如 uTorrent、MS Excel、MS Word、Minecraft、Discord 等）的资源时，会在顶部结果中看到这些恶意网站。

指向 Yandex 搜索结果中的恶意网站的链接

指向 Yandex 搜索结果中的恶意网站的链接

这些网站的前端是官方软件网站或分发此类软件的已知盗版网站的副本：

恶意网站

攻击者正在运行多个 Telegram 频道，分发有问题的恶意软件。这些频道绝对是针对加密货币所有者或作弊游戏玩家的：他们被提供下载他们可能感兴趣的特定软件。为了防止任何人试图披露有关这些频道的信息及其创建者的欺诈活动，管理员在 Telegram 网络版中禁用了这些频道的消息转发、屏幕截图和预览。

攻击者 Telegram 频道中的恶意软件

更重要的是，该恶意软件还通过 YouTube 分发。攻击者从多个帐户上传了大量英文视频，这些视频可能已被窃取。视频内容也有可能是从其他 YouTube 频道下载并在未经作者同意的情况下重新上传的。在视频描述和顶部评论中，攻击者留下了指向其资源的链接以及有关如何启动恶意软件的说明。其中一些链接立即将用户重定向到恶意网站，而另一些则指向上述 Telegram 频道。我们还看到了指向已知 IP 日志记录网站的链接，允许恶意行为者收集任何点击该链接并被重定向到携带恶意软件的网站的 IP 地址。

说明或评论中包含恶意链接的视频示例

带有恶意 Telegram 频道链接的评论

在访问攻击者的网站或频道后，用户可能会下载一个被错误地宣传为流行软件的 ZIP 文件。存档内包含一个 MSI 文件和一个 TXT 文件，其中包含安装所需的密码。还有有关如何安装软件的说明，其中攻击者建议事先禁用任何已安装的防病毒软件和 Windows Defender。在许多情况下，用户下载恶意存档的网站和渠道上也提供了说明和密码。

文本文件的内容

启动时，MSI 文件会从 TXT 文件中请求密码，这是针对沙箱分析的首批对策之一。如果用户指定了正确的密码，则执行 MSI 文件的 CustomAction 字段值 — 这实际上是一个 VB 脚本。此脚本启动一个 BAT 文件，该文件从加密存档中提取攻击链的下一个元素。第一步是通过添加另一个 BAT 文件来自动运行，授予单次执行的 SYSTEM 权限，从而提升权限。之后，系统将重新启动。

MSI 文件中的 CustomAction 字段值

autorun 中的 BAT 文件提取加密的 RAR 存档，并运行“start”命令，并将两个 DLL 文件作为参数 — 这些文件以前是从存档中提取的。其中一个文件是合法的 AutoIt 解释器，另一个是具有有效数字签名的合法动态库。恶意负载是一个 A3X 脚本，它被编译成 EXE 文件并直接注入到第二个 DLL 文件签名中。

隐藏在合法动态库签名中的恶意负载

这种技术很有趣，原因有两个。首先，将 A3X 脚本添加到签名中，使其有效性保持不变，并且整个文件仍被视为已签名，即使有有效负载也是如此。如果不进行文件内容分析，几乎不可能检测到此类恶意添加。其次，AutoIt 解释器有一种有趣的方式来读取在其 launch 参数中指定的文件。将扫描文件以查找仅存在于已编译脚本中的特定 AutoIt 签名，并忽略该文件的所有其他内容。此行为允许攻击者将其恶意负载隐藏在文件中不会对容器本身有害的任何位置。

A3X 脚本开头的签名

将恶意负载放置在文件的任意部分并不是什么新鲜事。此类技术不仅用于 AutoIt，还用于其他平台。但使这种攻击脱颖而出的是绕过签名验证，使承载有效负载的文件看起来可能是合法的。

具有有效负载的文件成功绕过签名验证

如果 “start” 命令失败，BAT 文件将删除包含已安装文件的整个目录，包括其自身。否则，将启动恶意 A3X 植入程序，它会检查所有活动进程，以尝试查找与调试或反恶意软件产品相关的任何内容。如果找到任何内容，脚本将立即退出，如下面的去混淆代码片段所示。

通过恶意植入进行安全进程名称检查

编译的 A3X 脚本包含多个 FileInstall 函数调用。此函数采用两个参数：将要安装的文件的路径及其目标路径。在编译之前，此调用只是将文件从其源路径复制到其目标，但在编译期间，解释器将文件存储在已编译的脚本中进行安装。

生成的文件不仅包含可执行代码本身，还包含直接从植入程序安装的其他恶意文件。这些文件是持久性和执行感染链的后续步骤所必需的。这些文件将安装到以下路径：

为了实现持久性目的，包含已安装文件的目录具有 system、hidden 和 read-only 属性。此外，使用 icacls 实用程序，该植入程序禁止所有域中的所有用户删除这些文件夹、更改其权限、拥有它们、添加任何文件或子目录、向其写入任何属性（包括扩展属性）或从中删除文件。

文件被复制到名称不寻常的目录是有原因的。例如，文件夹名称 “Classic.{BB64F8A7-BEE7-4E1A-AB8D-7D8273F7FDB6}“由 Windows Shell 特别处理：资源管理器将在其名称中找到 GUID 并将其视为链接 — 在本例中为指向操作中心的链接。因此，用户将无法查看目录的内容。

资源管理器中的恶意目录

安装所有必要的文件后，植入程序通过创建由常见事件激活的筛选器（足够常见以保证筛选器激活）来使用 WMI 建立持久性。对于每个创建的过滤器，都会指定轮询频率。激活过滤器后，将使用 __FilterToConsumerBinding 类执行特定命令。

• 每三分钟一次，伪装成 StartMenuExperienceHost.exe 的 netcat 实用程序启动一次，其中包含攻击者的 C&C 地址（sportjump[.]ru） 和 “-e cmd.exe” 作为其参数。然后它被攻击者用作反向 shell。

• 每 5 到 10 分钟执行一次名为 “nun.bat” 的文件。它们是同一文件的副本，该文件开始了感染链的下一步。攻击者创建了两个副本以增加恶意软件执行的机会，但如果没有中断，它们都会启动。

• 每 15 分钟一次，通过“start”命令直接启动感染链的下一步。

通过在 A3X 植入执行结束之前启动 “insta.bat” 文件，所有这些方法都会再次使用，以实现更好的持久性。

推出 netcat 实用程序

持久性不仅通过 WMI 建立;植入程序还直接启动 NetCAT、“nun.bat”文件和“Start”命令。之后，它还滥用了具有相同目标的注册表键“Image File Execution Options”、“Debugger”和“MonitorProcess”。

关于恶意软件的某些变体，最有趣的事情之一是下载和使用 Wazuh SIEM 代理进行远程访问和遥测收集。为确保攻击者可以在受害者的设备上执行任意命令，在代理安装期间，设置了“remote_commands”选项。

安装和启动 Wazuh 代理

A3X 植入物的第一阶段收集以下信息：计算机名称、用户名、操作系统版本和架构、CPU 名称、有关 GPU 的数据和已安装的 AV 软件。所有这些信息以及当前时间都被发送到由攻击者控制的特殊 Telegram 机器人聊天。我们还看到一些恶意软件变体发送用户桌面的屏幕截图或安装恶意浏览器扩展程序，这可能会替换剪贴板中的加密货币钱包。

感染链的下一阶段由两个 DLL 文件组成，它们使用与第一阶段相同的技术：一个合法的 AutoIt 解释器和另一个 A3X 植入程序，位于合法动态库的签名中。此植入程序是此处描述的恶意软件变体中的最终有效载荷。它将一个名为 SilentCryptoMiner 的开源矿工注入新创建的 explorer.exe 进程内存中，其中包含攻击者挖矿配置的 URL。此配置指定要开采的加密货币、钱包等。在分析的变体中，我们可以看到攻击者主要使用匿名加密货币，如 Monero 或 Zephyr。

矿工配置示例

除了生成加密货币的主要目的外，SilentCryptoMiner 还可以从 “stealth-targets” 参数中指定的进程中隐藏自己的活动，并从 “kill-targets” 进程名称列表中停止进程。

2024 年 6 月至 8 月，用户受所述感染链影响的前 10 个国家/地区

本文中描述的攻击生动地说明了这样一个事实，即即使是大规模活动也可能非常复杂，并为攻击者提供了广泛的机会。由于多阶段感染链，攻击者可以通过多种方式在用户系统中建立持久性，从而获得完全访问权限。尽管攻击者的主要目标是通过秘密挖掘加密货币来获利，但恶意软件的某些变体可以执行额外的恶意活动，例如替换剪贴板中的加密货币钱包和截取屏幕截图。这次攻击中最有趣的行动是实施了不寻常的技术，例如使用 SIEM 代理作为后门，将恶意负载添加到合法的数字签名中，以及隐藏包含恶意文件的目录。

值得一提的是，攻击者创建的网站、视频和 Telegram 频道主要针对寻求流行软件或视频游戏作弊免费版本的用户。这些受众很容易成为攻击者的目标，因为他们愿意从不明来源安装非官方软件并禁用安全措施。

我们的产品使用以下名称检测此恶意软件：

• HEUR:Trojan-Dropper.OLE2.Agent.gen

• HEUR:Trojan.BAT.Agent.gen

• HEUR:Trojan.VBS.Agent.gen

• Trojan.Script.AutoIt.ak

• Trojan.BAT.Agent.cix

• Trojan.BAT.Miner.id

• HEUR:Trojan.Multi.Agent.gen

• PDM:Trojan.Win32.Generic