mp虚拟货币（针对虚拟货币交易平台的定向攻击：以客服色诱为诱饵）

　　mp虚拟货币（针对虚拟货币交易平台的定向攻击：以客服色诱为诱饵）

文章来源奇安信威胁情报中心

概述

近期，奇安信病毒响应中心在日常的样本运营中，发现了一起针对区块链虚拟货币交易平台的定向攻击，鉴于诱饵极具诱惑性，并且该定向攻击幕后团伙此前也被曝光过，鉴于攻击手法已经升级，我们对此进行了分析，并披露了此次攻击。

样本分析

Excel的文件名为：mxc客服人员色诱客户侵吞平台财产。xls

该样本的VT报毒结果如下：

刚打开的界面如下：

点击后的截图：

通过mshta执行hta文件：

Null。hta的内容如下，被执行起来后会请求一个github的地址：https！//raw。githubusercontent。com/pick90/hit/master/1。txt

获取数据并通过InstallUtil。exe执行下载的C#编译的exe文件：

该文件的文件描述为age。png，编译时间为：2019-10-30 11！37！12

会通过powershell执行下面的恶意代码：

恶意代码解密后，会去请求https！//n-trip。com/index。png，下载下一阶段的脚本执行：

该png是一个加密的文件，经过 base64解码后，在进行rc4解密，rc4的密钥是前16字节：

解密后的数据是powershell：

如果有360和QQ电脑管家，会通过事件过滤的形式实现开机启动，创建的filter的名字为：TimerFilter；如果不存在上述杀毒软件，就直接通过系统dll劫持实现持久化，劫持的dll名字为“wlbsctrl。dll”：

通过wusa的方式bypass UAC，然后释放wlbsctrl。dll”到system32下的：

下图是wlbsctrl。dll的代码，在dllmain里会通过InstallUtil。exe加载A164C0BF-67AE-3C7E-BC05-BFE24A8CDB62。dat这个文件，而这个文件就是rat变量的内容解密后释放的文件：

Rat的变量经过2层base64解密后，是一个C#编译的exe文件，该exe文件也是通过InstallUtil。exe加载：

该exe文件会执行powershell命令：

执行的powershell命令解密后如下：

最后会加载cobaltstrike的Loader，请求url（https！//slay。008ex。com/NhRT）获取beacon。dll实现远程控制。

回联的地址：

这次攻击者出现的所有的exe文件，整理表格如下：

域名信息

域名注册时间：

承载第一阶段的Github账号的注册时间是2019年9月25日，在9月26号开始提交一些webshell相关的代码，怀疑攻击者是想通过网站的漏洞下载webshell到服务的web目录下；为了避免被发现，才使用了github的方式。

9月26号曾多次提交名字为1。txt的webshell代码：

而10月29号，攻击者把一直提供webshell下载服务的1。txt，修改成了木马使用的payload：

攻击者应该是平时做渗透的，最近想通过定向攻击的方式拿到一些重要的目标。

而就在刚刚（2019年11月14日），攻击者又更新了下木马使用的payload：

从该payload里解密出来的木马的编译时间就在11月14日，而该样本在VT上是0检出的：

关联分析

在对域名bill。008ex。com解析的IP！ 192。52。167。189进行关联分析的过程中；

我们发现在该ip端的同一网段存在另一个可疑ip192。52。167。185 。

从平台来看，其恰好关联到了腾讯御见威胁情报中心的一篇《针对某区块链数字加密币交易平台的APT攻击》报告

https！//mp。weixin。qq。com/s/F7A9hxucQS-82VcE7xCVmg

其中

使用的IP地址。

但是当时该团伙没有使用github的形式进行样本获取，而且本次的域名都是动态域名，该团伙被曝光后，8月30日就申请了008ex。com这个域名作为下次攻击的C2，并于9月25日注册github账号，而且这次攻击中使用的2个非动态域名都申请了隐私保护。

总结

本次针对区块链平台的针对性攻击，并结合此前的攻击，不难认为，该攻击组织具备黑产属性，比特币期货并且在隐藏自身做的非常到位，无论是使用Github进行木马下载，还是最后释放的Cobaltstrike远控都让人难以进一步追踪。

奇安信病毒响应中心将持续追踪该黑产团伙，相关载荷和木马均可被奇安信全线产品查杀。

值得一提的是，奇安信威胁情报中心Alpha威胁分析平台企业版目前解锁新功能，可以查询关于每个IOC对象(域名，IP，URL，Hash)对应的TTP信息中的Technologic，只为了更方便客户知晓整个域名的具现化描述。

有需求请发邮件联系ti_support@qianxin。com

IOCs

https！//download。008ex。com/auth。log

　　

https！//n-trip。com/index。png

　　

https！//slay。008ex。com/NhRT

　　

slay。008ex。com，/c/msdownload/update/others/2016/12/29136388_，

　　

bill。008ex。com，/c/msdownload/update/others/2016/12/29136388_，

　　

jan。008ex。com，/c/msdownload/update/others/2016/12/29136388_

　　

bill。008ex。com

　　

download。008ex。com

　　

download。008ex。com

　　

jan。008ex。com

　　

slay。008ex。com

　　

gfem。n-trip。com

　　

sbar。n-trip。com

　　

转载来源于 奇安信威胁情报中心 FreeBuf。COM

　　
"，"content_hash"！"dae7ce3f