警惕!黑帽SEO投毒,搜索引擎成为帮凶
摘要
安恒信息中央研究院猎影实验室在日常跟进黑产团伙过程中,发现前不久披露的GRP-LY-1001团伙除了针对四方支付以外,也会针对Telegram用户发起钓鱼攻击,经过溯源分析还原了该团伙针对Telegram用户的投递方式。
该团伙通过购买谷歌广告服务,当搜索关键词时可以向用户优先推送广告内容。当用户在goolge搜索“Telegram”时,就可以看到Telegram相关的YouTube的广告页面,该YouTube页面为团伙注册的伪装为Telegram的账户主页,这个主页内容上定向指向了伪装的Telegram钓鱼站点。当受害者运行从钓鱼网站中下载的Telegram安装包时,安装包除了安装正常的Telegram客户端外,还会加载执行捆绑的Gh0st远控木马。
经分析推测该团伙本次攻击流程如下:
攻击手法分析
该团伙通过购买谷歌搜索引擎的广告服务使其搜索排名靠前,当用户搜索关键词“telegram”时,会置顶显示该团伙投放的广告。
点击后进入该团伙注册的youtube账号主页。
主页中发布的链接为投递恶意软件的钓鱼网站。
本次共发现3个与该团伙相关的YouTube账号,账号的注册时间从2021年12月份至2022年6月份不等,说明该团伙的攻击已经持续了一段时间。每个账号投递的恶意软件有着不同的加载最终载荷方式,其中一种与该团伙之前通过支付平台投递样本的手法存在重叠,YouTube账号主页与钓鱼网站如下:
| YouTube主页地址 | 注册时间 | 钓鱼网站 | 攻击手法 |
| https://www.youtube[.]com/channel/UCfjRdfRC2Ry-npQtx9QYngA/about | 2021-12-21 | https://telegramarg[.]org | 手法一 |
| https://www.youtube[.]com/channel/UC99r60zcP3LZ9ttVat7edyg/about | 2022-06-03 | https://teiigram[.]com | 手法二 |
| https://www.youtube[.]com/channel/UC52qMi51rw8f0rT82l7XTwQ/about | 2022-05-11 | http://telemateconnector[.]com | 手法三 |
- 攻击手法一:
受害者运行该类型安装包后会在目录下生成“Telegram中文版”文件夹,文件中包含真正的Telegram安装包和“tdata”文件夹,“tdata”文件夹中包含“Lenovo.exe”、“dgbase.dll”和“Server.log”三个文件。“Lenovo.exe”在用户运行安装包的同时开始运行,运行时加载“dgbase.dll”,而“dgbase.dll”将会加载最终载荷“Server.log”。
- 攻击手法二:
受害者运行该类型安装包后,将弹出正常Telegram安装程序,同时后台启动“xxx.exe”进程,“xxx.exe”执行后通过回连C2服务器下载一个压缩包*.zip(*表示任意字母或数字)和一个解压软件8z.exe,通过创建的lnk文件运行8z.exe解压*.zip,压缩包中共包含4个文件,最终会将svchost.txt中包含的最终载荷加载至内存并执行。攻击手法与《警惕!针对聚合支付商户的定向网络盗刷》提到的方式基本一致。
- 攻击手法三:
受害者运行该类型安装包后,将弹出正常Telegram安装程序,同时向目录“C:\Program Files (x86)\Common Files\Microsre”文件夹释放“dr.dll”、“helper.exe”、“Micr.flv”、“Micr2.flv”和“Micr3.flv”五个文件。“helper.exe”通过LoadLibrary函数加载“dr.dll”,“dr.dll”将“Micr.flv”、“Micr2.flv”和“Micr3.flv”三个文件数据解密和拼接,并将数据以shellcode形式注入内存,shellcode运行后创建cmd.exe进程并将内存中一个dll文件(最终载荷)注入到cmd.exe进程中。经分析最终载荷为魔改后的Gh0st远控木马。
最终载荷功能分析
- 攻击手法一:
最终载荷的主功能模块如下图所示:
功能总结如下:
| 命令号 | 实现功能 |
| 0 | 某一标志位设为1 |
| 0xB | 检索指定进程是否运行 |
| 0xC | 枚举窗口标题 |
| 0x1C | 重启进程 |
| 0x1D | 结束explorer.exe进程 |
| 0x1E | 清理浏览器痕迹 |
| 0x23 | 结束Internet Explorer.exe进程并清理浏览器记录 |
| 0x24 | 获取Skype.exe聊天及登录信息 |
| 0x25 | 结束Telegram.exe,并删除用户数据文件 |
| 0x26 | 关闭qq浏览器并获取qq浏览器用户配置信息 |
| 0x27 | 关闭火狐浏览器并删除火狐浏览器用户配置信息 |
| 0x28 | 关闭谷歌浏览器并获取谷歌浏览器用户配置信息 |
| 0x29 | 关闭搜狗浏览器并获取搜狗浏览器用户配置信息 |
| 0x2A | 关闭360极速浏览器并删除360极速浏览器用户配置信息 |
| 0x2B | 关闭360浏览器并获取360浏览器用户配置信息 |
| 0x31 | 开启击键记录,并上传击键记录文件 |
| 0x4E | 弹出消息框 |
| 0x4F | 创建HKEY_LOCAL_MACHINESYSTEM\CurrentControlSet\Services\BITS注册表项 |
| 0x51 | 关闭指定进程 |
| 0x52 | 创建自启动 |
| 0x53 | 卸载自身 |
| 0x54 | 清空事件日志 |
| 0x58 | 其他杂项命令 |
| 0x66 | 从指定链接下载并运行文件 |
| 0x68 | 获取指定文件属性 |
| 0x69 | 修改显示设置 |
| 0x6A或0x6D | 创建Ru开头的文件 |
| 0x6C | 创建Plugin32.dll文件 |
| 0x6D | 通过ie浏览器后台打开网站 |
| 0x6E | 指定浏览器后台打开网站 |
| 0x6F | 创建注册表项HKEY_LOCAL_MACHINE\SYSTEM\Setup,键名为Host |
| 0X70 | 某位自加1 |
- 攻击手法二:
攻击手法与《警惕!针对聚合支付商户的定向网络盗刷》提到的方式基本一致。最终载荷的主功能模块如下图所示:
功能总结如下:
| 命令号 | 实现功能 |
| 0 | 将某一标志位置为1 |
| 1 | 尚不明确 |
| 2或3 | 加载插件 |
| 4 | 卸载插件 |
| 6 | 枚举运行的进程的窗口标题 |
| 7 | 写入指定内容到文件并执行该文件 |
| 8 | 从指定域名下载、保存并执行文件 |
| 9 | 写入自启动 |
| 0xA | 修改指定注册表键值 |
| 0x64 | 开启连接 |
| 0x65 | 关闭连接 |
- 攻击手法三:
最终载荷的主功能模块如下图所示:
功能总结如下:
| 命令号 | 实现功能 |
| 0 | 调整权限并关闭指定进程 |
| 1 | 卸载自身 |
| 2 | 向HKEY_LOCAL_MACHINE\System\CurrentControlSet\services\Rspylz dtjgagoo\Host注册表写入指定值 |
| 3 | 向HKEY_LOCAL_MACHINE\System\CurrentControlSet\services\Rspylz dtjgagoo\ConnectGroup注册表写入指定值 |
| 4 | 清除事件日志 |
| 5 | 从指定链接下载并执行文件 |
| 6 | 从指定链接下载并执行文件,随后卸载自身 |
| 7或8 | 使用ie浏览器后台打开网站 |
| 9 | 使用指定浏览器后台打开网站 |
| 0xA | 弹出消息框 |
| 0xB | 检索指定进程是否运行 |
| 0xC | 获取每个窗口名 |
| 0xD | 打开代理 |
| 0xE | 关闭代理 |
| 0xF、0x65~0x6F或0x8D | 加载插件 |
| 0x6B | 开启击键记录并上传击键记录文件 |
| 0x70 | 上传击键记录文件 |
| 0x75 | 向HKEY_LOCAL_MACHINE\SYSTEM\Clore的Clore键写入指定值 |
| 0x76 | 注册自启动 |
关联分析
除了上文提到的攻击方式存在重叠外,在本次攻击的样本中,其中使用第三种攻击方式的样本的回连IP“103.145.86[.]194”与之前该团伙盗刷活动中版本二的最终载荷(详情参考《警惕!针对聚合支付商户的定向网络盗刷》)回连IP存在重叠:
因此猎影实验室以高置信度将本次攻击归因于GRP-LY-1001团伙。
拓展
通过关联分析我们发现该团伙的IP:154.23.184[.]26还关联其他Telegram钓鱼网站域名:
从钓鱼网站中下载的安装包使用的攻击手法与上文攻击手法一相同,并且回连C2也相同,钓鱼网站详细信息如下:
| 钓鱼网站域名 | 攻击方式 | 是否包含客户端 | 回连ip |
| Telegramong[.]com | 手法一 | 否 | 154.23.176[.]92:4545 |
| Telegramop[.]com | 手法一 | 否 | 154.23.176[.]92:8080 |
| Telegramog[.]com | 手法一 | 是 | 154.23.176[.]92:8080 |
| x-tg[.]xyz | 手法一 | 是 | 154.23.176[.]92:4545 |
目前没有关联到引用这些钓鱼网站的YouTube主页,但是这些钓鱼网站仍在活跃,并且下载的恶意软件的C2仍可回连,这说明该团伙可能还通过其他方式宣传伪造的Telegram钓鱼网站。
思考总结
从几天前我们曾披露该团伙时关联到的大量的IP,再到本次通过购买谷歌广告服务投递捆绑远控木马的Telegram安装包,再一次印证了该团伙拥有着深厚的经济实力,并且团伙的业务范围可能更为广泛。此外,我们还关联出一些没有通过YouTube主页中进入的钓鱼网站,该团伙可能还存在其他方式宣传这些网站。
个人应提高安全意识,在安装软件时应尽量从官方渠道下载安装包,在使用搜索引擎时应擦亮双眼,明确哪些是广告,哪些是真正的官方网站。
防范建议
目前安全数据部已具备相关威胁检测能力,对应产品已完成IoC情报的集成:
#安恒产品已集成能力:
针对该事件中的最新IoC情报,以下产品的版本可自动完成更新,若无法自动更新则请联系技术人员手动更新:
(1)AiLPHA分析平台V5.0.0及以上版本
(2)AiNTA设备V1.2.2及以上版本
(3)AXDR平台V2.0.3及以上版本
(4)APT设备V2.0.67及以上版本
(5)EDR产品V2.0.17及以上版本
#安恒云沙盒已集成了该事件中的样本特征:
用户可通过云沙盒:https://ti.dbappsecurity.com.cn/sandbox,对可疑文件进行免费分析,并下载分析报告。
IOC
118.99.36[.]9
154.23.176[.]92
103.145.86[.]194
域名:
https://www.youtube[.]com/channel/UCfjRdfRC2Ry-npQtx9QYngA/about
https://telegramarg[.]org
https://www.youtube[.]com/channel/UC99r60zcP3LZ9ttVat7edyg/about
https://teiigram[.]com
https://www.youtube[.]com/channel/UC52qMi51rw8f0rT82l7XTwQ/about
http://telemateconnector[.]com
Telegramong[.]com
Telegramop[.]com
Telegramog[.]com
x-tg[.]xyz
SHA-256:
6db827207e774e4a23555c8d4f0d6f39ccb845a3484d688d20e4f7d9b779a1dd
0b73c5e6623ddceec64d4ca6ee397ebe26e2a811ea087a84673ee96ee683362f
d04850dcef42c076f6d42a249ec9597152fac24f6fdaa630ee997f48653e69b2
7e5d866732c80f5f136c583c09616f7f4d08138a8ef50b8f567c5c294be95d9d
804f6b2cc4e26fd1dae5854667f31081ce6448df4e93d326abbef2192ff8c0a1
4296c2e62d00e0abb94d196d6472aa22255371e785c476f24a8d013d6e85fc12
f92e9c905f3b038e77aa57fae34c5b3c1d417fe229daea92589661468ad9811b
410a197f4b849c0c3083ba47f0e83824816c36e5572ce7d5674f9c6156fbe1f9
355d8eef227a5bb10ec07b383f8f50e74c623000a9482ade1faba9999c1644f1
5b7cdd66014a52c0f9a0f91c540028f98e1334314f143893cb9c943c8594548c
249c1db8c1451ca8060dc2edf739260fa7c41ebdb582d569cb2765ec4b7f8b81
312a41ccf9b1a4e44be1cb01a9040599b2b0651235b1ef65f6c655d3b8220768
