图2. 攻击者使用的PDF示例
LastConn是SharpStage恶意软件的更新版本或新变体。LastConn恶意软件仅针对安装了阿拉伯语言包的计算机,以确保它只感染特定目标。它使用Dropbox提供所有C2功能和基础设施。该恶意软件使用了多种反检测技术,试图阻止自动和手动恶意软件分析。
“LastConn”这个名称是基于恶意软件Dropbox帐户中保存的的“LastConn.txt”文本文件 ,该文件用于记录恶意软件何时处于活跃状态:
图3. “LastConn”名称的由来
恶意软件样本中使用了第三方.NET代码混淆器,它能够执行名称混淆、垃圾代码填充、控制流混淆、日期检查,以及字符串加密等操作。
恶意软件及其组件中的字符串都以加密的方式存储在.NET资源中。一旦资源被解密,字符串就会被索引引用。当计算机上安装了阿拉伯语言包的受害者,点击鼠标后,该恶意软件才会继续执行下一步动作。
图4. 阿拉伯语检查
首次运行时,LastConn会执行“RunFileOnes”函数。该函数使用合法的Dropbox API和“txt_TokenRunOne”身份验证令牌,将“txt_FileOpen”文件下载到“txt_PathDir”并打开。研究人员认为这是为了显示诱饵文档。
打开诱饵文档后,恶意软件将执行“StartFolder”函数。该函数使用Dropbox API 和“txt_MyToken”身份验证令牌,在恶意软件的Dropbox上创建一个名为“<computer_name><username>”的工作目录。然后将一个名为“txt_FileToDown”的空文件上传到该工作目录中。研究人员认为,这个空文件用于表明恶意软件已初始化并准备好执行命令。
最后,恶意软件将执行“GetUpload”函数,用户维护“txt_LastConn”恶意软件活动日志;下载包含用于命令处理的第三个Dropbox身份验证令牌的“txt_Setting”文件;下载合法的Rar.exe和“txt_FileName”.rar文件,最终执行恶意指令。
TA402是一个高效且有能力的威胁行为体,它对中东各国政府实体来说是一个巨大的威胁。该组织在2021年6月恢复了每周一次的威胁活动,因此研究人员推测TA402将在中东地区持续活跃,并继续开发和修改定制的恶意软件植入器,包括增加规避检测和自动分析的功能。
文件哈希:
f55e2050733576fa16452e2589a187f4bf202ca3b54b1497ba2c006e8d3bdd45
0db46fea5a0be8624069f978f115e4270833df29ed776c712182327a758fd639
557c60ae9c613164fda3189720eaf78fe60b6bd8191f4d208ca3bbbdceffee36
0f36088ed9f5ffd4b42d35789113e99d8839edc52e554dbee0969bcad0200cfb
1cf18ce4becf2244fb715aa52eb4d56b569a95f2a1e7a835d217a20a2757a2d8
6d65804ca8f71e21b18de08176a53d8f203bc23629dd822ef3c0da217f95f119
cd60488acc0cc596c0de63eb0a7bca4ada4748fc4e76a86ca0fab42f15050347
URL:
hxxp[:]//192[.]210[.]151[.]43/CVDWwr42525[.]php
hxxps://script[.]google[.]com/macros/s/AKfycbxhRyJqO682mzT4C3-aNwSULjNPuHvhqpGYElJedUBPfaG60fZSOEQ/exec
版权归原作者所有,如若转载,请注明出处:https://www.ciocso.com/article/6416.html
