安全通告
首页技术支持 安全通告

警惕Gorgon APT组织窃密攻击

发布时间:2020-09-10查看次数:940
分享到

病毒概述

近日,天融信EDR团队捕获到Gorgon APT组织的恶意样本,其以“新冠病毒口罩”命名,诱导用户点击以实施攻击。该样本通过CVE-2017-11882漏洞调用VBS宏脚本执行PowerShell命令,从黑客服务器下载伪装成图片的恶意文件,之后释放DLL恶意程序注入器和窃密木马Agent Tesla,通过DLL将Agent Tesla注入到Regasm.exe进程中实现白加黑攻击,从而窃取剪贴板、邮件信息、FTP共享文件、按键信息以及浏览器中保存的用户密码,最后通过邮件将收集到的信息发送给黑客C2服务器完成窃密。

天融信EDR可精确检测并查杀该攻击样本,有效预防该病毒蔓延。

病毒分析

攻击样本调用WinExec函数执行嵌入在RTF中的VBS脚本指令。

通过VBS脚本执行PowerShell脚本命令。

执行PowerShell脚本连接黑客C2服务器www.m9c.net/uploads,下载伪装成图片的15882060891.jpg和15882060892.jpg文件。

执行15882060891.jpg文件,释放DLL注入器并加载到内存。

调用DLL恶意程序注入器,将窃密木马Agent Tesla注入到白进程Regasm.exe程序中实现白加黑攻击。

Agent Tesla窃密木马获取当前进程名和进程ID等信息。

调用nvq函数将kfr函数收集到的信息计算成一个唯一的Hash摘要。

收集计算机名和账户名,并将数据拼接。

创建后台线程。

创建第一个时钟线程,每5分钟触发一次。该线程通过时间差运算进行溢出检查。

调用kms函数对浏览器、FTP以及邮件的账户密码进行搜集。Kms函数将目标程序名称添加到List2容器中,针对不同的程序使用特定的方法获取账号密码,最后将获取到的账号密码信息存入List1容器中。

undefined

设置剪贴板监听器,监控被攻击者的剪贴板。

设置全局键盘钩子,记录被攻击者对不同进程输入的键盘信息,并将按键转换为对应字符串。

设置SMTP服务器,并将收集的账号密码信息以邮件形式发送到黑客邮箱。

防护建议

针对该窃密攻击,建议通过以下几种方式加强防范:

1. 加强人员安全防范意识,不要点击来历不明的链接、邮件附件及QQ文件等。 2. 及时修复系统及应用漏洞。 3. 定期更新系统及应用密码。 4. 下载并安装天融信EDR进行实时防护,可有效防御该类恶意攻击。