2025年4月9日�,俄羅斯BI.ZONE 威脅情報(bào)團(tuán)隊(duì)披露了APT組織Sapphire Werewolf的最新活動(dòng)�。其最近的調(diào)查結(jié)果表明,攻擊者一直在使用更新的 Amethyst 竊取工具�����,這是一款通過網(wǎng)絡(luò)釣魚郵件傳播的開源惡意軟件�。此次攻擊的目標(biāo)是能源公司�。
// 關(guān)鍵發(fā)現(xiàn)
?Sapphire Werewolf正在改進(jìn)自己的工具,以便更有效地繞過安全解決方案��。
?最新版本的 Amethyst 竊取工具具有針對(duì)虛擬化環(huán)境的高級(jí)檢測功能��,并采用三重DES 算法對(duì)字符串進(jìn)行加密����。
?通過利用憑證��,攻擊者可以滲透到各種信息系統(tǒng)中�����,獲取敏感數(shù)據(jù)��。
Sapphire Werewolf 冒充人力資源代表����,將惡意附件偽裝成官方備忘錄并將其發(fā)送給受害者��。
這封郵件包含一個(gè)備忘錄的RAR存檔文件�,其中包含一個(gè)帶有偽造PDF圖標(biāo)的可執(zhí)行文件。這是一個(gè)基于C# 的惡意軟件�,受.NET Reactor保護(hù)�����。惡意文件是一個(gè).NET加載器�,攜帶一個(gè)Base64編碼的有效載荷(PE文件)。
該 PE 文件是 Amethyst 竊取工具,同樣受 .NET Reactor 保護(hù)�。與之前分析過的該惡意軟件的實(shí)例類似,新的樣本將惡意文件下載到DotNetZip.dll輔助庫內(nèi)存(Ionic 的 Zip 庫1.16版本)中進(jìn)行文件壓縮�����。然后����,它將系統(tǒng)數(shù)據(jù)(包括IP地址以及一個(gè)表示該機(jī)器是否為虛擬機(jī)的字符串發(fā)送到以下地址:
hxxp://canarytokens[.]com/traffic/tags/static/xjemqlqirwqru9pkrh3j4ztmf/payments.js�����。
Amethyst 竊取工具還利用其資源來提取并執(zhí)行誘餌 PDF 格式文檔�。
// 更新后的 Amethyst 竊取工具具有以下特殊功能
1. 對(duì)虛擬機(jī)環(huán)境進(jìn)行高級(jí)檢查�����,使惡意軟件能夠:
? 嘗試檢索獲取特定于 VirtualBox虛擬機(jī)的文件描述符
? 檢查VMware Tools使用的注冊(cè)表項(xiàng)
? 通過WMI檢查硬件制造商和型號(hào)
? 檢查處理器制造商
? 檢查主板制造商和BIOS詳細(xì)信息
? 檢查磁盤型號(hào)和ID
? 檢查可移動(dòng)存儲(chǔ)設(shè)備
? 檢查Windows服務(wù)名稱
? 檢查虛擬機(jī)關(guān)聯(lián)注冊(cè)表項(xiàng)的上次修改時(shí)間
? 利用WMI收集有關(guān)被感染系統(tǒng)的大量數(shù)據(jù)
2. 值得注意的是�����,更新后的竊取工具使用了三重DES對(duì)稱算法��。然而,與對(duì)代碼整體進(jìn)行加密的.NET 加載器不同�����,三重 DES幾乎覆蓋了惡意軟件調(diào)用的函數(shù)參數(shù)中每一個(gè)字符串��。
// Amethyst竊取工具可以檢索以下信息
1. Telegram和各種瀏覽器(包括Chrome�、Opera���、Yandex�����、Brave��、Orbitum�、Atom�、Kometa和Edge Chromium)的登錄憑證,以及FileZilla和SSH配置文件����。
2. 來自遠(yuǎn)程桌面和VPN客戶端中的配置文件。
3. 各種類型的文件����,包括存儲(chǔ)在可移動(dòng)介質(zhì)中的文件����。
// Sapphire Werewolf網(wǎng)絡(luò)攻擊技術(shù)和行為總結(jié)
// 檢測
監(jiān)控與以下內(nèi)容相關(guān)的可疑活動(dòng):
1. 從%Temp%文件夾運(yùn)行可疑的可執(zhí)行文件����。
2. 從不常使用的文件夾中運(yùn)行類似于系統(tǒng)文件的可執(zhí)行文件���。
3. 創(chuàng)建非典型的計(jì)劃任務(wù)。
4. 通過異常進(jìn)程打開敏感文件��。
5. 訪問外部的IP地址解析器����。
引用鏈接
[1]https://bi.zone/eng/expertise/blog/kamen-ogranennyy-sapphire-werewolf-ispolzuet-novuyu-versiyu-amethyst-stealer-dlya-atak-na-tek/
