窃密者家族August分析介绍

安天追影小组在进行日常安全事件梳理时,关注到一个窃密者家族August,其被黑客组织TA530利用社会工程学方法以电子邮件附带恶意文档进行传播,传播的目标主要为零售商户、大型B2C销售业务的管理人员,钓鱼邮件的附件是一个Word文档,利用Word宏来执行Powershell脚本向目标机器内存中注入恶意代码,其窃取的目标是被感染机器上的各类证书文件和敏感文档。

分析介绍:

通过分析发现,许多诱饵和电子邮件的主题使用的是商户网站上可能会出现的购买问题,并列出了为这些问题提供支持服务的零售商,电子邮件中的内容还说明了其附加文件包含有关问题的详细信息,实则附件为带有宏病毒的Word文档。当受害用户收到此类钓鱼邮件,若打开附带的附件文档,就会通过word宏执行一个Powershell脚本,从而来下载August家族病毒代码,并注入到系统内存中来执行恶意行为。此过程不会在目标系统中释放恶意文件,该特性使木马有效的避免被杀毒软件查杀。

August是用.NET编写的,样本代码使用Confuser工具进行混淆加密。从一个特定的样本的源代码确定August的一些功能:

主要目标是窃取指定扩展名的文件,并上传特定的命令和控制(C&C)服务器上,包括.rdp文件、wallet.dat文件、加密货币钱包(包括Electrum和Bither)、SmartFTP,FileZilla,TotalCommander,WinSCP和CoreFTP等应用程序的FTP凭据、Firefox,Chrome,Thunderbird和Outlook的Cookie密码、Pidgin,PSI,LiveMessenger和其他人的信使证书等。

August家族在传输窃取的数据中,通过base64编码、字符替换、添加随机密钥以及反转字符串等方式,对网络数据进行简单加密。

总结:

August是一个新的信息窃取器,在此次事件中August家族被黑客组织主要用于针对零售商和制造商与大型B2C销售业务,但同时在其他领域也可以用于窃取相关的证书文件和敏感文件。 安天追影小组提醒广大网络用户,尤其是零售商店和大型B2C销售业务的管理人员,加强安全意识,防范包括此类钓鱼事件,不要随意打开未知邮件附件。

MD5:

Sha256:c432cc99b390b5edbab400dcc322f7872d3176c08869c8e587918753c00e5d4e

参考链接:

https://www.proofpoint.com/us/threat-insight/post/august-in-december-new-information-stealer-hits-the-scene?utm_source=secwk
https://www.proofpoint.com/us/threat-insight/post/ursnif-banking-trojan-campaign-sandbox-evasion-techniques
https://www.proofpoint.com/us/threat-insight/post/phish-scales-malicious-actor-target-execs
http://researchcenter.paloaltonetworks.com/2016/03/powersniff-malware-used-in-macro-based-attacks/
https://www.fireeye.com/blog/threat-research/2016/05/windows-zero-day-payment-cards.html
https://confuser.codeplex.com/
https://www.proofpoint.com/us/threat-insight/post/phish-scales-malicious-actor-target-execs