TMT观察网_独特视角观察TMT行业

據研究人員發現一起基于新型文件類型（.iqy）的有針對性的攻擊活動，至少有一個位于中東地區的政府機構被作為了攻擊目標。本文對其進行分析：

DarkHydrus使用含有密碼保護的.RAR文件的魚叉式釣魚郵件來感染目標。.RAR文件含有一個含有URL的.IQY文件，IQY文件是Excel Internet Query file。默認情況下，當Excel打開并執行IQY文件后，Excel會從IQY中的URL處提取內容，直到出現彈窗告警為止。下面先看一下IQY文件：

當IQY文件執行時，Excel會從url的web服務器上獲取一個releasenotes.txt文件。下面看一下IQY文件執行時的動態分析：

在文件執行時，Excel會彈出運行iqy文件可能會存在的安全威脅告警消息，點擊Enable（開啟）后才可以繼續運行。

但是，在這次的攻擊活動中，該組似乎使用了我們稱為RogueRobin的基于PowerShell的自定義有效負載。

攻擊分析

攻擊者在7月15日到16日之間發送了魚叉式網絡釣魚電子郵件。每封電子郵件都附帶有一個受密碼保護的RAR壓縮包文件，名為“credential.rar”。如下圖所示，電子郵件的正文是采用阿拉伯文編寫的，要求收件人解壓RAR壓縮包并查看其中名為credential.iqy的文檔，該消息同時附錄了打開RAR存檔所需的密碼123456。而RAR文件則包含一個惡意的. iqy文件，名為“credential.iqy”。

圖1釣魚電子郵件中的郵件正文

翻譯這些阿拉伯文含義為：

你好

請查收并查看附件

非常感謝

密碼：123456

有效負載分析

惡意載荷credential.iqy的SHA256為：

cc1966eff7bed11c1faada0bb0ed0c8715404abd936cfa816cef61863a0c1dd6

這個.iqy文件將默認由Microsoft Excel打開。一旦打開，它將在使用文件中的URL獲取遠程數據，并保存在工作表中。 默認情況下，Microsoft Excel不允許從遠程服務器下載數據，會通過顯示對話框詢問用戶的同意：

打開.iqy文件彈出的安全通知

通過啟用此數據連接，用戶允許Excel從.iqy文件中的URL里獲取內容。那么包含在releasenotes.txt文件的公式Excel將其保存到工作表中的“A0”單元格。

看一下releasenotes.txt的內容：

該公式會使用命令提示符運行PowerShell腳本，而該腳本嘗試下載并執行在URL： http：// micrrosoft .net / winupdate.ps1上托管的第二個PowerShell腳本。 同樣的，Excel不會直接執行命令，但會在用戶同意后通過以下對話框后執行此操作：

用于確認遠程數據訪問的對話框

這個名為winupdate.ps1的腳本就是我們稱之為“RogueRobin”的負責進行攻擊的主要有效負載。

已有研究人員找出了惡意軟件使用的反分析方法，保存在Sandbox()函數中：

釣魚郵件

還有一些網絡攻擊者會攜帶惡意附件的網絡釣魚電子郵件，而主要是針對與工業生產相關的公司和組織。

網絡釣魚電子郵件偽裝成合法的商業報價，主要發送給位于俄羅斯的工業公司。每封電子郵件的內容都反映了受攻擊機構的活動以及接收電子郵件的員工的工作類型。

這些攻擊中使用的惡意軟件安裝了合法的遠程管理軟件——TeamViewer或Remote Manipulator System / Remote Utilities（RMS）。這使攻擊者能夠遠程控制受感染的系統。網絡攻擊者使用各種技術來屏蔽系統中安裝的惡意軟件的感染和活動。

在大多數情況下，釣魚電子郵件都有與財務相關的內容;附件的名稱也表明它們與財務有關。具體來說，一些電子郵件聲稱是大型工業公司的招標邀請。

惡意附件可能會被打包到壓縮包中。某些電子郵件沒有附件，在這種情況下，郵件文本旨在引誘用戶點擊鏈接，從而導入外部資源并從這些資源下載惡意對象。

以下是針對某些機構的攻擊中使用的網絡釣魚電子郵件示例：

釣魚郵件截圖

上述電子郵件是代表一家知名的工業組織發送的。發送郵件的服務器域名類似于該組織官方網站的域名。電子郵件附有一個壓縮包，壓縮包受密碼保護，密碼可以在郵件正文中找到。

總結：

曲速未來安全區表明：即使使用簡單的技術和已知的惡意軟件，威脅行為者也可以通過熟練的使用一些合法的遠程管理軟件來掩蓋惡意代碼來完成攻擊。遠程管理功能使犯罪分子能夠完全控制受感染系統，因此攻擊方案不僅限于盜竊金錢。

曲速未來實驗室提醒：建議避免打開您收到不需要的電子郵件，并且不打開來自未知發件人的電子郵件附件。我們強烈建議您仔細分析您收到的不需要的電子郵件，并且不要從未知發件人下載電子郵件附件。 惡意軟件可以在網絡上以多種形式偽裝自己，所需的只是一次點擊來觸發感染。

本文內容來自微信公眾號【曲速未來安全區】想要了解更多區塊鏈知識，那就趕緊關注吧。