目录导航
FortiGuard 实验室 威胁研究报告
受影响的平台: Windows
受影响的用户: Windows 用户
影响:包括受感染机器上的机密信息在内的各种数据将被盗
严重级别:中
就像前一年一样,2021 年以 COVID 结束,2022 年以同样的方式开始。唯一的区别是,世界现在正在处理新的 Omicron 变体,而不是 2021 年 4 月出现的 Delta 变体。据报道,虽然 Omicron 变体的杀伤力不如其前身,但其传输速率要高得多,因此,每日新增 Omicron 感染数量已成为全球关注的问题。这再次引发了人们对这一流行病的高度关注,正如我们都遗憾地了解到的那样,威胁行为者不会回避利用痛苦和恐惧来为自己谋取利益。
FortiGuard Labs最近发现了一个名为“Omicron Stats.exe”的奇怪文件,结果证明它是 Redline Stealer 恶意软件的变种。本博客将介绍 Redline Stealer 恶意软件,包括此变体的新功能、核心功能、与 C2 服务器的通信方式以及组织如何保护自己。
RedLine Stealer
在讨论这个新的 RedLine Stealer 变体的细节之前,让我们回顾一下我们对 RedLine Stealer 的总体了解。
RedLine Stealer 的第一份报告至少可以追溯到 2020 年 3 月,它迅速成为在地下数字市场上销售的更受欢迎的信息窃取者之一。RedLine Stealer 收集的信息在暗网市场上以每套用户凭证低至 10 美元的价格出售。恶意软件出现之际,世界开始应对越来越多的 COVID 患者,以及越来越多的恐惧和不确定性,这可能导致人们降低警惕,这可能促使其开发人员使用 COVID 作为诱饵。
根据中央情报局的说法,开源情报或 OSINT 是“从公开可用的材料中提取”的情报,尽管它可以包括仅对专家或订阅者可用的资源。根据 FortiGuard Labs 收集和分析的全球 OSINT 信息,当前的 Redline Stealer 包括以下功能。
通常,这些受害者的系统已经感染了上述任何窃取程序,因此受害者在不知不觉中记录了他们的帐户密码和完整的浏览器详细信息,然后发送给市场运营商。通常,在这种情况下,每个用户配置文件都包括在线支付门户、电子银行服务、文件共享或社交网络平台上的帐户的登录凭据。因此,它尝试从安装在受感染机器上的浏览器收集以下信息,包括所有基于 Chromium 的浏览器和所有基于 Gecko(即 Mozilla)的浏览器:
- 存储系统信息:
- 登录名和密码
- cookies
- 自动填充表格数据
- 浏览器用户代理详细信息
- 信用卡信息
- 浏览器历史
- 已安装的 FTP 客户端
- 安装的 IM 客户端
- 它还从事基于文件路径和文件扩展名的高度可配置的信息收集,包括在子文件夹中搜索。
- 它设置了 Redline Stealer 无法运行的国家/地区的黑名单
- 它还收集以下机器信息
- IP
- 国家
- 城市
- 当前用户名
- 硬件 ID
- 键盘布局
- 截屏
- 屏幕分辨率
- 操作系统
- UAC 设置
- 用户代理
- 有关 PC 组件(如视频卡和处理器)的信息
- 已安装的防病毒解决方案
- 来自常用文件夹的数据/文件,例如桌面/下载等。
当前变体继续执行所有这些功能。但是,此新版本包括其他更改和改进,详情如下:
RedLine Stealer 变体的感染载体 (Omicron Stats.exe)
虽然我们无法识别此特定变体的感染媒介,但我们认为它是通过电子邮件传播的。众所周知,过去的 RedLine Stealer 变种已在以 COVID 为主题的电子邮件中传播以引诱受害者。此当前变体的文件名“Omicron Stats.exe”被使用,因为 Omicron 变体正成为全球关注的问题,遵循先前变体的模式。鉴于此恶意软件嵌入在旨在由受害者打开的文档中,我们得出结论,电子邮件也是此变体的感染媒介。
受害者群体
根据 FortiGuard Labs 收集的信息,此 RedLine Stealer 变体的潜在受害者分布在 12 个国家/地区。这表明这是一次粗略的攻击,威胁行为者并未针对特定组织或个人。
功能性
执行 Omicron Stats.exe 后,它会使用密码模式 ECB 和填充模式 PKCS7 解压缩使用三重 DES 加密的资源。然后将解压缩的资源注入 vbc.exe。它将自身复制到 C:\Users\[Username]\AppData\Roaming\chromedrlvers.exe 并创建以下计划任务以进行持久性控制:
schtasks /create /sc minute /mo 1 /tn "Nania" /tr
"'C:\Users\[Username]\AppData\Roaming\chromedrlvers.exe'" /f
然后,恶意软件会尝试从 Windows Management Instrumentation (WMI) 中窃取以下系统信息:
- 显卡名称
- BIOS 制造商、识别码、序列号、发布日期和版本
- 磁盘驱动器制造商、型号、总磁头数和签名
- 处理器 (CPU) 信息,例如唯一 ID、处理器 ID、制造商、名称、最大时钟速度和主板信息
该恶意软件还使用 base64 和 xor 密钥“Margented”解密字符串。解密后的字符串是“freelancer.com”和 207[.]32.217.89。然后它访问命令和控制 (C2) 服务器 (207[.]32[.]217[.]89:14588)。它使用唯一的标头“Authorization: ns1=d8cc092a9e22f3fc55d63aad32150529”来验证自己,并使用解密后的 ID“freelancer.com”来阻止来自其他恶意软件或研究人员的连接。
恶意软件会在受感染的机器上搜索以下字符串,以定位相关文件夹以进行数据泄露:
- wallet.dat(与加密货币相关的信息)
- wallet(与加密货币相关的信息)
- 登录数据
- 网络数据
- Cookies
- Opera GX Stable
- Opera GX
该恶意软件还会查找以下文件进行数据泄露:
- \Telegram Desktop\tdata 文件夹,Telegram 存储图像和对话的文件夹。
- %appdata%\discord\Local Storage\leveldb,用于存储用户加入的 Discord 频道和频道特定信息,用于以下文件:
- .log 和 .db 文件
- 与以下正则表达式匹配的文件:[A-Za-z\d]{24}\.[\w-]{6}\.[\w-]{27}
[AZ] 是一个正则表达式,用于搜索名称使用 AZ 中任何大写字母的文件
[az] 是一个正则表达式,用于搜索名称使用 az 中任何小写字母的文件
\d 是一个正则表达式,用于搜索任何数字
{24} 是一个正则表达式,用于精确匹配前面的标记 24 次
\.是用于查找“.”的正则表达式 (\ 是转义符)
\w 是用于查找任何包含下划线的单词字符的正则表达式
- Tokens.txt(用于 Discord 访问)
该恶意软件还会寻找并尝试窃取以下存储的浏览器数据:
- 登录数据
- 网络数据
- 浏览器用户代理详细信息
- Cookies
- 插件 Cookie
- 自动填充数据
- 信用卡信息
该恶意软件还尝试收集以下系统信息:
- 处理器
- 显卡
- 总内存
- 已安装的程序
- 运行进程
- 安装的语言
- 用户名
- 已安装的 Windows 版本
- 序列号
RedLine Stealer 变体窃取以下 VPN 应用程序的存储凭据:
- NordVPN
- OpenVPN
- ProtonVPN
C2 基础设施
此变体通过端口 14588 使用 207[.]32.217.89 作为其 C2 服务器。此 IP 由 1gservers 拥有。在此变体发布后的几周内,我们注意到一个 IP 地址特别与此 C2 服务器进行通信。一些遥测数据如下所示。
IP地址 | 开始时间 | 结束时间 |
---|---|---|
149.154.167.91 | 2021-11-26 04:34:54 | 2021-11-26 10:05:15 |
149.154.167.91 | 2021-12-05 12:06:03 | 2021-12-05 13:19:35 |
149.154.167.91 | 2021-12-09 16:18:46 | 2021-12-09 20:00:13 |
149.154.167.91 | 2021-12-22 18:38:18 | 2021-12-23 11:33:58 |
这个 149[.]154.167.91 IP 地址位于英国,是 Telegram Messenger 网络的一部分。似乎 C2 服务器可能被 Redline 运营商通过滥用的 Telegram 消息服务控制。这个结论并不是一个巨大的飞跃,因为恶意软件作者通过他们各自的电报组提供了专门的购买和支持热线。
结论
RedLine Stealer 利用了持续的 COVID 危机,预计将继续这一趋势。虽然它并非旨在对受感染的机器产生灾难性影响,但它窃取的信息可被同一网络犯罪分子用于恶意行为或出售给另一个威胁参与者以进行未来活动。通过执行基本的安全实践,远离RedLine Stealer,详细信息如下:
Fortinet 保护
FortiGuard Labs 针对 RedLine Stealer 变体提供以下 AV 覆盖:
PossibleThreat.PALLASNET.H
FortiGuard Labs 提供 IPS 签名“RedLine.Stealer.Botnet”来检测 RedLine Stealer 与命令和控制 (C2) 服务器的通信。请注意,签名默认设置为“通过”,需要切换为“丢弃”以阻止与其 C2 的通信。
WebFiltering 客户端阻止所有网络 IOC。
FortiEDR 根据信誉和行为检测阻止所有恶意文件。
此变体的侵害指标 (IOC):
SHA2
15FE4385A2289AAF208F080ABB7277332EF8E71EDC68902709AB917945A36740
网络
207.32.217.89:14588 (C2)
其他 RedLine Stealer 变体 IOC:
SHA2
891aba61b8fec4005f25d405dfec4d445213c77fce1e967ba07f13bcbe0dad5
216a733c391337fa303907a15fa55f01c9aeb128365fb6d6d245f7c7ec774100
73942b1b5a8146090a40fe50a67c7c86c739329506db9ff5adc638ed7bb1654e
2af009cdf12e1f84f161a2d4f2b4f97155eb6ec6230265604edbc8b21afb5f1a
bf31d8b83e50a7af3e2dc746c74b85d64ce28d7c33b95c09cd46b9caa4d53cad
b8ebdc5b1e33b9382433151f62464d3860cf8c8950d2f1a0278ef77679a04d3b
8d7883edc608a3806bc4ca58637e0d06a83f784da4e1804e9c5f24676a532a7e
1b4fcd8497e6003009010a19abaa8981366922be96e93a84e30ca2885476ccd7
fdeadd54dd29fe51b251242795c83c4defcdade23fdb4b589c05939ae42d6900
af4bf44056fc0b8c538e1e677ed1453d1dd884e78e1d66d1d2b83abb79ff1161
网络:
hxxps://privatlab[.]com/s/s/nRqOogoYkXT3anz2kbrO/2f6ceecb-a469-40b5-94a2-2c9cc0bc8445-Ewdy5l6RAylbLsgDgrgjNjVbn
hxxps://privatlab[.]com/s/s/3Qa0YRMaVaij07Z8BqzZ/7ca69d4c-c5bb-4ab3-b5a9-87c17b7167b5-86yYgEGqbQMnoszgm0OmgGb6g
hxxp://data-host-coin-8[.]com/files/9476_1641477642_2883[.]exe
hxxp://data-host-coin-8[.]com/files/541_1641407973_7515[.]exe
hxxp://data-host-coin-8[.]com/files/7871_1641415744_5762[.]exe
hxxps://transfer[.]sh/get/HafwDG/rednovi[.]exe
hxxp://91[.]219.63.60/downloads/slot8[.]exe
91.243.32.13:1112 (C2)
185.112.83.21:21142 (C2)
23.88.11.67:54321 (C2)
178.20.44.131:8842 (C2)
91.243.32.94:63073 (C2)
95.143.177.66:9006 (C2)
45.147.230.234:1319 (C2)
31.42.191.60:62868 (C2)
135.181.177.210:16326 (C2)
FortiGuard 实验室针对上面列出的 RedLine Stealer 变体提供以下 AV 覆盖:
W32/Agent.A7D6!tr
MSIL/Agent.DFY!tr
W32/PossibleThreat
PossibleThreat.PALLASNET.H
W32/GenKryptik.FNMI!tr
W32/AgentTesla.FDFF!tr
WebFiltering 客户端阻止所有网络 IOC。
FortiEDR根据信誉和行为检测阻止所有文件。
此外,FortiGuard 实验室还提供以下针对 RedLine Stealer 恶意软件的一般反病毒覆盖:
MSIL/Redline.5418!tr
W32/Redline.HV!tr
W32/Redline.HU!tr
W32/Redline.HP!tr
W32/Redline.HL!tr
W32/Redline.HT!tr
W32/Redline.AOR!tr
W32/Redline.HQ!tr
W32/Redline.HS!tr
W32/Redline.HM!tr
W32/Redline.HX!tr
W32/Redline.HR!tr
转载请注明出处及链接