【安全资讯】研究人员发现传播Buer Loader的垃圾邮件活动

猎影实验室 2021-07-20 06:43:44 728人浏览

引言

近日,研究人员发现了一个传播Buer Loader的恶意垃圾邮件活动。Buer Loader 于 2019 年首次被发现,是一种恶意软件即服务,最初用来传播银行木马和其他各种恶意软件,后来被 Ryuk组织使用,在目标网络上建立初步立足点,从而部署Ryuk勒索软件。此次攻击活动使用DHL 和亚马逊的名称作为社会工程诱饵,诱使目标打开恶意制作的 Microsoft Excel 文档。打开后,该文档会联系远程服务器,该服务器从预定义的网站下载恶意负载。与类似恶意垃圾邮件活动不同,攻击者在此次活动中使用带有 .XLL 文件扩展名的签名 Microsoft Excel 文件,而不是标准的.XLS文件扩展名的签名文件。


简况

Buer Loader通过垃圾邮件传播,且攻击活动似乎不具有针对性。此次攻击活动中的一个样本电子邮件伪装成显示快递状态的电子邮件,使用 DHL 和亚马逊商标作为诱饵。邮件发给个人而不是一个组织,更体现出此次攻击活动不具有针对性。这种恶意垃圾邮件看起来是非英语母语人士的产物,因为其中存在语法问题。电子邮件中包含一个附件,文件名为“Detailed Invoice.xll”。该邮件的数字签名被分配给 HORUM,参考电子邮件地址为 admin[@]khorum[.]ru。证书的有效期似乎到2022 年 3 月 24 日。示例邮件如下:


Excel加载项文件使用 XLL 文件扩展名,以允许第三方应用程序向 Excel 添加额外的功能。XLL 文件在结构上类似于 DLL 文件。它们允许调用特定的 Excel 命令、来自VBA的工作表函数、注册的 XLL 命令以及从 Excel 中引用的函数。XLL 文件的使用不像包含宏或漏洞的恶意制作的XLS文件那样常见,是一种比较少见的规避策略,攻击者使用这种方法来绕过端点检测。此活动中的恶意 XLL 文件使用有效的数字签名,攻击者使用包含有效数字证书的签名恶意软件来逃避检测,因为它们受到防病毒软件和其他端点安全软件的信任。由于公司或组织在颁发数字证书之前要经过证书颁发机构 (CA) 的审查,因此操作系统和防病毒软件会将使用这些证书签名的文件视为合规文件,允许签名文件运行。 最后,恶意Excel 文件连接到目标服务器以下载有效负载,即Buer Loader。


研究人员通过分析发现,为可执行文件提供服务的 IP 地址属于美国佛罗里达州的一家网络托管经销商。服务器包含一个公开的目录。在 csrsc.exe 所在的文件夹中,目录时间戳似乎已更改,看起来像是 2016 年的原始文件。 然而,分析显示 csrsc.exe 文件实际上是在 2021 年编译的。该目录还包含 2021 年 6 月的其他几个文件,这些文件可能来自不同的攻击活动。研究人员还观察到在过去几年中从同一IP地址下载的活动。其中一些活动涉及提供伪造的数据恢复软件以及以PayPal为主题的网络钓鱼站点。但是,很难确定这些攻击者是否都是相关的。

失陷指标(IOC)6
Buer Loader 垃圾邮件 其他
    0条评论
    0
    0
    分享
    安全星图平台专注于威胁情报的收集、处理、分析、应用,定期提供高质量的威胁情报。