今年5月,欧洲刑警组织与十多个国家的执法单位联手,针对包含SmokeLoader在内的多款恶意程序加载工具(Loader)、僵尸网络,摧毁相关基础设施,并逮捕嫌犯、冻结不法所得,但时隔数个月,这些黑客又再度从事攻击行动,而且,这次疑似针对台湾而来。
安全企业Fortinet指出,他们在今年9月看到新一波的SmokeLoader攻击行动,黑客针对台湾的制造业、医疗保健、信息技术,以及其他领域的公司而来。值得留意的是,以往攻击者将SmokeLoader作为传播其他恶意程序的渠道,但在这波安全事故里,黑客从C2服务器下载其他的SmokeLoader插件程序,以便进行后续的恶意活动。
攻击者先是通过钓鱼信对目标下手,他们假借提供报价的名义,要求收信人依照指示进行确认、回复,一旦收信人打开附件的报价数据文件,计算机就有可能执行VBS脚本,启动恶意程序加载工具AndeLoader,最终加载SmokeLoader的有效酬载。
值得留意的是,虽然黑客对多家公司发动攻击,但他们似乎使用几乎一模一样的钓鱼信,甚至连收信人都相同。研究人员提及,攻击者在签名文件的文本及电话号码,与内文的字体及颜色有所不同,他们认为这些文本很有可能从其他地方剪贴而来。
针对钓鱼信挟带的恶意附件Excel文件,攻击者先是利用RCE漏洞CVE-2017-0199,触发埋在试算表的恶意连接,自动下载另一个恶意文件并打开。
攻击者下载的文件大致分成2种,其中一种是Word文件,此时攻击者会触发Office方程式编辑器的RCE漏洞CVE 2017-11882执行Shell Code,然后借由特定API下载VBS文件,执行AndeLoader。
而另一种则是HTML应用程序文件(HTA),该文件内置经过算法处理的VBS程序代码,一旦执行,计算机就会解密VBS并执行PowerShell程序代码,下载与AndeLoader有关的VBS文件。附带一提的是,攻击者为了扰乱研究人员分析,他们在VBS文件的符号及参数其中,加入大量空白。
但无论是那一种攻击链,最终都是通过AndeLoader加载SmokeLoader,并加载对应的插件程序窃取计算机的各式帐密数据。研究人员总共发现有9款插件程序,可供攻击者从浏览器挖掘帐密数据、自动填写的内容,也可从Outlook和Thunderbird找寻特定的信件数据,此外,这些插件也可从FileZilla、WinSCP收集帐密数据。
