2023 年 7 月上旬，微軟稱之為 Storm-0324 的攻擊組織通過 Microsoft Teams 發(fā)送釣魚郵件進行攻擊。Storm-0324 是一個以經(jīng)濟獲利為動機的攻擊組織，以通過釣魚郵件執(zhí)行遠程代碼獲取失陷主機訪問權(quán)限而聞名。獲取立足點后 Storm-0324 通常會將訪問權(quán)限轉(zhuǎn)賣給其他犯罪團伙，如勒索軟件組織 Sangria Tempest（又叫 FIN7、Carbon Spider）與 TA543 等。

攻擊組織 Sangria Tempest 與 Storm-0324 此前曾被發(fā)現(xiàn)與 Gozi InfoStealer、Nymaim 和 locker 等惡意軟件分發(fā)有關(guān)。目前，Storm-0324 正在分發(fā) JSSLoader 然后轉(zhuǎn)交給其他勒索軟件組織。

投遞機制

感染鏈

Storm-0324 歷史

Storm-0324 通常會發(fā)送發(fā)票主題的釣魚郵件，用戶上當后會被重定向到 SharePoint 站點，其中部署壓縮的 WSF 文件或者 JSSLoader。目前為止，攻擊者使用的文件包括 Windows 腳本文件（WSF）、Office Doc 與 VBS。

此前，Storm-0324 分發(fā)的惡意軟件包括：

• Gozi – V3
• Trickbot
• Gootkit
• Dridex
• Sage, Gandcrab Ransomware
• IcedID

感染媒介1：釣魚郵件

釣魚郵件

誘餌文檔

受害者被重定向到一個 SharePoint 站點，該站點中部署好了 ZIP 文件，其中包含會下載 JSSLoader 的惡意腳本。文件會利用本地安全功能繞過漏洞（CVE-2023-21715），釋放 JSSLoader 到失陷主機，后續(xù)引入 Sangria Tempest 的勒索軟件。

2023 年 7 月上旬，攻擊者開始通過 Teams 發(fā)送釣魚誘餌文檔/惡意鏈接，這些鏈接重定向到部署壓縮惡意腳本的 SharePoint 鏈接。

感染媒介2：包含 WSF 腳本的 ZIP 文件

一旦受害者點擊誘餌鏈接，就會被重定向到 SharePoint 網(wǎng)站，誘導(dǎo)受害者下載惡意 ZIP 文件。

文件中的 WSF 腳本

WSF 腳本中包含一些注釋，來欺騙受害者使其認為這是良性腳本。

帶注釋的腳本文件

所有代碼都是通過字符拼接起來的，存儲在隨機變量名稱的數(shù)組中。解碼后可知其嘗試連接一個網(wǎng)站，下載后續(xù)的惡意腳本。

下載惡意腳本

感染媒介3：編碼的 VBS 腳本

進一步查看下載的 VBS 腳本，其中包含解密函數(shù)與異或字符串。另外，混淆的腳本中還有另一個 VBS 腳本，該腳本會連接另一個可以下載 JSSLoader 的網(wǎng)站。

下載的 VBS 腳本

該 VBS 腳本會將名為 Creative_Sound_Update.exe 的惡意可執(zhí)行文件釋放到 %Temp% 處，此外還會創(chuàng)建名為 Creative Sound Blaster Software 的定時任務(wù)：

異或處理后的 VBS 腳本

釋放的可執(zhí)行文件

感染媒介4：JSSLoader

JSSLoader 是一個高度復(fù)雜的后門，由 FIN7 攻擊組織開發(fā)。主要包含以下功能：

• 反分析
• 數(shù)據(jù)回傳
• 遠程代碼執(zhí)行
• 持久化

文件類型

使用 TickCount 反分析技術(shù)，獲取目標系統(tǒng)處于活動狀態(tài)的毫秒數(shù)，利用該數(shù)值確定系統(tǒng)運行了多長時間。

反分析技術(shù)

此外，攻擊者使用字節(jié)數(shù)組轉(zhuǎn)換為 UTF-8 字符串拼接 C&C 服務(wù)器地址（hxxps[://]monusorge[.]com）。

C&C 服務(wù)器地址

為了跟蹤失陷主機，惡意軟件會根據(jù)序列號、主機名與計算機名生成唯一 ID，如下所示：

生成唯一 ID

作為遠控木馬，惡意軟件在下一階段的執(zhí)行中會收集以下受害者信息：

• 邏輯驅(qū)動器
• 主機名
• 用戶名
• 域名稱
• 系統(tǒng)信息
• IP 信息

收集到的信息會被 base64 編碼處理：

回傳到 C&C 服務(wù)器

惡意軟件通過啟動文件夾中的 IShellLink 創(chuàng)建快捷方式，為可執(zhí)行文件提供持久化。

持久化

持久化后遠控木馬會等待 C&C 服務(wù)器的 GetCmd 命令，再將信息回傳給 C&C 服務(wù)器。失陷主機的唯一 ID 也會被包含在請求中，并且忽略 SSL 證書錯誤。

證書驗證

從 C&C 服務(wù)器接收到的命令會在失陷主機上執(zhí)行，以下是遠控木馬支持的命令，每個命令都通過 cmd_來進行標識：

支持的命令

遠控木馬支持的命令列表如下所示：

要執(zhí)行的命令會被解析為帶有分隔符的數(shù)組，然后根據(jù)數(shù)組進行構(gòu)建。這些命令將會寫入目錄中，然后作為參數(shù)解析為 PowerShell 代碼。

執(zhí)行命令

結(jié)論

自從 2019 年以來，JSSLoader 一直在持續(xù)更新。攻擊者的投遞方式也在不斷變化，例如通過 Team 與 GitHub 進行投遞。惡意軟件不斷使用最新的、最有效的技術(shù)，攻擊者也使用 C++ 進行 JSSLoader 的開發(fā)從而逃避檢測并阻礙分析。