朝鮮利用比特幣漏洞獲利--經濟目標活動揭示拉撒路集團的新維度

朝鮮利用比特幣漏洞獲利--經濟目標活動揭示拉撒路集團的新維度

9 人贊了文章

作者：consen

更多文章，請訪問 --http://www.sec-un.org

出品：ProofPoint

翻譯：神州網雲（北京）信息技術有限公司

2018-01-31

---

神州網雲（北京）信息技術有限公司（以下簡稱「神州網雲」）是目前國內領先的從事高級威脅檢測和威脅情報技術應用的網路安全公司。

公司核心團隊具有10年以上的高級威脅檢測領域經驗，核心人員從2007年至今獨立發現多起影響巨大的高級威脅事件，是業內少有的具備一線APT對抗經驗和案例的知名團隊。目前公司主要提供針對高級威脅防禦相關的系列產品和解決方案。創新性的將特徵監測、行為分析、全流量深度分析、取證、威脅情報、大數據分析等技術進行綜合應用，提供了基於雲架構的高級威脅檢測方案，並在項目中成功進行應用和驗證，取得了顯著的效果。

公司獲得國家高新技術企業認證、ISO9001質量管理系統認證、安全集成服務資質認證及國家保密局涉密信息系統產品認證。同時與中國科學院簽訂了高新技術產學研合作協議、作為創始單位與國內多家信息安全公司共同創立了國內首個威脅情報聯盟——烽火台威脅情報聯盟。神州網雲（北京）信息技術有限公司於威海、常州、武漢、廣州成立分公司，並成立北島安全研究院和網雲安全學院。

神州網雲（北京）信息技術有限公司旗下產品：全流量高級威脅檢測+威脅情報：集特徵監測、行為分析、全流量深度分析、取證、威脅情報、大數據分析等技術為一體的高級威脅檢測與分析系統。可以在更廣的領域和範圍進行網路信息安全事件的事前警示、事中發現、事後溯源。還原的相關網路行為及報警線索自動留存6個月以上，為分析人員提供安全事件的全方位大縱深態勢感知、分析定性與電子取證能力。

【免責聲明】

本報告為美國ProofPoint公司的研究，神州網雲的翻譯作品，僅供技術討論，不代表神州網雲的觀點，亦不承擔相應責任。原文鏈接如下：https://www.proofpoint.com/sites/default/files/pfpt-us-wp-north-korea-bitten-by-bitcoin-bug.pdf

---

【摘要】

活動時間至少可以追溯到2009年，拉撒路集團一直是最具破壞性、成功和影響深遠的受國家—政府贊助的組織之一。2013年3月20日韓國遭受攻擊，2014年索尼電影公司遭受黑客入侵，2014年成功盜竊孟加拉銀行8100萬美元，也許最著名的是今年的WannaCry勒索軟體襲擊事件及該事件的全球影響，這一系列事件的罪魁禍首都是該集團。拉撒路集團被世界各地的信息安全行業、執法機構和情報機構等眾多組織廣泛認為是由朝鮮國家發起的威脅。

拉撒路集團的工具、惡意植入和漏洞利用武器等的使用非常廣泛，並且也是在不斷發展中的。此前，他們已經使用分散式拒絕服務攻擊（DDoS）的殭屍網路、數據擦除（Wiper）惡意軟體暫時使公司癱瘓，以及使用針對SWIFT銀行系統的成熟惡意軟體竊取數百萬美元。在本報告中，我們描述和分析了一個新的且目前尚未披露的拉撒路集團工具集的子集，該工具集廣泛針對與加密貨幣相關的個人、公司和組織。

這個被稱為PowerRatankba的新工具集的威脅載體包括高度針對性的使用鏈接和附件的釣魚攻擊活動，以及大規模的電子郵件釣魚攻擊活動，這些攻擊活動均針對與加密貨幣相關的個人及公司賬戶。同時，我們的發現可能是首個針對銷售終端系統（POS）的盜竊信用卡數據框架的國家/地區實例的公開記錄，在該實例中使用了與PowerRatankba聯繫緊密的惡意軟體變體。

【概述】

拉撒路集團的攻擊日趨以經濟利益為目的，似乎正在通過加密貨幣日益增長的熱潮和瘋漲的價格獲利。Proofpoint的研究人員已經發現了一些多級攻擊，它們使用加密貨幣誘餌來使具有複雜後門和惡意監控軟體的受害者感染。然後受害者感染的包括Gh0st RAT在內的其他惡意軟體，竊取加密貨幣錢包和交易，使拉撒路集團能夠利用比特幣和其他加密貨幣獲利。在一系列的攻擊中我們還發現，這似乎是第一個公開記錄的一個針對盜竊信用卡數據的銷售終端系統（POS）框架的國家—政府實例。而且，將攻擊銷售終端系統的時間安排在假日購物季時期，增大了潛在的經濟損失。

【簡介】

眾所周知，拉撒路集團有針對性地成功入侵了幾家知名的電子貨幣公司和交易所。根據這些入侵行為，執法機構懷疑該集團如今已經獲得了價值近1億美元的加密貨幣。根據我們在「歸因」部分提供的證據，我們推測，以前報告的針對加密貨幣組織的許多行動實際上是由拉撒路集團的間諜團隊進行的。此外，我們推斷，時至今日，許多拉撒路集團的傳統經濟目標團隊已經暗中積攢了大量的財富，他們進行攻擊行動，為他們大量的各種加密貨幣的儲備添磚加瓦。

針對2016年底和2017年初發生的銀行業和金融業的幾次水坑攻擊中，其第一階段下載植入名為Ratankba的惡意軟體。這些事件中，拉撒路集團主要使用Ratankba作為偵察工具，趨勢科技的工作人員將其它形容為「地形測繪工具」。在本報告中，我們詳細介紹了一種名為PowerRatankba的新型惡意植入軟體，PowerShellank是一種基於PowerShell的惡意軟體變體，這與原來的惡意植入軟體Ratankba非常相似。我們相信，鑒於Ratankba在今年早些時候被公開曝光披露，PowerRatankba很可能成為拉撒路集團嚴格的經濟目標團隊的替代品，以填補Ratankba留下的空缺。

在本報告中，我們首先提供與惡意活動相關的事件的簡要時間線。接下來，我們描述了拉撒路集團用PowerRatankba感染受害者的各種傳遞方法（圖1）。然後，我們詳細介紹PowerRatankba的內部工作原理，以及如何利用它來使受害者提供一個功能更強大的後門（圖1）。接下來，我們將分享有關韓國POS新威脅的細節，我們稱之為RatankbaPOS（圖1）。最後，我們將解釋將攻擊行為認定為拉撒路集團的高信度推斷。

PowerRatankba的下載器

在本節中，我們將詳細介紹攻擊者實現PowerRatankba部署運行的不同入侵途徑和行為，總的來說，我們發現了攻擊者使用的6種不同攻擊向量：

• 一種名為PowerSpritz的新型Windows下的下載器執行程序；
• 一種惡意Windows快捷方式文件（LNK）；
• 使用兩種不同的技術的多個惡意HTML幫助文件（CHM）；
• 多個JavaScript（JS）下載器；
• 兩個基於宏的Microsoft Office文檔；
• 託管在國際化域名基礎設施上的兩個具有後門的流行的加密貨幣應用程序，該程序向受害人製造假象，使受害人認為正在瀏覽正規網站

攻擊時間線

本次研究中的攻擊行為開始於2017年6月30日左右。根據我們的數據，在針對加密貨幣組織高管的釣魚攻擊中用到了PowerRatankba的變體A。在其他攻擊中使用了變體B。我們目前無法得知LNK、CHM以及JS的攻擊是如何感染給用戶的，但考慮到拉撒路集團的一貫做法，我們推測拉撒路集團通過郵件發送附件或者鏈接給受害者。在大規模的郵件攻擊中，我們又觀察到了該組織使用了以比特幣黃金（BTG）以及Electrum錢包為主題的郵件進行釣魚來發送惡意程序PowerRatankba。我們根據攻擊的情況整理了下圖，但具體的攻擊日期不確定，我們根據首次攻擊的觀測以及元數據進行了估計。

PowerSpritz

PowerSpritz是一個Windows可執行程序，它使用少見的Spritz加密演算法（關於Spritz演算法執行的相關分析見「歸因」部分）來隱蔽其攻擊載荷（Payload）和惡意PowerShell命令，另據觀察，攻擊者通過使用TinyCC短鏈接服務來跳轉和託管PowerSpritz攻擊載荷。早在2017年7月初，Twitter上有人分享了他們發現的利用假冒Skype更新來誘騙用戶點擊的攻擊證據，該假冒更新為短鏈接hxxps://skype.2[.]vu/1，點擊之後鏈接會重定向到託管攻擊載荷的伺服器hxxp://201.211.183[.]215:8080/update.php?t=Skype&r=update，由此實現攻擊載荷運行。

之後，我們還發現了多個傳播PowerSpritz的短地址跳轉，如假冒Telegram的：

hxxp://telegramupdate.2[.]vu/5->hxxp://122.248.34[.]23/lndex.php?t=Telegram&r=1.1.9

以及假冒Skype的：

hxxp://skypeupdate.2[.]vu/1->hxxp://122.248.34[.]23/lndex.php?t=SkypeSetup&r=mail_new

hxxp://skype.2[.]vu/k -> unknown

有部分PowerSpritz攻擊載荷託管於Google Drive上；然而，我們無法確定該服務是否真的被用於在真實環境(in-the-wild，ITW)中傳播有效載荷。

PowerSpritz利用Spritz加密演算法並以「Znxkai@ if8qa9w9489」為密碼加密有效的Skype或Telegram安裝程序。然後PowerSpritz將有效的Skype或Telegram安裝程序寫入磁碟，並通過句柄GetTempPathA或GetTempFileNameA來獲取程序安裝目錄或者安裝程序名稱。然後這些含有病毒的安裝程序則欺騙用戶，使用戶認為他們下載的是正規的軟體。最終，PowerSpritz會以相同的加密密碼執行PowerShell命令，下載PowerRatankba的初始階段部署程序：（見圖4）

上圖中可以看到，PowerSpritz還會從地址hxxp://dogecoin.deaftone[.]com:8080/mainls.cs獲取一個Base64加密腳本，腳本執行後，又會從另一地址hxxp://vietcasino.linkpc[.]net:8080/search.jsp實現PowerRatankba的命令控制（C&C）：（見圖5）

惡意Windows快捷方式（LNK）文件

在防病毒掃描服務上發現偽裝成PDF文檔的lnk文件。 意的「Scanned Document Part 1.pdf.lnk」lnk文件與名為「Scanned Document Part 2.pdf」的損壞的pdf一起被壓縮在名為「Scanned Documents.zip」（圖6）的zip文件中。目前還不清楚PDF文件是否被故意篡改，以增加目標打開惡意LNK文件的機會，或者是攻擊者無意中使用了損壞的文件。我們尚未得知如何在實際環境中使用lnk或壓縮的zip文件進行攻擊。

惡意lnk使用已知的AppLocke通過TinyURL短鏈接hxxp://tinyURL[.]com/y9jbk8cg（見圖7）來跳轉並檢索其攻擊載荷。短鏈接地址跳轉到hxxp://201.211.183[.]215:8080/pdfviewer.php?o=0&t=report&m=0。在本次分析中C&C伺服器不再返回攻擊載荷。但在PowerSpritz攻擊中使用了相同的IP。根據相同的C&C使用以及類似的URL結構，雖然不是很肯定，但我們推測lnk文件的攻擊也會通過PowerSpritz來部署PowerRatankba。

惡意HTML幫助文件（CHM）

據我們數據發現，在10月、11月和12月期間，受害者曾將多個惡意CHM文件上傳到了多家防病毒掃描服務中。為了能夠理清CHM文件使用的時間表，我們檢視了壓縮的zip元數據。但我們無法確定這些感染攻擊是如何在真實環境中感染受害者的。使用的惡意CHM文件包括：

• 一個寫得相當混亂的，用來創建浪漫意味網站的幫助指南文件（圖8-1）
• 來自Orient Exchange Co交易公司名為ALCHAIN區塊鏈技術的文檔（圖8-2）
• 開發首次代幣發行平台（ICO）的協助要求（圖8-3）
• Falcon加密貨幣首次代幣發行平台（ICO）白皮書（圖8-4）
• 加密貨幣交易平台的開發應用要求（圖8-5）
• 電子郵件營銷軟體協助要求（圖8-6）

所有的CHM文件都使用眾所周知的技術來創建一個能夠執行惡意代碼的快捷方式對象，然後通過「x.Click（）」函數自動點擊該快捷方式對象。在CHM中使用了兩種不同的方法來檢索攻擊負載。

這些惡意CHM文件都使用了短地址來執行相應惡意代碼，並配合兩種技術方式來獲取遠程Payload。第一種方式為使用VB腳本（見圖9）和BITSAdmin（見圖10）工具，首先從遠程地址hxxp://www.businesshop[.]net/hide.gif獲取下載腳本，之後，該下載腳本被保存為C:windows empPowerOpt.vbs，一旦此腳本被執行，將會從遠程地址hxxp://158.69.57[.]135/theme.gif下載PowerShell命令，並保存為C:UsersPublicPicturesopt.ps1，以實現PowerRatankba載入。

第二種方法直接在CHM中使用PowerShell下載類似的基於VBScript的PowerRatankba下載器（見圖11）。類似的VBScript執行命令被用來調用PowerShell的下載串來直接從hxxp：//92.222.106[.]229/theme.gif執行攻擊載荷。

5_6283065828631904327.chm（030b4525558f2c411f972d91b144870b388380b59372e1798926cc2958242863）包含著名的未使用的代碼段，以及指向解壓縮的doc.htm文件（見圖12）中的RFC1918私人IP地址的代碼。未使用的代碼的第一部分由更傳統的PowerShell命令組成，該命令從hxxp：//192.168.102[.] 21/power.ps1下載腳本。下一個代碼塊添加一個混淆技術（也存在於其他相關的CHM中），其中引號被替換為「*」字元。此混淆代碼從相同的RFC1918地址下載PowerShell攻擊載荷，但是從不同的URL：hxxp：//192.168.102[.]21/pso.ps1。我們推測，這可能是作者使用本地環境開發惡意CHM的痕迹，而不是使用從不相關的chm、工具或其他惡意攻擊載荷中竊取的代碼。此外，另一塊注釋代碼中含有執行VBScript文件「C：UsersdolphinePCDownloads
un_32.vbs」的文字。這可能是開發者的環境含有一個用戶名可能為dolphinePC的線索。最後，PowerRatankba.B植入與aa.ps1一樣嵌入到相同的chm文件中，並且配置有92.222.106[.]229和158.69.57[.]135的C＆C伺服器。

作為chm攻擊的最後一個註記，以下三個樣本包含了robert_mobile@gmail[.]com或robert_mobile@mail[.]com的電子郵件地址，我們認為這與攻擊者相關：

• 772b9b873100375c9696d87724f8efa2c8c1484853d40b52c6dc6f7759f5db01
• 6cb1e9850dd853880bbaf68ea23243bac9c430df576fa1e679d7f26d56785984
• 9d10911a7bbf26f58b5e39342540761885422b878617f864bfdb16195b7cd0f5

JavaScript下載器

在11月，我們觀察到有託管在受攻擊者控制的伺服器上的含有JavaScript下載器的zip壓縮文件。我們尚未得知這些文件是否感染受害人以及這些文件感染受害人的方式。對文件的命名和檢索的誘餌pdf文檔提供了一些關於誘餌性質的線索。這些惡意ZIP文件的主題為Coinbase、Bithumb和Falcon Coin等等加密貨幣交易所。

這些惡意文件中都包含了通過JavaScript加密混淆器編碼（見圖13）的一個JavaScript下載器程序。去混淆之後（見圖14），惡意下載程序的邏輯非常簡單。首先，一個混淆的PowerRatankba.B PowerShell腳本從一個偽造的圖像URL下載，例如：hxxp：//51.255.219[.]82/theme.gif。接下來，將PowerShell腳本保存到C：UsersPublicPictures opt.ps1，然後執行。

上述腳本運行後，會隨即從hxxp://51.255.219[.]82/files/download/falconcoin.pdf下載PDF誘餌文檔，並使用rundll32.exe以及shell32.dll和OpenAs_RunDLL（見圖15-1）打開該文檔。使用Coinbase和Bithumb主題的樣本也下載了PDF誘餌（見圖15-2,15-3）。此外，我們還發現Coinbase誘餌的內容已被用於拉撒路集團的活動中（詳見「歸因」部分）。

基於宏的Office惡意文檔

我們發現基於宏的一個Word文檔（b3235a703026b2077ccfa20b3dabd82d65c6b5645f7f1

5e7bbad1ce8173c7960）和一個Excel電子表格，其中Word文檔是名為「report phishing.doc」（釣魚攻擊報告.doc）的美國國稅局（IRS）內容的主題附件，該釣魚郵件假冒「釣魚攻擊警告」郵件，並以@http://mail.com地址發送。諷刺的是，發件人地址被偽造為phishing@irs.gov（見圖16），且郵件內容（見圖17）也像是從IRS官網網頁複製過來的：

惡意文檔通過宏從hxxp://198.100.157[.]239/hide.gif（見圖18）下載PowerRatankba VBScript腳本，保存為C:UsersPublicPicturesopt.vbs。並通過wscript.exe運行惡意腳本，從hxxp://198.100.157[.]239/theme.gif下載PowerRatankba.B，並保存為C:UsersPublicPicturesopt.ps1,然後通過powershell.exe運行。

另一個惡意宏文檔為bithumb.xls，它偽裝為比特幣交易公司Bithumb的內部文檔（見圖19），該文檔被壓縮在 Bithumb.zip中，並和名為「About Bithumb.pdf」（見圖20）的誘餌文檔一起被發送。

該惡意XLS文檔宏中包含了一個Base64編碼的PowerRatankba下載腳本（不同於通過HTTP從C&C控制命令伺服器中檢索，見圖21），它首先會存入磁碟c:UsersPublicDocumentsProxy.vbs，然後通過wscript.exe運行腳本，從hxxp://www.energydonate[.]com/images/character.gif獲取PowerRatankba腳本，並保存為C:UsersPublicDocumentsProxyAutoUpdate.ps1。

含有後門的加密貨幣應用安裝程序

最近，大量釣魚郵件以假冒加密貨幣程序下載或更新的網站頁面為手段發起攻擊，假冒頁面為正版軟體網站的鏡像，而且大多版本更新下載都指向官網地址，只有Windows版本下載更新指向架設在攻擊者網站的惡意程序，這些程序都是含後門的惡意更新，其中內置了下載PowerRatankba植入程序的Python代碼命令。

其中一例攻擊樣本為一個偽裝為比特幣黃金（BTG）錢包應用，引誘受害者訪問一個國際化域名網站（見圖22）。惡意郵件被發送給受害者，其中含有假冒惡意網站hxxps://xn--bitcoingld-lcb[.]org/，郵件內容中又內置了一個與合法比特幣黃金官網（https://bitcoingold.org/）相似的惡意網站hxxps://bitcoing?ld[.]org，注意後面網站字母o上多了兩點?（見圖23）。這些郵件的發送時間在2017年10月10日至16日之間。釣魚郵件的部分發件地址為info@xn--bitcoingod-8yb[.]com、info@xn--bitcoigold-o1b[.]com和tech@xn--bitcoingld-lcb[.]org。

非常感謝RiskIQ的Yonathan Klijnsma（@ydklijnsma），他幫助使我們能夠分析xn-bitcoingldlcb[.]org中某個託管惡意軟體的網頁的歷史痕迹。在痕迹中，插入了一個額外的文字和一個按鈕來代替BTG標誌。該按鈕使用JavaScript從hxxps：//bitcoing?ld[.]org/bitcoingold下載攻擊載荷。（IDN：xn-bitcoingld-1cb[.]org）（見圖24）。其他差異可能是自惡意攻擊以來正版網站（見圖25）發生變化的結果。

點擊該鏈接後，會自動從惡意網站bitcoing?ld下載hxxps://bitcoing?ld[.]org/bitcoingold.exe的Payload。在此次分析中，點擊該鏈接後沒有返回任何內容。另外，我們還從第三方病毒檢測服務中發現了其它偽裝為ElectronGold-1.1.1.exe（eab612e333baaec0709f3f213f73388607e495d8af9a2851f352481e996283f1)）和ElectronGold-1.1.exe（b530de08530d1ba19a94bc075e74e2236c106466dedc92be3abdee9908e8cf7e）惡意Payload程序。

另一例攻擊樣本為，偽裝為Electrum的假冒更新，並會指向與Electrum合法官網（https://electrum.org/）相似的假冒網站（https://electrühttp://m.org/，見圖26）。根據我們的觀測，本案中的電子郵件使用不同@http://mail.com電子郵件地址發送的，至少部分電子郵件是在2017年11月18日至21日之間發送的。標題為「New Electrum Wallet Released」（新Electrum錢包發布）的郵件被用來欺騙受害者，使受害者認為他們需要下載Electrum的更新才能使用Segwit2X和Bitcoin Gold。如果受害者點擊了惡意鏈接，他們就會看到Electrum官方網站的正常版本（見圖27）。

上圖紅框下載鏈接最終會從另一惡意網站下載hxxps://xn--electrms2a[.]org/electrum-3.0.3.exe（見圖28），其為含有後門的PowerRatankba下載程序。

在這兩例攻擊樣本中，PyInstaller中被感染相同的惡意Python代碼，特別是植入到了guiqtinstallwizard.py。攻擊中的後門程序代碼也近乎相同，除了目標URL以及VBScript腳本的保存名稱略有差異（見圖29）。

含有後門的installwizard.py的腳本對比。左：BTG，右：Electrum

BTG活動配置為從hxxp://www.btc-gold[.]us/images/top_bar.gif下載VBScript，同時將下載的腳本保存到C：UsersPublicDocumentsdiff.vbs。我們無法檢索到這個文件，但我們懷疑PowerRatankba的變種會根據其他的攻擊活動進行下載。

偽裝成Electrum的攻擊活動被類似地配置為下載VBScript;然而，在這種情況下，我們能夠分析下載的攻擊載荷。含有後門的installwizard.py從hxxp://trade.publicvm[.]com/images/top_bar.gif下載腳本（請參閱「歸因」部分以獲取更多信息），同時將下載的腳本保存到C：Users PublicDocumentsElectrum_backup.VBS。下載的Electrum_backup.vbs是一個PowerRatankba下載器，其目標URL為hxxp：//trade.publicvm[.]com/images/character.gif，最終發送了一個PowerRatankba的植入程序，其中包含trade.publicvm[.]com的C&C。

植入程序的描述和分析

這些攻擊中的三個關鍵的植入程序被用於不同的地方。下面詳細描述這三種植入程序以及其具體變化——PowerRatankba、Gh0st RAT和RatankbaPOS。

PowerRatankba描述

PowerRatankba與Ratankba作用相同：作為第一階段網路偵察工具，並對感興趣的目標部署後續植入程序。與其前身類似，PowerRatankba利用HTTP進行C&C通信。

執行後，PowerRatankba首先通過BaseInfo HTTP POST方式（見圖30），將包含計算機名稱、IP、操作系統啟動時間和安裝日期、系統語言等感染設備詳細信息發送到C＆C伺服器上。另外，PowerRatankba針對埠139、3389和445的打開/關閉/過濾，都有相應的進程執行列表，並且變體PowerRatankba.B還會通過WMIC命令執行輸出（見圖31）。

BaseInfo HTTP POST的回傳命令只有輕微的變化，例如PowerRatankba.A使用「tasklist/svc」檢索進程列表，而PowerRatankba.B使用「tasklist」。

PowerRatankba.A描述

在最初的C＆C檢入之後，PowerRatankba.A發出What HTTP GET請求（見圖32）以從C＆C伺服器檢索命令。所有PowerRatankba.A HTTP請求都包含一個隨機生成的數字UID，這個數字UID通過HTTP URL參數u傳遞。

該變體接收命令並以明文形式發送響應。這個變體只有四個命令（見表1），包括睡眠，退出和兩個不同的執行代碼功能。

表1 PowerRatankba.A C&C命令

PowerRatankba.B C&C描述

與其前身類似，PowerRatankba.B在初始檢入後向C＆C伺服器發出What HTTP請求。這個變體不使用數字UID，而是使用受感染設備的雙Base64編碼的MAC地址（見圖33）。

來自C和C的命令仍然是明文，但是除了interval之外的所有命令的命令參數都使用「Casillas」作為密鑰和初始化向量（IV）進行DES加密，然後使用Base64編碼加密。cmd命令的響應是唯一發送到C＆C的被DES加密的數據，而從受感染設備發送到C＆C的所有其他網路流量都是明文或Base64編碼的。

幾個新的命令被添加到這個變體（見表2），而Execute和DownExec被替換。命令exe最終更改為inj，而功能保持不變。此外，一些較早的變體並不包含下面列出的所有命令，但是後門的整體功能基本保持不變，因此根據本研究的目的，所有使用DES加密的變體都被認為是變種PowerRatankba.B。

表2 PowerRatankba.B C&C命令

PowerRatankba的持久駐留方式

為了實現持久駐留，PowerRatankba.A會將一個JS文件appView.js保存到受害者的系統啟動開始菜單中，每當受害者帳戶登錄系統時，該文件就會自動執行。持久化文件appView.js（見圖34）中包含XOR編碼的PowerShell腳本，用於從硬編碼URL中檢索Base64編碼的PowerShell命令，如URL地址腳本hxxp://macintosh.linkpc[.]net:8080/mainls.cs中，包含的XOR密鑰為」ZWZBGMINRQLUSVTGHWVYANJHTVUHTLTUGKOHIYOXQEFEIPHNGACNKMBWGRTJIHRANIIZJNNZHVF」。

PowerRatankba.B根據當前感染賬戶是否具備管理員許可權而存在兩種持久化技術，它會首先通過命令「whoami /groups | findstr /c:」S-1-5-32-544」 | findstr /c: 」Enabled group」 && goto:isadministrator」檢查當前用戶許可權，如果當前用戶是管理員許可權，則會從硬編碼URL地址下載PowerShell腳本，並保存為C:/Windows/System32/WindowsPowerShell/v1.0/Examples/detail.ps1，最終會創建一個系統計劃任務，實現在啟動菜單中植入惡意程序下載腳本；如果當前用戶不是管理員許可權，則會從硬編碼URL地址中下載一個VB腳本，並保存到用戶系統啟動菜單中，如 PwdOpt.vbs或ProxyServer.vbs。

PowerRatankba.B第二階段—植入Gh0st RAT

PowerRatankba.B會向多種運行加密貨幣的應用設備中植入Gh0st遠程控制木馬工具（RAT）。Gh0st RAT使用exe/inj命令（見圖35）執行內存注入，經DES解密後發現，其反彈指向地址為 hxxp://180.235.133[.]235/img.gif（見圖36）。

圖36中假冒的gif圖片實際為一個Base64編碼的加密器，它會把Gh0st遠控加密作為最終Payload部署，並實現AES在CBC模式下的加密，該加密符合NIST Special Publication 800-38A加密標準，AES加密密鑰為「2B7E151628AED2A6ABF7158809CF4F3C」，AES初始值（IV）為「000102030405060708090A0B0C0D0E0F」（見圖37）。

經過解密的Gh0st植入程序是具有RFC18魔術位元組的定製變體（見圖38）。這個變種很可能基於Gh0st/PCRat的3.4.0.0版，但是我們認為它的作者可能已經給他們的植入程序一個內部版本1.0.0.1，如在解壓縮的C＆C初始檢入（以及二進位文件中的硬編碼）（見圖39）中可以看到。

3.4.0.0版本中很多代碼保持不變，包括Zlib壓縮的使用以及多年來在無數Gh0st RAT樣本中觀察到的臭名昭著的x78x9c默認Zlib壓縮頭部位元組（見圖40）。

Gh0st RAT的目的

在我們的研究過程中，我們發現在PowerRatankba的長期沙盒爆轟中並未運行與加密貨幣相關的應用程序，從未感染過第二階段種植體。這可能表明，PowerRatankba運營商只對各種加密貨幣的設備所有者感興趣。有一次，RFC18 Gh0st RAT在最初感染的二十分鐘內被傳送到PowerRatankba.B感染的設備。通過分析C＆C流量日誌，我們推斷，拉撒路行動者幾乎立即檢視受感染設備的屏幕，然後繼續接管完整的遠程控制，使他們能夠與受感染設備上的應用進行交互，包括受密碼保護的比特幣錢包應用。

瘋狂購物：了解RatankbaPOS

除了瘋狂掠奪數百萬美元的加密貨幣之外，我們還發現 Lazarus 在韓國開展了針對銷售終端系統（POS）的數據竊取。零售業的銷售額在11月和12月達到頂峰，POS也自然而然成為了犯罪分子的目標。其利用程序RatankbaPOS很可能是首個被發現的，針對POS的國家級黑客框架程序 。我們對RatankbaPOS的傳播部署暫不清楚；但基於其與C＆C共享PowerRatankba植入程序，我們假設拉撒路運營商滲透至少一個組織的網路利用PowerRatankba部署後期植入程序（包括使用RFC18 Gh0ST RAT的可能性）最終部署RatankbaPOS。基於文件以明文方式託管在C＆C上，而不是Base64編碼的事實，我們推斷說RatankbaPOS更有可能部署在PowerRatankba以外的後期植入程序中。

RatankbaPOS分析

RatankbaPOS是通過一個進程注入程序進行部署，藉此能夠持久地自我安裝，然後檢查一個C＆C的更新或命令自我刪除，將RatankbaPOS植入磁碟，最後搜索目標POS進程和模塊進行注射，並最終盜竊POS數據。

一開始，它會使用自己的模塊名稱來創建註冊表鍵HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows CurrentVersionRunigfxgpttray以實現持久化駐留，然後以「Nimo Software HTTP Retriever 1.0」（見圖41）為用戶代理（UA）信息，向固定編碼的URL——hxxp://www[.]webkingston[.]com/update.jsp?action=need_update發起HTTP命令請求，實現管理控制（自我刪除、移除永久化駐留功能的註冊表鍵或者升級植入程序）。如果C&C端無回應，則RatankbaPOS會進行進程注入。

RatankbaPOS在執行進程注入時，首先會對進程列表創建一個CreateToolhelp32Snapshot快照，然後其植入器/感染器會以不區分大小寫的方式在其中搜索名為xplatform.exe的進程（我們推測這與Tobesoft公司的XPLATFORM UI/UX設計軟體相關），如果有匹配進程，則會對該進程創建一個模塊列錶快照TH32CS_SNAPMODULE，然後使用Module32First和Module32Next迭代已載入的模塊，同時通過向任何大寫字母添加0×20將其轉換為小寫字母的方式，搜索對比目標線程為ksnetadsl.dll（見圖42），我們推測該線程與韓國KSNET POS產品相關。然後會開始檢驗ksnetadsl.dll的文件大小是否是98,304位元組（見圖42），如果匹配成功，則返回xplatform.exe的進程號PID。最終，RatankbaPOS將以c：windows emphkp.dll形式寫入磁碟，而hkp.dll將會通過LoadLibraryA和CreateRemoteThread注入到進程xplatform.exe中（見圖43）。

RatankbaPOS將首先勾住（hook）KSNETADSL.dll模塊，偏移量為0xB146（見圖44）。有趣的是，RatankbaPOS代碼中有名為1000B146的導出函數來檢查KSNETADSL.dll，這看起來像一個不尋常的導出名稱，但是這個代碼將永遠不會被使用，因為「！strcmp（「1000B146」，「1000B146」）」這個語句的結果永遠是真。所以我們假設這個功能是被錯誤地加入到編碼中或者以前用於調試的。RatankbaPOS還會將日誌消息記錄到存儲在c:windows emplog.tmp中。

在逆推過程中，我們開始反求KSNETADSL.dll模塊;但是，我們只能找到兩個文件大小為98,304位元組的模塊：

f2f6b4770718eed349fb7c77429938ac1deae7dd6bcc141ee6f5af9f4501a695

6c8c801bb71b2cd90a2c1595092358e46cbfe63e62ef6994345d6969993ea2d6

在分析了上面兩個KSNETADSL.dll模塊之後，我們的初步評估是，這兩個模塊都不是RatankbaPOS的正確目標。我們至少可以深入了解KSNETADSL.dll的用途，KSNETADSL.dll似乎是用來處理KSNET相關POS框架系統的加密和解密信用卡號碼（見圖45）。對RatankbaPOS進一步的分析，尤其是C＆C的代碼的使用，揭示了這種植入程序的潛在目的。

在RatankbaPOS的代碼中，只有一個HTTP POST請求被用於與C＆C的通信，即通過CreateThread調用的鉤子句柄（DoC2，見圖46）。

我們對C＆C通信的分析揭示了一些關於被泄露數據的線索。最初，植入程序使用strchr命令從KSNETADSL.dll的鉤子接收的字元串數據中找到第一個「=」。接下來，從「=」位置之前的16個位元組開始的37個位元組被複制到一個緩衝區。最後，將該緩衝區與在RatankbaPOS執行開始時創建的替換緩衝區進行比較（見圖47）。替換演算法使用在「E」填充的緩衝區中從偏移量0x30-0x39開始的值來將「0-9」的ASCII值替換為「ZCKOADBLNX」以及在偏移0x3D處用於將ASCII「=」替換為「Y」。因此，值「0-9」將被模糊為「ZCKOADBLNX」，而「=」將被模糊為「Y」（見圖48）。

為了混淆數據，RatankbaPOS簡單地使用明文ASCII字元串的十六進位值替換自己，以替換緩衝區中的值。例如，「0」的值將被替換為「Z」，而任何等號（「=」）將被替換為「Y」。這種方法被用來可能混淆數據，所以通過簡單地檢測網路流量或者通過使用對通過網路傳輸的明文信用卡數據的啟發式檢測來發現是很困難的。一旦被盜的數據被模糊處理，就會使用與注入器「Nimo Software HTTP Retriever 1.0」（見圖49）相同的硬編碼UA，通過POST HTTP請求發送到URL /list.jsp?action=up。到目前為止，我們已經觀察到以下C＆C域名：www.energydonate[.]com和online-help.serveftp[.]com。

根據我們在網上找到的文檔，RatankbaPOS可能會在「=」後的16個位元組中追蹤明文跟蹤數據，在等號後是以「99」開頭的加密的POS相關數據（見圖50）。根據該文件，這是一個加密形式的跟蹤數據。鑒於此，此活動可能會針對SoftCamp POS相關軟體應用程序、框架或設備。如果我們的猜測是正確的，並且值「99」總是在等號「=」後面，那麼可能通過在HTTP POST請求的客戶端主體中從偏移量16開始搜索字元串「YXX」來找到網路流量中的滲透數據。然而，為了減少誤報，需要有更多的邏輯性，但這種猜測為檢測提供了更多的選擇。

RatankbaPOS的目標區域

基於RatankbaPOS針對韓國軟體供應商的POS框架的事實，包括泄露數據與POS數據相匹配的線索，我們高度懷疑此威脅主要針對在韓國的設備。

歸因於拉撒路集團的證據

歸因是一個有爭議的話題，可以說是情報分析師面臨的最困難的任務之一。然而，根據我們的研究，我們以高度的信心進行推斷，我們得到的信息是，本研究中討論的行動的罪魁禍首是拉撒路集團，幕後黑手就是朝鮮。

考慮到有爭議和困難的任務，我們提供一些關鍵部分和重疊部分的總結，以驗證我們的推斷。下面詳細討論的主要原因是加密，混淆，功能，代碼重疊，引誘和C＆C。

加密

2016年10月，拉撒路集團實施了一項大規模的行動，據稱該行動攻擊了波蘭至少20家銀行以及世界其他國家的銀行。BAE系統公司、卡巴斯基、ESET、趨勢科技和賽門鐵克已經詳細記錄了這些攻擊。上述公司將把這系列攻擊歸因為拉撒路集團，攻擊的幕後黑手是朝鮮的說法在整個行業中被廣泛接受。據我們所知，尚未公開記錄的是2016年末至2017年初銀行事件中一些植入程序所使用的Spritz加密演算法背後的具體情況。

Spritz被描述為由羅納德?李維斯特（Ronald Rivest）和雅克布?舒爾特（Jacob Schuldt）設計的海綿狀RC4類流密碼。Github上存在Spritz的多個實現，比如用C和Python這樣的語言編寫。任何研究拉撒路集團的Spritz版本的人都會很快發現，前面提到的兩個實現都不能成功解密銀行相關植入程序中的隱藏攻擊載荷，也不能解決PowerSpritz的合法安裝程序攻擊載荷和惡意PowerShell命令。

拉撒路集團使用Spritz的問題或者可能的特點可以在Spritz原始說明文檔的第五頁中找到（見圖51）。它指出，加密演算法中的加減法可以被替換為異或運算（XOR），這種變種加密被稱為Spritz-xor。

我們檢查了在2016年末和2017年初的水坑攻擊中用於入侵銀行的一種原始植入程序中拉撒路集團使用的Spritz加密，很明顯，他們實際上已經應用了Spritz-xor而不是普通的Spritz演算法（見圖52）。

PowerSpritz採用與先前被歸為薩拉路集團所使用的植入程序中相同的Spritz-xor應用（見圖53）。我們推斷，由於在真實環境的傳播中是用Spritz的使用極為罕見，除了與標準應用的偏差版本之外，不太可能出現不同的威脅行動者也在使用這個演算法的情況。

編碼混淆

今年早些時候，攻擊者在針對韓國的數起水坑攻擊中，利用了M2Soft的ActiveX 0day漏洞來發送與拉撒路有聯繫的FBI-RAT和Charon植入程序，這些攻擊中的一些技術與JS下載器和PowerRatankba的CHM線索重疊。在M2Soft exploit和PowerRatankba JS下載器中都利用了同一種JS編碼混淆技術，這種技術是用掩碼字元串把其十六進位值替換在形為_0x[a-f0-9]{4}的數組中（見圖54）。

功能對比

原始Ratankba植入程序的幾個特徵與PowerRatankba和RatankbaPOS相比是相似或相同的。此外，在各種拉撒路集團的工具集會在c:windows emp中存儲植入程序和運行日誌。下面顯示了類似功能的簡要概述（見表3），而每個重疊的詳細描述可以在下面找到。

功能 Ratankba PowerRatankba RatankbaPOS M2Soft 漏洞 FEIB擴展器

JSP C&C相似性 X X X

使用命令：success，killkill X X

循環睡眠時長為15分鐘 X X

使用路徑c:windows emp X X X X

首先考慮所有Ratankba，PowerRatankba和RatankbaPOS中使用的C＆C協議。Ratankba最初發布到C＆C以泄露被入侵的系統信息時，使用與PowerRatankba相同的BaseInfo參數。此外，Ratankba樣本（bd7332bfbb6fe50a501988c3834a160cf2ad948091d83ef4de31758b27b2fb7f）利用list.jsp的C＆C，而RatankbaPOS利用相同的URIfile名稱涉嫌傳輸泄露信用卡信息給C＆C。其次，Ratankba支持的命令包括success和killkill，其功能與PowerRatankba命令相同。此外，在Ratankba和RatankbaPOS的植入器中均使用900秒（15分鐘）的睡眠循環（見圖55,56）。

最後，在進一步分析混淆部分中討論的M2Soft攻擊的時候，在去混淆的JS中發現了一個熟悉的目標目錄C：windows emp（見圖57,58）。在PowerRatankba CHM攻擊期間，RatankbaPOS用於記錄和植入存儲以及台灣遠東國際商業銀行（FEIB）攻擊行動中的擴展器中也使用這個目標目錄。

代碼重疊

在2017年10月3日前後，拉撒路集團以竊取金錢為目的，通過SWIFT系統入侵了台灣遠東國際商業銀行（FEIB），攻擊活動中的一個植入程序（9cc69d81613285352ce92ec3cb44227af5daa8ad4e483ecc59427fe23b122fce）被作為載入器和擴展器使用，並被寫入到c:windows emp目錄下，該目錄也被RatankbaPOS等多個拉撒路集團的植入程序用來存儲植入程序和運行日誌，而且，RatankbaPOS和FEIB攻擊事件植入的擴展器（spreader）之間有多處相同代碼，其中兩者進行持久化駐留的註冊表創建代碼相同（見圖59）。

誘餌程序

PowerRatankba JS下載器誘餌中的內容（transaction.js下載的transaction.pdf）之前在拉撒路的一系列攻擊中使用，據我們所知，這些技術傳統上被用於間諜活動，而不是用於經濟目的攻擊。該攻擊發生在2017年8月4日，拉撒路集團使用一份惡意的Microsoft Office Excel文檔來冒充一名韓國國家警察。惡意的Excel附件使用了一個基於宏的VBScript XOR植入技術，該技術已經在公開的文檔中有詳細的記錄。

這個攻擊中使用的文件被命名為????????.xls（b46530fa2bd5f9958f664e754ae392dc400bd3fcb1c5adc7130b7374e0409924），文件名的意思是「比特幣交易歷史」。使用基於宏的VBScript XOR植入技術，通過C&C（www.unsunozo[.]org）將CoreDn下載器植入程序植入磁碟。與PowerRatankba攻擊行為相關的重疊可以在Excel電子表格使用的誘餌中找到（見圖60）。在「最終比特幣地址」部分之後突出顯示的交易與PowerRatankba中的誘餌transaction.pdf中開頭的交易相匹配。

需要說明的是，這種使用VBScript XOR的宏技術歷來被用於與間諜活動密切相關的攻擊，而不是直接的經濟目的，例如針對美國防務承包商員工的攻擊。這種行為可能提供了一個線索，那就是朝鮮為了通過非法手段來採購貨幣，可能是由於對該政權的經濟制裁。這可能表明，歷史上進行間諜活動的拉撒路團隊的任務已經發生了重大轉變。此外，多個攻擊活動中使用的VBScript XOR宏技術代碼直接與PowerRatankba相同，有些攻擊事件代碼甚至在一周之內發生雷同，這可能間接說明，有多個朝鮮國家黑客團隊在針對不同目標執行攻擊任務。這個推測與其他公司的猜測相吻合（例如卡巴斯基在Bluenoroff上的出色文章）。

C&C

在台灣遠東國際商業銀行（FEIB）攻擊事件後，台灣金融安全資訊賬戶mickeyfintech在Facebook發布了攻擊事件的技術調查報告（見圖61），其中曝光了攻擊者的使用域名trade.publicvm[.]com，該域名曾多次被用於PowerRatankba的C&C控制端，由於我們還無法確定該域名是否由Lazarus Group控制並發起了針對FEIB的攻擊，所以該證據僅當參考。

【總結】

這份報告已經報告了拉撒路集團不斷增長的攻擊工具庫中的幾個新武器，包括各種不同的攻擊媒介，一個新的PowerShell植入程序和Gh0st RAT變種，以及新出現的針對韓國POS設備的威脅。除了深入了解拉拉撒路新使用的工具集之外，這項研究還有兩個關鍵點：

• 分析國家行為者的經濟動機，突出了國家發起攻擊經常被忽視或低估的方面;在這種情況下，我們能夠區分拉撒路內部有經濟動機的團隊的行動與最近被報道的間諜和干擾團隊的行動。
• 這個小組現在看起來是針對個人而不僅僅是組織：個人是較容易的目標，往往缺乏資源和知識來保護自己；這個小組同時為國家資助的威脅攻擊者的工具包提供新的貨幣化途徑。
• 而且，加密貨幣價值的爆炸性增長和高峰假期購物季節時期，新的POS惡意軟體的出現，都提供了一個有趣的例子，說明一個由國家資助的攻擊者是如何跟隨這些錢的，以及增加了從個人和組織直接盜竊的行動。而我們經常觀察到的行為是其他高級長期威脅（APT）參與者針對金融機構進行間諜活動。

---

【報告貢獻者】

Proofpoint

Kafeine (@kafeine)

Matthew Mesa (@mesa_matt)

Kimberly (@StopMalvertisin)

James Emory (@sudosev)

外部人員

Malc0de (@malc0de)

Adam (@infosecatom)

Jacob Soo (@_jsoo_)

【特別鳴謝】

我們要感謝Yonathan Klijnsma（@ydklijnsma）和RisqIQ（@RiskIQ）通過共享數據和協助一些基礎設施分析來支持這項研究。

【感染指標】

PowerSpritz感染真實環境的URL

hxxp://skype.2[.]vu/1

hxxp://skype.2[.]vu/k

hxxp://skypeupdate.2[.]vu/1

hxxp://telegramupdate.2[.]vu/5

hxxps://doc-00-64-docs.googleusercontent[.]com/docs/securesc/ha0ro937gcuc7l7deffksulhg5h7mbp1/39cbphg8k5qve4q5rr6nonee1bueiu8o/1499428800000/13030420262846080952/*/0B63J1WTZC49hX1JnZUo4Y1pnRG8?e=download

hxxps://drive.google[.]com/uc?export=download&id=0B63J1WTZC49hdDR0clR3cFpITVE

hxxp://201.211.183[.]215:8080/update.php?t=Skype&r=update

hxxp://122.248.34[.]23/lndex.php?t=SkypeSetup&r=mail_new

hxxp://122.248.34[.]23/lndex.php?t=Telegram&r=1.1.9

PowerSpritz的哈希值

cbebafb2f4d77967ffb1a74aac09633b5af616046f31dddf899019ba78a55411

9ca3e56dcb2d1b92e88a0d09d8cab2207ee6d1f55bada744ef81e8b8cf155453

5a162898a38601e41d538f067eaf81d6a038268bc52a86cf13c2e43ca2487c07

PowerSpritz的C&C

hxxp://dogecoin.deaftone[.]com:8080/mainls.cs

hxxp://macintosh[.]linkpc[.]net:8080/mainls.cs

Microsoft Compiled HTML Help (CHM)的哈希值

81617bd4fa5d6c1a703c40157fbe16c55c11260723b7f63de022fd5dd241bdbf

d5f9a81df5061c69be9c0ed55fba7d796e1a8ebab7c609ae437c574bd7b30b48

4eb2dd5e90bda6da5efbd213c8472775bdd16e67bcf559f58802a8c371848212

01b047e0f3b49f8ab6ebf6795bc72ba7f63d7acbc68f65f1f8f66e34de827e49

I3e91f399d207178a5aa6de3d680b58fc3f239004e541a8bff2cc3e851b76e8bb

9d10911a7bbf26f58b5e39342540761885422b878617f864bfdb16195b7cd0f5

85a263fc34883fc514be48da2d814f1b43525e63049c6b180c73c8ec00920f51

6cb1e9850dd853880bbaf68ea23243bac9c430df576fa1e679d7f26d56785984

772b9b873100375c9696d87724f8efa2c8c1484853d40b52c6dc6f7759f5db01

6d4415a2cbedc960c7c7055626c61842b3a3ca4718e2ac0e3d2ac0c7ef41b84d

030b4525558f2c411f972d91b144870b388380b59372e1798926cc2958242863

Microsoft Compiled HTML Help (CHM)的C&C

hxxp://92.222.106[.]229/theme.gif

hxxp://www.businesshop[.]net/hide.gif

MS Shortcut Link (LNK)的哈希值

beecb33ef8adec99bbba3b64245c7230986c3c1a7f3246b0d26c641887387bfe

8f0b83d4ff6d8720e134b467b34728c2823c4d75313ef6dce717b06f414bdf5c

MS Shortcut Link (LNK)的C&C

hxxp://tinyurl[.]com/y9jbk8cg

hxxp://201.211.183[.]215:8080/pdfviewer.php?o=0&t=report&m=0

JavaScript的哈希值

e7581e1f112edc7e9fbb0383dd5780c4f2dd9923c4acc09b407f718ab6f7753d

7975c09dd436fededd38acee9769ad367bfe07c769770bd152f33a10ed36529e

100c6400331fa1919958bed122b88f1599a61b3bb113d98b218a535443ebc3a7

8ff100ca86cb62117f1290e71d5f9c0519661d6c955d9fcfb71f0bbdf75b51b3

97c6c69405ed721a64c158f18ab4386e3ade19841b0dea3dcce6b521faf3a660

41ee2947356b26e4d8aca826ae392be932cd8800476840713e9b6c630972604f

25f13dca780bafb0001d521ea6e76a3bd4dd74ce137596b948d41794ece59a66

JavaScript的C&C

hxxp://51.255.219[.]82/files/download/falconcoin.zip

hxxp://51.255.219[.]82/theme.gif

hxxp://51.255.219[.].82/files/download/falconcoin.pdf

hxxp://apps.got-game[.]org/images/character.gif

hxxp://apps.got-game[.]org/files/download/transaction.pdf

hxxp://www.energydonate[.]com/files/download/bithumb.zip

hxxp://www.energydonate[.]com/images/character.gif

hxxp://www.energydonate[.]com/files/download/bithumb.pdf

MS Office Doc文件的哈希值

b3235a703026b2077ccfa20b3dabd82d65c6b5645f7f15e7bbad1ce8173c7960

b9cf1cba0f626668793b9624e55c76e2dab56893b21239523f2a2a0281844c6d

972b598d709b66b35900dc21c5225e5f0d474f241fefa890b381089afd7d44ee

MS Office Doc文件的C&C

198.100.157[.]239

hxxp://www.energydonate[.]com/files/download/Bithumb.zip

hxxp://www.energydonate[.]com/images/character.gif

PyInstaller的哈希值

b530de08530d1ba19a94bc075e74e2236c106466dedc92be3abdee9908e8cf7e

eab612e333baaec0709f3f213f73388607e495d8af9a2851f352481e996283f1

eb372423e4dcd4665cc03ffc384ff625ae4afd13f6d0589e4568354be271f86e

PyInstaller託管或Email的IDNA

xn--bitcin-zxa[.]org

xn--electrm-s2a[.]org

xn--bitcingold-hcb[.]org

xn--bitcoigold-o1b[.]com

xn--bitcoingld-lcb[.]com

xn--bitcoingld-lcb[.]org

xn--bitcoingod-8yb[.]com

xn--btcongold-54ad[.]com

xn--btcongold-g5ad[.]com

疑似相關的IDNA

xn--6fgp[.]com

xn--bitcingold-5bb.[]com

xn--bitcingold-jbb[.]com

xn--bitcingold-t3b[.]com

xn--bitcoingol-4kb[.]com

xn--bitoingold-1ib[.]com

xn--btcoingold-v8a[.]com

xn--bitcoingldwallet-twb[.]org

PyInstaller的C&C

hxxp://www.btc-gold[.]us/images/top_bar.gif

hxxp://trade.publicvm[.]com/images/top_bar.gif

PowerRatankba的哈希值

41f155f039448edb42c3a566e7b8e150829b97d83109c0c394d199cdcfd20f9b

20f7e342a5f3224cab8f0439e2ba02bb051cd3e1afcd603142a60ac8af9699ba

db8163d054a35522d0dec35743cfd2c9872e0eb446467b573a79f84d61761471

3cd0689b2bae5109caedeb2cf9dd4b3a975ab277fadbbb26065e489565470a5c

b265a5d984c4654ac0b25ddcf8048d0aabc28e36d3e2439d1c08468842857f46

1768f2e9cea5f8c97007c6f822531c1c9043c151187c54ebfb289980ff63d666

99ad06cca4910c62e8d6b68801c6122137cf8458083bb58cbc767eebc220180d

f7f2dd674532056c0d67ef1fb7c8ae8dd0484768604b551ee9b6c4405008fe6b

d844777dcafcde8622b9472b6cd442c50c3747579868a53a505ef2f5a4f0e26a

PowerRatankba的C&C

51.255.219[.]82

144.217.51[.]246

158.69.57[.]135

198.100.157[.]239

201.139.226[.]67

92.222.106[.]229

apps.got-game[.]org

trade.publicvm[.]com

www.businesshop[.]net

vietcasino.linkpc[.]net

相關的未知目的的C&C

coinbases[.]org

africawebcast[.]com

bitforex.linkpc[.]net

macintosh.linkpc[.]net

coinbroker.linkpc[.]net

moneymaker.publicvm[.]com

RFC18 Gh0st RAT

3a856d8c835232fe81711680dc098ed2b21a4feda7761ed39405d453b4e949f6

RFC18 Gh0st RAT的下載地址

hxxp://180.235.133[.]235/img.gif

hxxp://180.235.133[.]121/images/img.gif

RFC18 Gh0st RAT的C&C

180.235.133[.]235:443

180.235.133[.]121:443

51.255.219[.]82:443

158.69.57[.]135:443

RatankbaPOS的真實環境

hxxp://www.webkingston[.]com/top.gif

RatankbaPOS的哈希值

b66624ab8591c2b10730b7138cbf44703abec62bfc7774d626191468869bf21c

79a4b6329e35e23c3974960b2cecc68ee30ce803619158ef3fefcec5d4671c98

d334c40b42d2e6286f0553ae9e6e73e7e7aaec04a85df070b790738d66fd14fb

2b05a692518a6102c540e209cb4eb1391b28944fdb270aef7ea47e1ddeff5ae2

RatankbaPOS載入器的C&C

hxxp://www.webkingston[.]com/update.jsp?action=need_update

RatankbaPOS發送泄露數據的C&C

hxxp://www.energydonate[.]com/list.jsp?action=up

hxxp://online-help[.]serveftp[.]com/list.jsp?action=up

ET以及ETPRO Suricata/Snort簽名

2824864,ETPRO TROJAN Ratankba Recon Backdoor/Module CnC Beacon 1

2828904,ETPRO TROJAN RatankbaPOS Dropper CnC Checkin M1

2828905,ETPRO TROJAN RatankbaPOS Dropper CnC Checkin M2

2828906,ETPRO TROJAN RatankbaPOS CnC Checkin

2828921,ETPRO TROJAN PowerRatankba DNS Lookup 1

2828922,ETPRO TROJAN PowerRatankba DNS Lookup 2

2828923,ETPRO TROJAN PowerRatankba DNS Lookup 3

2828924,ETPRO TROJAN PowerRatankba DNS Lookup 4

2828925,ETPRO TROJAN PowerRatankba DNS Lookup 5

2828926,ETPRO TROJAN PowerRatankba DNS Lookup 6

2828927,ETPRO TROJAN PowerRatankba DNS Lookup 7

2828928,ETPRO TROJAN PowerRatankba DNS Lookup 8

2828929,ETPRO TROJAN PowerRatankba DNS Lookup 9

2828930,ETPRO TROJAN PowerRatankba DNS Lookup 10

2828931,ETPRO TROJAN PowerRatankba DNS Lookup 11

2828932,ETPRO TROJAN PowerRatankba DNS Lookup 12

2828933,ETPRO TROJAN PowerRatankba DNS Lookup 13

2828934,ETPRO TROJAN PowerRatankba DNS Lookup 14

2828935,ETPRO TROJAN PowerRatankba DNS Lookup 15

2828936,ETPRO TROJAN PowerRatankba DNS Lookup 16

2828937,ETPRO TROJAN PowerRatankba DNS Lookup 17

2828938,ETPRO TROJAN PowerRatankba DNS Lookup 18

2828939,ETPRO TROJAN PowerRatankba DNS Lookup 19

2828940,ETPRO TROJAN PowerRatankba DNS Lookup 20

2828941,ETPRO TROJAN PowerRatankba DNS Lookup 21

2828942,ETPRO TROJAN PowerRatankba DNS Lookup 22

2828943,ETPRO TROJAN PowerRatankba DNS Lookup 23

2828944,ETPRO TROJAN PowerRatankba DNS Lookup 24

2828945,ETPRO TROJAN PowerRatankba DNS Lookup 25

2828946,ETPRO TROJAN PowerRatankba DNS Lookup 26

2828947,ETPRO TROJAN PowerRatankba DNS Lookup 27

2828948,ETPRO TROJAN PowerRatankba DNS Lookup 28

2828949,ETPRO TROJAN PowerRatankba DNS Lookup 29

2828950,ETPRO TROJAN PowerRatankba DNS Lookup 30

2828951,ETPRO TROJAN PowerRatankba DNS Lookup 31

2828952,ETPRO TROJAN PowerRatankba DNS Lookup 32

2828953,ETPRO TROJAN PowerRatankba DNS Lookup 33

2828971,ETPRO TROJAN RatankbaPOS POS Exfiltration

關於PROOFPOINT

下一代網路安全公司Proofpoint，Inc.（納斯達克股票代碼：PFPT）使組織團體能夠保護員工的工作方式免受高級威脅和合規風險的侵害。Proofpoint幫助網路安全專業人員保護他們的用戶免受針對他們的高級攻擊（通過電子郵件、移動應用和社交媒體），保護人們創造的關鍵信息，並為他們的團隊提供正確的智能和工具，以便在事情出現意外時迅速做出反應。各種規模的領先企業（包括「財富」100強中的50％以上）都採用Proofpoint的解決方案，這些解決方案是為當今的移動和社交IT環境而構建的，並利用雲的強大功能和大數據驅動的分析平台打擊現代的先進威脅。

推薦閱讀：