1??????? 概述

2022年5月，安天CERT發(fā)布了報告《活躍的Jester Stealer竊密木馬及其背后的黑客團伙》[1]，報告中不但分析了一個同時釋放竊密木馬和剪貼板劫持器的惡意樣本，還提到了一個活躍的Jester黑客團伙。

Jester黑客團伙自2021年7月開始活躍，主要通過售賣其開發(fā)的竊密木馬、剪貼板劫持器、僵尸網(wǎng)絡(luò)等不同類型的惡意代碼獲利。2022年2月，該黑客團伙聲稱由于仿冒者太多而被各地下論壇封禁，所以決定更名為Eternity（后文都采用此名）。目前該黑客團伙已經(jīng)形成了一定的規(guī)模，具有多名成員，能夠根據(jù)購買者的反饋對其開發(fā)的惡意代碼進行修改，增加新功能，并開始出售勒索軟件和蠕蟲等更多類型的惡意代碼，形成了MaaS（惡意軟件即服務(wù)）的運營模式，對用戶的設(shè)備和數(shù)據(jù)安全形成威脅。

安天CERT在本篇報告中除了對該黑客團伙進行更多介紹之外，還會對其開發(fā)的蠕蟲及勒索軟件進行詳細(xì)分析，幫助用戶了解其惡意功能，以便進行更好的防護。經(jīng)驗證，安天智甲終端防御系統(tǒng)（簡稱IEP）可對該黑客團伙開發(fā)的惡意代碼進行有效查殺。

2??????? 事件對應(yīng)的ATT&CK映射圖譜

事件對應(yīng)的技術(shù)特點分布圖：

具體ATT&CK技術(shù)行為描述表：

表 2?1 ATT&CK技術(shù)行為描述表

3??????? 防護建議

為有效防御此類惡意代碼，提升安全防護水平，安天建議企業(yè)采取如下防護措施：

3.1?終端防護

1.?安裝終端防護系統(tǒng)：安裝反病毒軟件，建議安裝安天智甲終端防御系統(tǒng)；

2.?加強口令強度：避免使用弱口令，建議使用16位或更長的密碼，包括大小寫字母、數(shù)字和符號在內(nèi)的組合，同時避免多個服務(wù)器使用相同口令；

3.?部署入侵檢測系統(tǒng)（IDS）：部署流量監(jiān)控類軟件或設(shè)備，便于對惡意代碼的發(fā)現(xiàn)與追蹤溯源。安天探海威脅檢測系統(tǒng)（PTD）以網(wǎng)絡(luò)流量為檢測分析對象，能精準(zhǔn)檢測出已知海量惡意代碼和網(wǎng)絡(luò)攻擊活動，有效發(fā)現(xiàn)網(wǎng)絡(luò)可疑行為、資產(chǎn)和各類未知威脅；

3.2?網(wǎng)站傳播防護

1.?建議使用官方網(wǎng)站下載的正版軟件。如無官方網(wǎng)站建議使用可信來源進行下載，下載后使用反病毒軟件進行掃描；

2.?建議使用沙箱環(huán)境執(zhí)行可疑的文件，在確保安全的情況下再使用主機執(zhí)行。安天追影威脅分析系統(tǒng)（PTA）采用深度靜態(tài)分析與沙箱動態(tài)加載執(zhí)行的組合機理，可有效檢出分析鑒定各類已知與未知威脅。

3.3?遭受攻擊及時發(fā)起應(yīng)急響應(yīng)

聯(lián)系應(yīng)急響應(yīng)團隊：若遭受惡意軟件攻擊，建議及時隔離被攻擊主機，并保護現(xiàn)場等待安全工程師對計算機進行排查；安天7*24小時服務(wù)熱線：400-840-9234。

經(jīng)驗證，安天智甲終端防御系統(tǒng)（簡稱IEP）可實現(xiàn)對該竊密木馬、挖礦程序等惡意軟件的有效查殺。

4??????? 關(guān)聯(lián)分析

4.1?黑客團伙構(gòu)成

根據(jù)該團伙在Telegram頻道等位置發(fā)布的公開信息，以及此前Jester Stealer中出現(xiàn)的用于下載載荷的Github地址，可以總結(jié)其主要相關(guān)成員及頻道信息如下。

4.1.1?團伙成員

表 4?1 Eternity成員

其中LightM4n的Github信息如下，可看出該用戶對惡意代碼開發(fā)有一定了解。

4.1.2?消息頻道

該組織陸續(xù)開設(shè)了多個頻道用于進行惡意軟件銷售，相關(guān)頻道如下。

表 4?2 Eternity相關(guān)消息頻道

4.1.3?地區(qū)屬性

該黑客團伙開發(fā)的惡意軟件目前均會繞過系統(tǒng)語言為烏克蘭語的設(shè)備，且在惡意代碼的日志文本及黑客團伙的通知頻道中存在多處相關(guān)言論，因此推測其核心成員來自烏克蘭。部分信息如下。

4.2?惡意軟件介紹

Eternity組織有多種正在活躍維護及運營的惡意軟件，包括竊密木馬、挖礦程序、剪貼板劫持器、勒索病毒、蠕蟲傳播器等，另外還有DDoS程序處于開發(fā)階段，還未公開出售。

網(wǎng)站上還存在上述惡意軟件的文字、視頻介紹和購買鏈接。

該團伙還會通過投票等方式為后續(xù)的惡意軟件開發(fā)做調(diào)查。結(jié)合其設(shè)置客服賬號、建立多種不同功能的Telegram頻道、搭建網(wǎng)站等行為，可以看出該組織已經(jīng)形成了一定的商業(yè)銷售模式。

5??????? 樣本分析

5.1 Eternity蠕蟲分析

表 5?1蠕蟲樣本標(biāo)簽

檢查系統(tǒng)語言是否為烏克蘭語，若是則直接退出程序不再執(zhí)行。

創(chuàng)建互斥量“l(fā)pgdntaivz”避免重復(fù)執(zhí)行。

下載并執(zhí)行勒索軟件。

該蠕蟲后續(xù)通過多種方式進行感染、傳播。

• 自動發(fā)送Telegram釣魚消息

下載Telegram傳播模塊。

該模塊為使用PyInstaller打包的Python程序，功能為利用受害者系統(tǒng)中Telegram客戶端登錄的賬號發(fā)送釣魚內(nèi)容，誘導(dǎo)受害者的Telegram聯(lián)系人下載惡意程序。

• 自動發(fā)送Discord釣魚消息

從受害者安裝的Discord客戶端中獲取用戶關(guān)注的頻道（一種可以收、發(fā)消息的群聊）。

向獲取的Discord頻道中發(fā)送釣魚消息，誘導(dǎo)頻道成員下載惡意程序。

• 感染Python標(biāo)準(zhǔn)庫

感染Python標(biāo)準(zhǔn)庫中的os.py，向其中植入下載器代碼。

• 感染本地文件

將當(dāng)前用戶的“桌面”“圖片”“文檔”三個文件夾中exe、pdf、docx、xlsx、bat、txt、mp3、mp4、py、png、pyw、jar等擴展名的文件替換為惡意程序。

對zip壓縮包內(nèi)的文件進行替換。

對除C盤之外的可移動磁盤和固定磁盤（本地磁盤）進行上述感染處理。

最后對網(wǎng)絡(luò)驅(qū)動器以及Dropbox、OneDrive、Google網(wǎng)盤的默認(rèn)同步文件夾進行感染。

上述功能的配置信息如下。

5.2?釋放的Eternity勒索軟件分析

表 5?2勒索軟件樣本標(biāo)簽

Eternity勒索軟件的勒索信樣式如下。

檢查系統(tǒng)語言是否為烏克蘭語，若是則直接退出程序不再執(zhí)行。

創(chuàng)建互斥量“wsrciuxcaz”避免重復(fù)執(zhí)行。

將自身復(fù)制到%LocalAppdata%\ServiceHub\文件夾下，并建立計劃任務(wù)每分鐘執(zhí)行一次。

通過注冊表禁用系統(tǒng)自帶的任務(wù)管理器，避免用戶查看系統(tǒng)進程。

創(chuàng)建線程持續(xù)檢測系統(tǒng)中是否出現(xiàn)特定的進程管理、進程監(jiān)控、系統(tǒng)管理軟件進程并將其結(jié)束。

刪除系統(tǒng)還原點。

刪除卷影備份。

通過修改注冊表劫持資源管理器中.exe程序的雙擊啟動，使用戶啟動.exe時啟動的是勒索程序。

生成隨機的AES密鑰，使用內(nèi)置的RSA公鑰加密后存儲到注冊表HKCU\Software\Firefox\EncryptedKeys中。

使用AES算法對文件進行加密，并使用Deflate壓縮后寫回原文件。

加密后的文件擴展名為“.ecrp”，相關(guān)配置信息如下。

6? ? ? ??總結(jié)

Eternity Worm蠕蟲除了具備傳統(tǒng)的本地文件感染功能外，還具備多種依托于互聯(lián)網(wǎng)公共網(wǎng)站傳播的功能。蠕蟲一旦落地，還能自動下載勒索軟件在內(nèi)的其他惡意程序并執(zhí)行，對用戶系統(tǒng)安全造成極大的威脅。其背后的Eternity黑客團伙經(jīng)過一年多的發(fā)展，已經(jīng)成為具有一定規(guī)模的黑客團伙。

安天CERT將會繼續(xù)追蹤該黑客團伙的相關(guān)技術(shù)變化和特點，并提供相應(yīng)的解決方案。安天智甲終端防御系統(tǒng)（IEP）不僅具備病毒查殺、主動防御等功能，而且提供終端管控、網(wǎng)絡(luò)管控等能力，能夠有效防御此類威脅攻擊，保障用戶數(shù)據(jù)安全。

7??????? IoCs

參考資料：

[1]???? 活躍的Jester Stealer竊密木馬及其背后的黑客團伙分析

https://www.antiy.cn/research/notice&report/research_report/20220510.html

[2]???? Lilith僵尸網(wǎng)絡(luò)及其背后的Jester黑客團伙跟進分析

https://www.antiy.cn/research/notice&report/research_report/20220902.html