奈及利亞黑客組織再起花式攻擊

01

概述

今年3月，東巽科技2046Lab再一次跟蹤到一起源自非洲的黑客組織攻擊事件，和之前的攻擊事件《折翼的雛鷹：奈及利亞某黑客組織溯源》類似，攻擊者利用自己的PC進行木馬測試後，未刪除遺留的數據和屏幕截圖，不同的是這次的遺留數據多達6G，同時包含有明確的受害者信息。通過對遺留數據、屏幕截圖分析，研究人員又挖掘出了攻擊者的skype賬號、網盤賬號、郵件賬號等信息，並繳獲攻擊者之間的關於黑客攻擊的聊天記錄、網盤內容。綜合以上這些材料分析，研究人員得到如下結論：

1．該黑客組織以盜取受害者金融資產為目的，包括但不限於：paypal、perfectmoney、數字貨幣、銀行賬戶等。

2．該黑客組織的攻擊的目標廣泛，遍及全球，不僅對普通網民進行攻擊，還針對「工具小子」類型的黑客進行黑吃黑攻擊和對網賺兼職人員進行定向攻擊。截止4月16日，已攻擊700+受害者，數字在持續增加。

3．該黑客組織的攻擊手法多樣，除了採用常見的郵件附件攻擊、銀行和數字貨幣以及yahoo郵箱釣魚站點攻擊、偽裝帥哥美女欺詐單身和離異人士，還採用了一些奇特手法，如利用Youtube明面講解黑客教程實則綁馬黑客工具攻擊其他黑客、在fiverr等兼職網站明面發布兼職任務實則捆綁木馬的word定向攻擊網賺兼職人員。

總的來看，該黑客組織是整合各種手段來達到盜取受害者財務的目的並以此為生，而本次的溯源分析將揭露了這些手段的詳細的全過程。截止發稿時，研究人員發現該黑客組織的攻擊仍在繼續。

02

受害者分析

從截圖綜合分析看，該黑客組織攻擊目標主要有以下幾類：

1．普通網民：這類目標分為兩類，一是大型網站泄露數據中的郵箱，如alibaba leads，該黑客組織通過購買獲得；二是通過郵箱採集器如Email Scraper爬取的郵箱，該黑客組織常用的關鍵字為石油天然氣、航空航天製造業等。這類目標主要是遭受釣魚郵件攻擊。

2．「工具小子」黑客：該組織通過Youtube傳播黑客視頻教程，引誘「工具小子」類黑客通過視頻下方的鏈接下載捆綁了木馬的工具。

3．網賺兼職人員：該黑客組織上傳捆綁木馬的doc文檔到fiverr、freelancer等平台（兼職網站）並發布懸賞任務，誘使兼職人員打開文件查看任務需求時植入木馬。

部分攻擊目標最終會成為受害者，截止4月16日，研究人員從該黑客組織的多個C2中統計到受害者共有727名，黑客竊取了上萬份鍵盤記錄、密碼和大量的屏幕截圖。

圖該黑客組織某一C2的截圖

通過對受害的IP進行區域統計，美國佔比22%（163名）第一，其次是英國、法國各佔15%（109名）和10%（71名），而其他零星的國家佔比達到了20%（144），因此推測該黑客組織並未針對特定區域進行攻擊，而採取的廣撒網的模式。

研究人員專門針對我國的受害者進行了分析，統計中國大陸和中國台灣受害者合計數量47，並在該組織的skype聊天記錄中也發現其登陸國內受害者的126郵箱。但在深入分析被竊內容後發現，部分IP對應的受害者為安全公司的沙盒，因此真實的受害者數量低於統計數據，推測該黑客組織暫未針對我國的網民進行大面積攻擊。

03

攻擊者分析

3.1地域分析

通過對該黑客組織的截屏內容分析發現，與其他攻擊事件類似，該組織也使用了OpenVPN、PurVPN等多款VPN工具來隱藏自己的身份，如下圖。

圖 攻擊者設備上的4種VPN

為了準確掌握該組織的確定位置，研究人員對C2的訪問日誌進行分析、IP提取和歸屬地查詢，統計結果如下表。

表黑客組織訪問C2的IP地址統計

從統計結果來看，可以排除美國、德國、葡萄牙、加拿大等一系列的VPN地址和VPS的地址，剩下的動態IP主要位於奈及利亞，結合後面的組織分析內容，研究人員基本確定該黑客組織的成員主要位於奈及利亞，而該區域正是著名的「奈及利亞騙局」的發源地。

3.2組織分析

通過分析該成員的聊天記錄和屏幕截圖，研究人員推測該組織大約有10成員左右，並溯源出了組織中的部分成員。

3.2.1Nnaemeka Kelechi（C2所有者1）

該成員是本次跟蹤溯源中發現截圖和數據最多的組織成員，通過分析該成員的截圖，研究人員發現其使用skype和teamviewer工具和同夥交流，並通過skype的信息溯源到了其facebook主頁，對比C2記錄的webcam照片和facebook照片後，研究人員確認為同一人，而其真實名字就是Nnaemeka Kelechi，如下圖。從facebook主頁還可看見該成員在公開出售盜取的paypal、比特幣信息。該成員的主要角色是發送木馬郵件，並操控C2回收數據。

圖 成員Kelechi的溯源過程

3.2.2Samura（C2所有者2）

確定該成員是因為其與Kelechi聯繫頻繁，幾乎每天通過skype溝通，其skype昵稱為onu.samson。研究人員在C2截圖中同時找到了Kelechi和該成員的屏幕截圖，截圖除了印證兩人的skype聊天外，還發現相互之間通過Teamviewer協助，而該成員的PC用戶名為Samura，考慮到skype昵稱通常為虛假名字，推測PC用戶名此為其姓名的一部分，如下圖。

圖 Samura和Kelechi之間的交流

通過對Samura設備截圖和數據的深挖，研究人員發現了該成員該成員配置木馬Agent Telsa和操作C2伺服器的截圖，而該C2伺服器也是Kelechi使用的伺服器，兩人的配置在不同目錄。由此推測，該成員的角色也是發送木馬郵件，並操作C2回收數據。

3.2.3simon tope（釣魚網站製作者）

圖 simon tope的Twtiter主頁

3.2.4其他相關成員（木馬測試，洗錢）

通過對成員Kelechi的skype聊天記錄的深度分析，研究人員發現還有一些人與其聯繫密切，有的討論木馬測試問題，有的交流網頁設計問題，通過這些對話內容，推測這些人也是該黑客組織成員，整理後如下表。

表相關成員信息

04

攻擊手段

本次的跟蹤溯源過程，研究人員發現了超過6G的大量截圖和數據，這些數據包含了攻擊者從目標搜集、武器準備到投放利用以及最後進行資源收割的全部過程。

4.1目標搜集

該黑客組織採用了多種方式來搜索目標：

1．通過工具掃描搜集目標。該黑客組織最常用的搜集目標的方式是通過Email Scraper一類的自動爬蟲工具來從互聯網上自動爬取郵箱，如下圖。

圖攻擊者正在按行業收集郵箱

2．通過購買方式獲取搜集目標。從成員kelechi的截圖和交易記錄發現，該黑客組織還會從地下的黑客論壇購買網站泄露數據，從中提取目標的郵箱，如下圖。

圖 Kelechi購買網站泄漏數據的記錄

3．通過交友方式搜集目標。在截圖中，研究人員發現該團隊偽裝成帥哥或者美女，主動搭訕或者通過交友站點，引誘目標上鉤，如下圖。

圖該組織成員在Facebook上偽裝帥哥勾搭「獵物」

4.2武器準備

從該黑客組織的屏幕截圖可以看到，攻擊者使用了下面這幾款攻擊武器：

1．Agent Tesla，是一款國外黑客常用的付費KeyLogger，主要有竊取常用瀏覽器、軟體存儲的密碼，鍵盤、粘貼板記錄、定期截屏、定時照相等功能，如下圖。

圖該組織使用Agent Tesla生成端

2．888 RAT，是一款收費遠控，除了常用遠控功能以外，還有輸入框抓取等功能。在分析中發現，該組織利用該遠控配合Agent Tesla，實現對受害者的全面控制，如下圖。

圖該組織使用的888 RAT 遠控

3．njRA，也是一款早期的遠控，其穩定性好和易於免殺特性成為了較為流行黑客工具，在分析中發現該組織也使用了該工具，如下圖。

圖該組織正在使用njRAT

測試好黑客工具後，該黑客組織便利用AgentTesla生成端的捆綁功能，將木馬與其他應用程序（如其他黑客工具）、word等文件進行捆綁，組裝成具有迷惑性和隱蔽性的新工具和doc文件，如下圖。

圖黑客組織將木馬與大通銀行爆破工具進行捆綁

4.3投放利用

與以往跟蹤到的組織不同，該黑客組織使用的投遞分發方式更加多樣，除了常見的郵件、釣魚網站、社工外，還採用了youtube和兼職網站的方式。

4.3.1Youtube傳播捆馬黑客工具

圖攻擊者正在上傳視頻

4.3.2兼職網站傳播捆馬文檔

研究人員觀察到該黑客組織會通過網賺兼職網站fiverr.com和freelancer（類似於國內的豬八戒網）發布兼職任務，然後上傳捆馬的doc附件作為需求文檔，如下圖。當受害者試圖了解需求而打開doc文件時會被植入木馬，植入木馬後，該黑客組織會盜取受害者的fiverr等賬號中的資金以及其它資產。

4.3.3釣魚郵件誘騙目標點擊木馬

針對搜集到的目標，該黑客組織會通過郵件群發工具發送大量的釣魚郵件，其中以錯誤的轉賬確認、偽造盜用身份信息詐騙、銀行賬號安全升級等多種方式，誘騙目標打開郵件中捆綁了木馬的附件，一旦目標點擊附件，木馬將運行並竊取受害者的賬號密碼、截圖或開啟攝像頭拍照，如下圖。

圖該組織正在採集石油天然氣等關鍵字相關郵箱地址並批量發送釣魚郵件

圖冒充國際貿易公司，誘騙目標確認公司銀行信息

4.3.4釣魚網站竊取用戶信息

該黑客組織有專人搭建了常見的銀行、yahoo郵箱等風格釣魚網站套取用戶信息，經研究人員統計，該組織購買了多個域名，其中某個賬號在hostinger網站上綁定的18域名已有4個被確認為釣魚站點，並已經獲取到一些受害者的銀行賬號信息，如下圖。

圖確認的4個釣魚網站

圖某釣魚網站後台數據

除上述常見的釣魚站點外，該黑客組織還註冊了仿冒的黑客工具站點域名hunterexploit.pro（原網站為hunterexploit.com），並克隆了原網站頁面，修改付款鏈接和價格，兜售比官方站點更便宜的工具，欺騙目標付費購買假的黑客工具。

圖仿冒的黑客工具銷售站點

4.3.5社交網路欺詐

該黑客組織註冊了很多facebook、tinder、google賬號，並偽裝成帥哥美女，對離異或單生人士實施欺詐，一旦獲取受害者信任，便誘騙受害者為自己購買電子禮物（如iTunes Gift Card），然後再通過倒買獲利，如下圖。

圖該黑客組織向受害者索取gift card

4.3.6撞庫攻擊

撞庫攻擊是指利用已有的賬號信息，嘗試在不同的站點進行碰撞驗證，篩選出可用的賬號信息。在本次跟蹤的攻擊事件中，該黑客組織將搜集到的郵箱+密碼對，利用工具對paypal和一些銀行進行撞庫攻擊，如下圖。

圖該黑客組織正在對paypal進行撞庫攻擊

4.4武器安裝

當受害者點擊釣魚郵件附件、youtube捆綁木馬和捆馬文檔，便會觸發木馬的安裝。研究人員從該組織發送郵件中的附件、C2伺服器、youtube視頻鏈接中提取了多個木馬樣本。本報告中分析攻擊者最常使用的，從郵件附件提取的doc格式樣本，如下圖。

圖攻擊者發送的偽裝快遞的釣魚郵件

武器的安裝過程如下：

1．點擊運行「Shippment Details.doc」後，會觸發word文檔中的vba代碼，該代碼1300行左右經過較為複雜的混淆來隱藏其指令。

圖 word中的VBA代碼

2．VBA代碼被執行後，會調用如下cmd命令，從http://plumberspro.us/bind.exe下載木馬文件bind.exe到系統的臨時目錄並執行，可見doc文件的作用是充當下載者，如下圖。該域名也是黑客組織使用的C2之一。

圖通過網路流量包監測到http://plumberspro.us/bind.exe的下載過程

3．bind.exe執行後，釋放並執行4個PE文件和1個VBS腳本，分別為：

a、C:UsersADMINI~1AppDataLocalTempitUTjNZV.exe

b、C:UsersAdministratorAppDataRoamingMicrosoftWindowsTemplates
ow.exe

c、C:UsersAdministratorAppDataLocalTempMWNIT.exe

d、C:UsersAdministratorAppDataRoamingfirfoxfirfox.exe

e、C:UsersADMINI~1AppDataLocalTempHTNYEL.vbs

4．這些文件執行後，c和e實現輔助功能，分別負責查詢IP位置信息和保證d已經運行。a、b、d是武器準備階段的木馬Agent Tesla、888RAT和一個未見截圖的Hunter』s Eyes木馬，木馬運行後與C2進行通信確保被長期控制，這些木馬實現如添加計劃任務實現用戶登錄自啟動、添加鍵盤鉤子、獲取屏幕截圖等操作，如下表。

表釋放的木馬文件和通信地址

4.5命令控制

上述木馬執行成功後，該黑客組織對受害者進行長期控制，包括竊取賬號、密碼、截圖、鍵盤記錄、下載文件、操作屏幕等，如下圖。

圖該黑客組織正在控制888 RAT

本報告重點分析該黑客團隊重點使用的新版Agent Telsa木馬與C2伺服器的plumberspro.us的通信流量。與早前版本不同，新版本的Agent Telsa木馬採用了3DES加密通信數據，加密模式ECB，3DES加密後使用base64對數據編碼，最後以參數p將數據post到C2的api.php，如下為網路中截取的加密後的內容：

解密P的內容為：

新版本Agent Telsa與C2的通信數據結構如下：

其中type包括：uninstall、update、info、screenshots、keylog、passwords。其具體意義可參考2046Lab的早期報告http://www.freebuf.com/articles/network/145985.html。

4.6資源收割

當黑客組織通過各種攻擊手法獲取到受害者的信息或者許可權後，便開始實現自己的最終目的：資源收割。透過分析投遞利用階段的社交網路欺詐、撞庫攻擊以及攻擊者的其他截圖，研究人員確定該黑客組織的最終意圖是盜取或騙取受害者財物，手段或是通過欺詐收取禮物，或通過黑客手段獲取賬戶信息然後轉移銀行資產或者虛擬貨幣，如下圖。

圖黑客組織登陸到某受害者的wells fargo銀行賬戶轉移資產

05

總結

通過對該黑客組織近兩個月的跟蹤和分析，研究人員捕獲到了大量有價值的情報，如C2地址、木馬樣本、託管木馬下載地址、攻擊者IP、釣魚網站地址等IOCs（威脅指標），同時通過關聯分析溯源出了該攻擊者組織位於奈及利亞以及其成員信息和具體的攻擊手段，並最終揭開了該組織的攻擊意圖為盜取或騙取受害者財物。該黑客組織比較明顯的特點是融合了多種攻擊手段來達到目的，並把攻擊目標群體擴大了兼職人員、與之類似的黑客，匯總的TTPs總結如下。

表 TTPs總結

註：

東巽全球C2監控平台，是東巽科技自研的一個全球C2的存活狀態的監控平台，用於監控C2的存活情況和分析攻擊者的活躍程度，為用戶提供威脅情報。

東巽2046Lab，是東巽科技的一個安全研究實驗室，主要從事樣本研究、異常流量研究、Web攻防研究、C2跟蹤等網路安全方面的研究。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！