越南黑客团体:攻击活动中部署加密挖矿恶意软件

微软发布报告称，越南政府支持的黑客近日对越南和法国的私营部门和政府机构发动攻击时部署了门罗币挖矿程序。

微软在报告中特别强调网络安全行业日益增长的趋势，越来越多由国家支持的黑客组织开始涉足常规网络犯罪活动。

而这样的局面使得人们更难区分情报收集行动和经济动机的犯罪，比如越南团体 Bismuth 即海莲花近日发动的攻击。

海莲花自2012年来一直策划复杂黑客活动，包括越南国内外，帮助政府收集信息、处理政治、经济和外交政策决策。

但2020年07月至08月间，有政府背景的海莲花却在针对法国和越南私营部门和机构的攻击中部署了门罗币挖矿程序。

海莲花在攻击前会针对目标组织不同的收件人展开信息收集，然后注册特定Gmail账户，再投放精心设计的钓鱼邮件。

钓鱼邮件内容包括商务合同、简历甚至是攻击者和受害者聊天记录，目的只为诱导受害者打开量身定做的钓鱼邮件。

当邮件中包含的恶意文档被打开后则会下载恶意软件，恶意软件通常通过DLL side-loading技术打开以尝试绕过查杀。

恶意软件运行后会下载利用白加黑技术的压缩包来部署远程通信恶意软件，并创建每小时启动一次软件的计划任务。

当计划任务设置完毕以后，刚启动的恶意文档就会利用进程释放出NbtScan.exe网络扫描工具对内网IP范围进行探测。

探测完成后通过rundll32.exe运行恶意脚本对21、22、389、139和1433端口进行扫描，并将扫描结果存储csv文件。

扫描网络同时，海莲花会收集有关域和本地管理员信息，检查客户是否具备管理权限，收集设备信息并存储csv文件。

此外，海莲花会继续利用系统进程配合恶意加载的DLL将设备作为内部C2立足点和渗透中转设备攻击其他内网设备。

在被感染设备上持续运行一个月后，海莲花会在服务器中横向移动，利用伪装成系统文件的恶意DLL文件进行传播。

攻击者会多次启动恶意服务，并启动DebugView来连接到多个Yahoo网站确认Internet连接，再连接到其C2服务器。

接下来，海莲花就会切换为使用PowerShell攻击，而这么做的目的其实很简单：为了能够快速启动多个cmdlet脚本。

再利用Empire PowerDump命令从安全帐户管理器（SAM）数据库中转储凭据，然后快速删除事件日志和日志记录。

然后继续使用PowerShell脚本进行信息探测搜集，该脚本可以收集用户和组信息，并将收集的数据发送到csv文件。

接下来导出目录树和域组织单位信息，并使用WMI连接到数十个设备，通过在事件ID 680下转储安全日志收集凭据。

最后，使用Nltest.exe域安全通道工具收集域信任信息，并对在侦察过程中按名称标识的多个服务器执行PING操作。

然后，海莲花会安装CobaltStrike beacon，并释放包含包含McAfee扫描程序和恶意DLL文件的白加黑文件的压缩包。

接下来海莲花会创建计划任务，利用SYSTEM特权启动McAfee扫描程序并加载恶意DLL，建立与其服务器持续连接。

之后海莲花便开始部署挖矿软件，他们先释放一个DAT文件并使用rundll32.exe加载该文件，然后下载两个压缩文件。

再从压缩包中提取门罗币挖矿软件，将矿工注册为以通用虚拟机进程命名的服务，每个挖矿软件都有唯一钱包地址。

据统计，海莲花在攻击过程中赚取了1000多美元，海莲花攻击目标存在一些共性，包括越南政府经营的前国有企业。

对海莲花这种有国家背景的APT组织所实施的攻击行为，人们通常都很难界定其到底属于APT攻击还是网络犯罪活动。

微软认为海莲花投放挖矿软件的做法是为了降低被发现是国家级网军的一种手段，其目的是为伪装成普通黑客组织。

值得注意的是，俄罗斯、伊朗和朝鲜等有政府背景的黑客组织最近也被发现在从事网络间谍活动时从事获利性活动。

笔者并不认同这种非黑即白的理论，投放挖矿软件的初衷就是为了搞钱，所谓伪装成普通黑客不过是一种托词罢了！