“Eternity”组织:持续活跃的商业武器库

1 概述
2022年5月,安天CERT发布了报告《活跃的Jester Stealer窃密木马及其背后的黑客团伙》[1],报告中不但分析了一个同时释放窃密木马和剪贴板劫持器的恶意样本,还提到了一个活跃的Jester黑客团伙。
Jester黑客团伙自2021年7月开始活跃,主要通过售卖其开发的窃密木马、剪贴板劫持器、僵尸网络等不同类型的恶意代码获利。2022年2月,该黑客团伙声称由于仿冒者太多而被各地下论坛封禁,所以决定更名为Eternity(后文都采用此名)。目前该黑客团伙已经形成了一定的规模,具有多名成员,能够根据购买者的反馈对其开发的恶意代码进行修改,增加新功能,并开始出售勒索软件和蠕虫等更多类型的恶意代码,形成了MaaS(恶意软件即服务)的运营模式,对用户的设备和数据安全形成威胁。
安天CERT在本篇报告中除了对该黑客团伙进行更多介绍之外,还会对其开发的蠕虫及勒索软件进行详细分析,帮助用户了解其恶意功能,以便进行更好的防护。经验证,安天智甲终端防御系统(简称IEP)可对该黑客团伙开发的恶意代码进行有效查杀。
2 事件对应的ATT&CK映射图谱
事件对应的技术特点分布图:

具体ATT&CK技术行为描述表:
表 2‑1 ATT&CK技术行为描述表

3 防护建议
为有效防御此类恶意代码,提升安全防护水平,安天建议企业采取如下防护措施:
3.1 终端防护
1. 安装终端防护系统:安装反病毒软件,建议安装安天智甲终端防御系统;
2. 加强口令强度:避免使用弱口令,建议使用16位或更长的密码,包括大小写字母、数字和符号在内的组合,同时避免多个服务器使用相同口令;
3. 部署入侵检测系统(IDS):部署流量监控类软件或设备,便于对恶意代码的发现与追踪溯源。安天探海威胁检测系统(PTD)以网络流量为检测分析对象,能精准检测出已知海量恶意代码和网络攻击活动,有效发现网络可疑行为、资产和各类未知威胁;
3.2 网站传播防护
1. 建议使用官方网站下载的正版软件。如无官方网站建议使用可信来源进行下载,下载后使用反病毒软件进行扫描;
2. 建议使用沙箱环境执行可疑的文件,在确保安全的情况下再使用主机执行。安天追影威胁分析系统(PTA)采用深度静态分析与沙箱动态加载执行的组合机理,可有效检出分析鉴定各类已知与未知威胁。
3.3 遭受攻击及时发起应急响应
联系应急响应团队:若遭受恶意软件攻击,建议及时隔离被攻击主机,并保护现场等待安全工程师对计算机进行排查;安天7*24小时服务热线:400-840-9234。
经验证,安天智甲终端防御系统(简称IEP)可实现对该窃密木马、挖矿程序等恶意软件的有效查杀。

4 关联分析
4.1 黑客团伙构成
根据该团伙在Telegram频道等位置发布的公开信息,以及此前Jester Stealer中出现的用于下载载荷的Github地址,可以总结其主要相关成员及频道信息如下。
4.1.1 团伙成员
表 4‑1 Eternity成员

其中LightM4n的Github信息如下,可看出该用户对恶意代码开发有一定了解。

4.1.2 消息频道
该组织陆续开设了多个频道用于进行恶意软件销售,相关频道如下。
表 4‑2 Eternity相关消息频道

4.1.3 地区属性
该黑客团伙开发的恶意软件目前均会绕过系统语言为乌克兰语的设备,且在恶意代码的日志文本及黑客团伙的通知频道中存在多处相关言论,因此推测其核心成员来自乌克兰。部分信息如下。

4.2 恶意软件介绍
Eternity组织有多种正在活跃维护及运营的恶意软件,包括窃密木马、挖矿程序、剪贴板劫持器、勒索病毒、蠕虫传播器等,另外还有DDoS程序处于开发阶段,还未公开出售。

网站上还存在上述恶意软件的文字、视频介绍和购买链接。

该团伙还会通过投票等方式为后续的恶意软件开发做调查。结合其设置客服账号、建立多种不同功能的Telegram频道、搭建网站等行为,可以看出该组织已经形成了一定的商业销售模式。

5 样本分析
5.1 Eternity蠕虫分析
表 5‑1蠕虫样本标签

检查系统语言是否为乌克兰语,若是则直接退出程序不再执行。

创建互斥量“lpgdntaivz”避免重复执行。

下载并执行勒索软件。

该蠕虫后续通过多种方式进行感染、传播。
自动发送Telegram钓鱼消息
下载Telegram传播模块。

该模块为使用PyInstaller打包的Python程序,功能为利用受害者系统中Telegram客户端登录的账号发送钓鱼内容,诱导受害者的Telegram联系人下载恶意程序。

自动发送Discord钓鱼消息
从受害者安装的Discord客户端中获取用户关注的频道(一种可以收、发消息的群聊)。

向获取的Discord频道中发送钓鱼消息,诱导频道成员下载恶意程序。

感染Python标准库
感染Python标准库中的os.py,向其中植入下载器代码。

感染本地文件
将当前用户的“桌面”“图片”“文档”三个文件夹中exe、pdf、docx、xlsx、bat、txt、mp3、mp4、py、png、pyw、jar等扩展名的文件替换为恶意程序。

对zip压缩包内的文件进行替换。

对除C盘之外的可移动磁盘和固定磁盘(本地磁盘)进行上述感染处理。

最后对网络驱动器以及Dropbox、OneDrive、Google网盘的默认同步文件夹进行感染。

上述功能的配置信息如下。

5.2 释放的Eternity勒索软件分析
表 5‑2勒索软件样本标签

Eternity勒索软件的勒索信样式如下。

检查系统语言是否为乌克兰语,若是则直接退出程序不再执行。

创建互斥量“wsrciuxcaz”避免重复执行。

将自身复制到%LocalAppdata%\ServiceHub\文件夹下,并建立计划任务每分钟执行一次。

通过注册表禁用系统自带的任务管理器,避免用户查看系统进程。

创建线程持续检测系统中是否出现特定的进程管理、进程监控、系统管理软件进程并将其结束。

删除系统还原点。

删除卷影备份。

通过修改注册表劫持资源管理器中.exe程序的双击启动,使用户启动.exe时启动的是勒索程序。

生成随机的AES密钥,使用内置的RSA公钥加密后存储到注册表HKCU\Software\Firefox\EncryptedKeys中。

使用AES算法对文件进行加密,并使用Deflate压缩后写回原文件。

加密后的文件扩展名为“.ecrp”,相关配置信息如下。

6 总结
Eternity Worm蠕虫除了具备传统的本地文件感染功能外,还具备多种依托于互联网公共网站传播的功能。蠕虫一旦落地,还能自动下载勒索软件在内的其他恶意程序并执行,对用户系统安全造成极大的威胁。其背后的Eternity黑客团伙经过一年多的发展,已经成为具有一定规模的黑客团伙。
安天CERT将会继续追踪该黑客团伙的相关技术变化和特点,并提供相应的解决方案。安天智甲终端防御系统(IEP)不仅具备病毒查杀、主动防御等功能,而且提供终端管控、网络管控等能力,能够有效防御此类威胁攻击,保障用户数据安全。
7 IoCs

参考资料:
[1] 活跃的Jester Stealer窃密木马及其背后的黑客团伙分析
https://www.antiy.cn/research/notice&report/research_report/20220510.html
[2] Lilith僵尸网络及其背后的Jester黑客团伙跟进分析
https://www.antiy.cn/research/notice&report/research_report/20220902.html