网安 - 专业的网络安全产业、社区、知识平台

GravityRAT间谍软件分析

VSole2022-06-18 22:52:47

2018年研究人员发布GravityRAT研究报告,印度计算机应急响应小组(CERT-IN)于2017年首次发现该木马。该软件被认定隶属于巴基斯坦的黑客组织,至少自2015年以来一直保持活跃,主要针对Windows机器,2018年将Android设备添加到了目标列表中。

软件分析

2019年在VirusTotal发现一个Android间谍软件,经过分析它与GravityRAT有关。攻击者在Travel Mate中增加了一个间谍模块,Travel Mate是一个面向印度旅客的Android应用程序,其源代码可在Github上获得。

攻击者使用了Github上2018年10月发布的版本,添加了恶意代码并更名为Travel Mate Pro。

木马的清单文件包括Services和Receiver:

木马app中的class:

间谍软件具有标准功能:它将设备数据,联系人列表,电子邮件地址以,通话和文本日志发送到C&C服务器。此外木马会在设备内存以及连接的媒体上搜索扩展名为.jpg,.jpeg,.log,.png,.txt,.pdf,.xml,.doc,.xls,.xlsx 、. ppt,.pptx,.docx和.opus的文件,并将它们发送到C&C,url如下:

木马使用的C&C地址:

nortonupdates[.]online:64443
nortonupdates[.]online:64443

研究中还发现了名为Enigma.ps1的恶意PowerShell脚本,可执行C#代码,通过n3.nortonupdates[.]online:64443下载在计算机上找到的文件的数据(.doc,.ppt,.pdf,.xls,.docx,.pptx 、. xlsx)以及受感染机器的数据。

PowerShell script:

检测到一个非常相似的VBS脚本,其名称为iV.dll,但没有指定的路径:

除了VBS模板之外,还有Windows Task Scheduler的XML模板,名称为aeS.dll,rsA.dll,eA.dll和eS.dll:

在主程序中,将所需的路径和名称写入模板,并添加了计划任务:

该程序与服务器通过download.enigma.net[.]in/90954349.php通信,其具有简单的图形界面以及加密和文件交换逻辑:

除了Enigma和Titanium之外,还包含以下间谍木马程序:

Wpd.exe
Taskhostex.exe
WCNsvc.exe
SMTPHost.exe
CSRP.exe

他们的C&C:

windowsupdates[.]eu:46769
windowsupdates[.]eu:46769
mozillaupdates[.]com:46769
mozillaupdates[.]com:46769
mozillaupdates[.]us

GravityRAT系列使用了相同的46769端口,进一步搜索找到了PE文件Xray.exe:

此版本收集数据并将其发送到n1.nortonupdates[.]online和n2.nortonupdates[.]online。

n*.nortonupdates[.]online解析为213.152.161[.]219,在Passive DNS数据库中发现了可疑的域u01.msoftserver[.]eu。通过对该域的搜索找到了应用ZW.exe,该应用程序由Python编写并使用PyInstaller打包,ZW.exe调用的C&C地址:

msoftserver[.]eu:64443
msoftserver[.]eu:64443
msoftserver[.]eu:64443
msoftserver[.]eu:64443

间谍软件从服务器接收命令:

获取系统信息
搜索扩展名为.doc,.docx,.ppt,.pptx,.xls,.xlsx,.pdf,.odt,.odp和.ods的文件,并将其上传到服务器
获取正在运行的进程的列表
键盘记录
截屏
执行任意的shell命令
录制音频(此版本未实现)
扫描端口

该代码是多平台的:

特征路径确认了新版本的GravityRAT:

其他版本的GravityRAT

lolomycin&Co

GravityRAT的较旧版本Whisper也包含在组件whisper.exe中,字符串“ lolomycin&Co”为ZIP文件密码:

通过此字符串,在应用程序中找到了较新的.NET版本的GravityRAT:

WeShare
TrustX
Click2Chat
Bollywood

新版本的GravityRAT

.NET版本

Sharify

MelodyMate (signed by E-Crea Limited on 11.05.2019)

Python版本

GoZap

Electron版本

Android版本

SavitaBhabi

IoCs

MD5

Travel Mate Pro — df6e86d804af7084c569aa809b2e2134
iV.dll — c92a03ba864ff10b8e1ff7f97dc49f68
enigma.exe — b6af1494766fd8d808753c931381a945
Titanium — 7bd970995a1689b0c0333b54dffb49b6
Wpd.exe — 0c26eb2a6672ec9cd5eb76772542eb72
Taskhostex.exe — 0c103e5d536fbd945d9eddeae4d46c94
WCNsvc.exe — cceca8bca9874569e398d5dc8716123c
SMTPHost.exe — 7bbf0e96c8893805c32aeffaa998ede4
CSRP.exe — e73b4b2138a67008836cb986ba5cee2f
Chat2Hire.exe — 9d48e9bff90ddcae6952b6539724a8a3
AppUpdater.exe — 285e6ae12e1c13df3c5d33be2721f5cd
Xray.exe — 1f484cdf77ac662f982287fba6ed050d
ZW.exe — c39ed8c194ccf63aab1db28a4f4a38b9
RW.exe — 78506a097d96c630*5bd3d8fa92363
TW.exe — 86c865a0f04b1570d8417187c9e23b74
Whisper — 31f64aa248e7be0be97a34587ec50f67
WeShare —e202b3bbb88b1d32dd034e6c307ceb99
TrustX — 9f6c832fd8ee8d8a78b4c8a75dcbf257
Click2Chat — defcd751054227bc2dd3070e368b697d
Bollywood — c0df894f72fd560c94089f17d45c0d88
Sharify — 2b6e5eefc7c14905c5e8371e82648830
MelodyMate — ee06cfa7dfb6d986eef8e07fb1e95015
GoZap — 6689ecf015e036ccf142415dd5e42385
StrongBox — 3033a1206fcabd439b0d93499d0b57da (Windows), f1e79d4c264238ab9ccd4091d1a248c4 (Mac)
TeraSpace — ee3f0db517f0bb30080a042d3482ceee (Windows), 30026aff23b83a69ebfe5b06c3e5e3fd (Mac)
OrangeVault — f8da7aaefce3134970d542b0e4e34f7b (Windows), 574bd60ab492828fada43e88498e8bd2 (Mac)
CvStyler — df1bf7d30a502e6388e2566ada4fe9c8
SavitaBhabi — 092e4e29e784341785c8ed95023fb5ac (Windows), c7b8e65e5d04d5ffbc43ed7639a42a5f (Android)

URLs

daily.windowsupdates[.]eu
nightly.windowsupdates[.]eu
dailybuild.mozillaupdates[.]com
nightlybuild.mozillaupdates[.]com
u01.msoftserver[.]eu
u02.msoftserver[.]eu
u03.msoftserver[.]eu
u04.msoftserver[.]eu
n1.nortonupdates[.]online
n2.nortonupdates[.]online
n3.nortonupdates[.]online
n4.nortonupdates[.]online
sake.mozillaupdates[.]us
gyzu.mozillaupdates[.]us
chuki.mozillaupdates[.]us
zen.mozillaupdates[.]us
ud01.microsoftupdate[.]in
ud02.microsoftupdate[.]in
ud03.microsoftupdate[.]in
ud04.microsoftupdate[.]in
chat2hire[.]net
wesharex[.]net
click2chat[.]org
x-trust[.]net
bollywoods[.]co[.]in
enigma[.]net[.]in
titaniumx[.]co[.]in
sharify[.]co[.]in
strongbox[.]in
teraspace[.]co[.]in
gozap[.]co[.]in
orangevault[.]net
savitabhabi[.]co[.]in
melodymate[.]co[.]in
cvstyler[.]co[.]in
软件
本作品采用《CC 协议》,转载必须注明作者和本文链接
软件供应链是勒索软件组织的首要目标
2024-02-29 11:03:03
根据SecurityScorecard发布的《全球第三方网络安全漏洞报告》显示,2023年大约29%的违规行为可归因于第三方攻击媒介,因为许多违规行为的报告没有指定攻击媒介,所以实际比例可能要更高。MOVEit、CitrixBleed和Proself是2023年的软件供应链方面三个最广泛利用的漏洞,其中MOVEit零日漏洞产生广泛影响可能被归咎于第三方、第四方甚至第五方。
软件供应链安全公司Seal获得740万美元种子轮融资
2024-02-19 09:40:17
近日,以色列网络安全公司Seal Security宣布获得由Vertex Ventures Israel领投的740万美元种子轮融资,Seal归属软件供应链安全赛道,其研发的平台产品主要利用生成式AI为客户提供自动化的修复解决方案,其平均修复时间可从过去几个月缩短到现在的几个小时,足以以应对软件供应链这一日益严峻的挑战。
软件供应链安全:等两周再更新
2023-10-13 17:14:18
通过在开源软件包中插入恶意代码来迅速将恶意软件传播到整个软件供应链中是恶意分子常用的攻击手段。然而,最新的研究发现,如果用户等待大约14天后再将这些软件包更新到最新版本,就可以避免受到软件包劫持攻击的不良影响。
虹科分享 | 什么是软件组成分析?
2023-08-25 15:21:57
软件组成分析(SCA)应用程序安全测试(AST)工具市场的一个细分市场,负责管理开源组件的使用。SCA工具自动扫描应用程序的代码库,包括容器和注册表等相关构件,以识别所有开源组件、它们的许可证遵从性数据和任何安全漏洞。除了提供对开源使用的可见性之外,一些SCA工具还通过区分优先级和自动补救来帮助修复开源漏洞。SCA工具通常从扫描开始,生成产品中所有开源组件的清单报告,包括所有直接和传递依赖项。拥有
软件安全之CRC检测
2023-04-19 09:47:57
k++)//因为这里异或是从数据的高位开始,所以需要计算的数据左移8位,这里就需要计算8次。1)//判断最高位是否为1. 0xEDB88320;//最高位为1,右移一位,然后与0xEDB88320异或???相当于例子2中110与000异或值是不变的
软件供应链安全》项目启动会顺利召开
2023-03-27 10:01:13
基于各方在自身领域的专业积累,将此次调研工作进行了明确的分工,并将不定期进行调研分享交流会。
软件供应链安全治理探索与实践
2023-03-03 15:14:39
各类攻防演练的结果证明,软件供应链攻击已成为投入低、见效快、易突破的有效方式。总体思路与原则:合规是底线,管理是准则,制度是要求,技术是支撑,服务是保障,流程是协作。安全管理制度的建立,能够规范软件供应链涉及的内部、外部角色的行为,同时提供制度性保障。其次,针对软件开发各阶段与存在的风险,引入对应的安全能力,提供技术支撑,确保安全质量。
软件供应链攻击TTP:OSC&R框架
2023-02-06 09:57:36
新推出的开放框架寻求为公司和安全团队提供全面且可行的方式深入了解软件供应链攻击行为及技术。这项名为开放软件供应链攻击参考(OSC&R)的计划由以色列软件物料安全管理公司OX Security主导,评估软件供应链安全威胁,覆盖一系列攻击途径,比如第三方库和组件漏洞、构建及开发系统供应链攻击,以及被黑或恶意软件更新包。
软件开发安全应用实践中的十个误区
2022-12-13 10:48:23
当下,软件开发安全的理念很火,各行各业都已认识到保障应用系统开发安全的重要性,但是要真正实现起来,结果却不是那么理想。
软件常见漏洞的解析
2022-11-28 10:16:06
理论基础漏洞可以定义为“在软件和硬件组件中发现的计算逻辑(例如代码)中的弱点,当被利用时,会对机密性,完整性
VSole
网络安全专家