本帖最后由 zhaorong 于 2022-7-26 11:57 编辑
在Z-Lab 公布了 Hagga 组织的威胁后,研究人员正在持续对其进行追踪,最近, Hagga 又在通过多阶段感染
分发 Agent Tesla 窃密程序,研究人员披露了使用的 IOC 指标与 C&C 面板的通用URL模式。
C&C 面板 IOC
69.174.99.181
根据 Passive DNS数据,69.174.99.181从2021年11月1日起就绑定在 update.newbotv4.monster
在此之前该IP没有绑定其他域名,这表明该 IP 地址可能是专用基础设施。
与该IP地址相关有一个过期的自签发证书,CN 值为 localhost,且证书的 SHA1 为 B0:23:8C:54:7A:
90:5B:FA:11:9C:4E:8B:AC:CA:EA:CF:36:49:1F:F6。
在分析遥测数据时,97% 的数据都与 3306 端口的单个 Hostinger IP地址通信有关。在攻击行动发生的10
月14日至12月17日之间,与分发 Agent Tesla 的时间窗口重合。
Hostinger IP 地址
Hostinger cPanel 服务关联的 16 个 TCP 端口为:端口21、25、80、110、143、443、465、587、993
995、2080、2083、2086、2087 和 3306。
Hostinger IP 地址的遥测数据最早可以追溯到2021年9月17日,有非常多IP地址存在3306端口的入站连
接推测该IP地址在其他 Hostinger 客户端之间共享。
Hostinger MySQL 客户端
Hostinger MySQL 客户端
考虑到 Hostinger IP 被用于共享的可能性,将分析范围限制为与初始 C&C 地址相关的数据能够确定几个对
原始 C&C IP 地址的 HTTP请求,其中有几个使用通用命名约定的 webpanel 路径。
HTTP URL 请求
此外,根据 webpanel 模式发现了其他 Hostinger MySQL 客户端的类似请求:
HTTP URL 请求
有趣的是,155.94.209.50 中部署了 login.php 页面,访问时能够看到 Mana Tools标志的登录页面:
MANA TOOLS C&C 面板
请求 http://69.174.99.181/webpanel-reza/login.php时,可以看到相同的页面。
Mana Tools 是一个恶意软件分发和 C&C 面板,由 Hagga 组织创建。与几个著名的恶意软件变种有关包括
RevengeRAT、AzoRult、Lokibot、Formbook 和 Agent Tesla。
除了155.94.209.50 之外,研究人员还确定了另外三个 MySQL客户端,它们都使用了与
69.174.99.181相同的过期自签名 SSL 证书。
根据 DNS与 WHOIS 数据,所有IP都部署在 QuadraNet 的基础设施中。
攻击基础设施
这些服务器似乎都是 Windows 服务器,在 RDP 响应中能够返回 WIN-NetBIOS 计算机名称。
根据遥测数据,攻击者在 2021年10月13日,将C&C 域名从 bot.statusupdate.one
切换为 newbotv4.monster。
X.509 证书
序列号为 B5C752C98781B503 的证书是作为 XAMPP 安装组件的默认证书,XAMPP 是一个免费的开
源发行版软件它将 OpenSSL、MariaDB、PHP 和 Perl 与 Apache Web 服务器打包在一起。
该证书在部署 Mana Tools 的主机上频繁发现,攻击者似乎使用 XAMPP作为基础环境。
Hostinger IP
通过遥测数据与 MalBeacon 的数据综合判断,确定了巴基斯坦拉合尔附近的几个攻击者IP都与C&C
服务器 69.174.99.181和64.188.20.198 存在关联。
MALBECON 数据
遥测数据中,也能印证在 2021年11月26日从 42.201.155.21 与在 2021年12月2日至 2021年12月3日期间从
42.201.155.40 都存在过 cPanel 的连接流量,可以高度确认这些是攻击者 IP 。
根据遥测数据,HOSTINGER 默认提供的绑定关系如下所示:
HOSTINGER Passive DNS 数据
Hostinger IP 的持续跟踪
根据遥测数据持续跟踪 Hostinger IP如下所示:
103.151.122.110 (VNPT-AS-VN, VN)
72.11.157.208 (QuadraNet, US)
192.154.226.47 (Reprise Hosting, US)
64.188.21.227 (QuadraNet, US)
72.11.143.125 (QuadraNet, US)
72.11.143.47 (QuadraNet, US)
207.32.217.137 (1G Servers, US)
194.31.98.108 (PREFIXBROKER, NL)
103.133.105.61 (VNPT-AS-VN, VN)
78.138.105.142 VELIANET-FR-PINETLLC, FR)
103.153.77.98 (VNPT-AS-VN, VN)
跟踪过程中还发现了 Mana Tools C&C面板进行了升级:
新版 Mana Tools C&C 面板
根据 MalBeacon 的数据发现了一批新的攻击者 IP 地址,仍然在巴基斯坦拉合尔附近。在与 C&C面板通信
的相同时间窗口,这些 IP 与 Hostinger IP 也存在通信行为。
HAGGA 架构
结论
研究人员通过与 Agent Tesla 有关的 C&C 服务器为起点不断通过数据分析扩展 Hagga攻击基础设施
的整体架构确定了部署 Mana Tools C&C面板的服务器与攻击者的IP地址。 |
楼主