电脑疯子技术论坛|电脑极客社区

微信扫一扫 分享朋友圈

已有 580 人浏览分享

Hagga 组织的攻击基础设施分析

[复制链接]
580 0
本帖最后由 zhaorong 于 2022-7-26 11:57 编辑

在Z-Lab 公布了 Hagga 组织的威胁后,研究人员正在持续对其进行追踪,最近, Hagga 又在通过多阶段感染
分发 Agent Tesla 窃密程序,研究人员披露了使用的 IOC 指标与 C&C 面板的通用URL模式。

QQ截图20220726113757.png

C&C 面板 IOC

69.174.99.181

根据 Passive DNS数据,69.174.99.181从2021年11月1日起就绑定在 update.newbotv4.monster
在此之前该IP没有绑定其他域名,这表明该 IP 地址可能是专用基础设施。

与该IP地址相关有一个过期的自签发证书,CN 值为 localhost,且证书的 SHA1 为 B0:23:8C:54:7A:
90:5B:FA:11:9C:4E:8B:AC:CA:EA:CF:36:49:1F:F6。
在分析遥测数据时,97% 的数据都与 3306 端口的单个 Hostinger IP地址通信有关。在攻击行动发生的10
月14日至12月17日之间,与分发 Agent Tesla 的时间窗口重合。

Hostinger IP 地址

Hostinger cPanel 服务关联的 16 个 TCP 端口为:端口21、25、80、110、143、443、465、587、993
995、2080、2083、2086、2087 和 3306。
Hostinger IP 地址的遥测数据最早可以追溯到2021年9月17日,有非常多IP地址存在3306端口的入站连
接推测该IP地址在其他 Hostinger 客户端之间共享。

QQ截图20220726114030.png

Hostinger MySQL 客户端

Hostinger MySQL 客户端

考虑到 Hostinger IP 被用于共享的可能性,将分析范围限制为与初始 C&C 地址相关的数据能够确定几个对
原始 C&C IP 地址的 HTTP请求,其中有几个使用通用命名约定的 webpanel 路径。

QQ截图20220726114154.png

HTTP URL 请求

此外,根据 webpanel 模式发现了其他 Hostinger MySQL 客户端的类似请求:

666.png

HTTP URL 请求

有趣的是,155.94.209.50 中部署了 login.php 页面,访问时能够看到 Mana Tools标志的登录页面:

QQ截图20220726114430.png

MANA TOOLS C&C 面板

请求 http://69.174.99.181/webpanel-reza/login.php时,可以看到相同的页面。
Mana Tools 是一个恶意软件分发和 C&C 面板,由 Hagga 组织创建。与几个著名的恶意软件变种有关包括
RevengeRAT、AzoRult、Lokibot、Formbook 和 Agent Tesla。
除了155.94.209.50 之外,研究人员还确定了另外三个 MySQL客户端,它们都使用了与
69.174.99.181相同的过期自签名 SSL 证书。

根据 DNS与 WHOIS 数据,所有IP都部署在 QuadraNet 的基础设施中。

816.png

攻击基础设施

这些服务器似乎都是 Windows 服务器,在 RDP 响应中能够返回 WIN-NetBIOS 计算机名称。
根据遥测数据,攻击者在 2021年10月13日,将C&C 域名从 bot.statusupdate.one
切换为 newbotv4.monster。

X.509 证书

序列号为 B5C752C98781B503 的证书是作为 XAMPP 安装组件的默认证书,XAMPP 是一个免费的开
源发行版软件它将 OpenSSL、MariaDB、PHP 和 Perl 与 Apache Web 服务器打包在一起。
该证书在部署 Mana Tools 的主机上频繁发现,攻击者似乎使用 XAMPP作为基础环境。

Hostinger IP

通过遥测数据与 MalBeacon 的数据综合判断,确定了巴基斯坦拉合尔附近的几个攻击者IP都与C&C
服务器 69.174.99.181和64.188.20.198 存在关联。

26.png

MALBECON 数据

遥测数据中,也能印证在 2021年11月26日从 42.201.155.21 与在 2021年12月2日至 2021年12月3日期间从
42.201.155.40 都存在过 cPanel 的连接流量,可以高度确认这些是攻击者 IP 。
根据遥测数据,HOSTINGER 默认提供的绑定关系如下所示:

22.png

HOSTINGER Passive DNS 数据

Hostinger IP 的持续跟踪

根据遥测数据持续跟踪 Hostinger IP如下所示:

103.151.122.110 (VNPT-AS-VN, VN)
72.11.157.208 (QuadraNet, US)
192.154.226.47 (Reprise Hosting, US)
64.188.21.227 (QuadraNet, US)
72.11.143.125 (QuadraNet, US)
72.11.143.47 (QuadraNet, US)
207.32.217.137 (1G Servers, US)
194.31.98.108 (PREFIXBROKER, NL)
103.133.105.61 (VNPT-AS-VN, VN)
78.138.105.142 VELIANET-FR-PINETLLC, FR)
103.153.77.98 (VNPT-AS-VN, VN)

跟踪过程中还发现了 Mana Tools C&C面板进行了升级:

28.png

新版 Mana Tools C&C 面板

根据 MalBeacon 的数据发现了一批新的攻击者 IP 地址,仍然在巴基斯坦拉合尔附近。在与 C&C面板通信
的相同时间窗口,这些 IP 与 Hostinger IP 也存在通信行为。

3.png

HAGGA 架构

结论

研究人员通过与 Agent Tesla 有关的 C&C 服务器为起点不断通过数据分析扩展 Hagga攻击基础设施
的整体架构确定了部署 Mana Tools C&C面板的服务器与攻击者的IP地址。

您需要登录后才可以回帖 登录 | 注册

本版积分规则

1

关注

0

粉丝

9021

主题
精彩推荐
热门资讯
网友晒图
图文推荐

Powered by Pcgho! X3.4

© 2008-2022 Pcgho Inc.