危险:对非洲法语区金融机构为期两年的攻击

最近的研究表明，中非和西非超过85%的金融机构遭受了多次网络攻击，包括窃取信息、窃取用户身份、欺诈性转账和用假支票取款。

本文将介绍一项由研究人员发现的名为DangerousSavanna的恶意活动，该活动在过去两年中一直以非洲法语区的几家主要金融服务机构为目标。该活动背后的攻击者使用鱼叉式网络钓鱼作为初始感染方法，向至少五个不同法语国家的金融机构员工发送带有恶意附件的电子邮件：科特迪瓦、摩洛哥、喀麦隆、塞内加尔和多哥。在过去几个月里，这项活动主要集中在科特迪瓦。根据受害者的特征、策略、技术和程序(TTP)，研究人员认为DangerousSavanna背后的动机可能是出于经济考虑。

DangerousSavanna倾向于在受感染的环境中安装相对简单的软件工具。这些工具都是自己编写的，基于Metasploit、PoshC2、DWservice和AsyncRAT等开源项目。攻击者的创造力在最初的感染阶段就表现出来了。他们不断监控目标公司的员工，并不断使用各种恶意文件类型改变感染链，从自行编写的可执行加载程序和恶意文档到ISO、LNK、JAR和VBE文件的各种组合。攻击者不断发展的感染链反映了我们在过去几年中看到的威胁模式的变化，因为感染媒介变得越来越复杂和多样。

目标都在非洲法语国家。

感染链

这种感染始于用法语编写的鱼叉式网络钓鱼电子邮件，通常发送给目标公司的几名员工，这些公司都是非洲法语区的大中型金融机构。在活动的早期阶段，网络钓鱼邮件是通过Gmail和Hotmail服务发送的。为了提高可信度，攻击者开始使用类似的域名，伪装成非洲的其他金融机构，如突尼斯的外国银行和南非的莱利银行。去年，攻击者还使用了一个伪造的当地保险咨询公司的电子邮件地址，该公司的域名没有发件人政策框架。

一个网络钓鱼电子邮件的例子，其中攻击者使用受害企业现有员工的姓名。

在整个活动时间范围内，钓鱼邮件附件和后续感染链的类型也发生了变化，从2020年的自编可执行加载程序伪装成PDF，到2022年的各种文件类型。DangerousSavanna迅速加入了恶意攻击的潮流。在微软决定默认阻止从互联网上获得的宏后，攻击者从“经典”的启用宏的文档转向尝试其他文件类型。

危险沙蚕感染链、基础结构和有效载荷的变化

恶意文件

自2021年以来，攻击者一直在他们的钓鱼电子邮件中附加恶意文档。这些文档要么是带有宏的Word文档，要么是带有远程模板的文档(在某些情况下，有几层外部模板)，要么是引诱受害者下载然后手动执行下一阶段的PDF文档。所有这些文档，无论是MS Office还是PDF，都是用法语写的，共享相似的元数据，比如用户名digger、hooper davis和HooperDEV。

活动中使用的诱饵文件概述

基本过程是使用带有宏的Word文档，并在启动文件夹中放置一个LNK文件。当LNK文件被执行时，它将从服务器下载并执行PowerShell命令，这将绕过AMSI并最终安装PoshC2植入物。

带有宏感染流的网络钓鱼文档

宏包含大量未使用的代码，这使其分析变得复杂。主函数的代码非常简单，只包含反向字符串混淆和插入符号混淆来创建一个用于检索PoshC2植入物的LNK文件：

在这项活动中，我们观察到了这一过程中的各种变化：

1.在某些情况下，类似的宏会将LNK文件放在桌面上，而不是启动文件夹中。LNK文件通常被称为IMPORTANT_2022.lnk，它需要用户执行操作才能运行。桌面和启动LNK方法都依赖于受感染设备上的附加操作，因此可以避免在沙盒环境中自动执行可疑的PowerShell。

2.初始附件可以是下载执行类似宏的外部模板的DOCX文档。在某些情况下，我们已经看到，在传播具有实际宏的最终文档之前，检索了一系列远程模板。

3.一些早期版本的宏直接运行PoshC2 PowerShell释放程序，跳过LNK文件的步骤。

4.包含宏的文档通常以容器文件的形式提供，如ZIP和ISO文件。

此外，攻击者还主动使用PDF文件引诱用户下载并手动执行下一阶段。这些VBE或JAR文件执行非常相似的操作，直接加载PoshC2植入程序或释放LNK文件来加载PoshC2。

PoshC2

最近，攻击者主要依靠PoshC2植入程序来控制受感染的设备。一般初始感染启动PowerShell从一个名为paste.c-net.org的类Pastebin服务或专用CC服务器下载代码后，会以PowerShell PoshC2植入作为响应，通常包含三个字节的代码块(所有标准都来自PoshC2的模块)。由执行的前两个PowerShell代码块包括两种非常相似的AMSI旁路技术：

第三个块包含一个后门，负责与CC服务器通信。它使用一个名为SessionID的cookie在一个循环中向服务器发送请求，该请求包含一个base64编码的AES加密字符串，该字符串包含有关受害者的信息：

$ env:user domain；$ u；$ env:computer name；$env:处理器_架构；$ pid$ procname1'

这个脚本希望CC的响应也是一个PowerShell脚本，因为它将结果传递给Invoke-Expression cmdlet。

AsyncRAT

早在2021年10月，研究人员就观察到一个案例，该活动的恶意文档访问了paste.c-net.org，但却检索到了一个PowerShell脚本，该脚本在内存中加载了一个AsyncRAT程序集。然而，这个AsyncRAT构建一点也不混乱。实际上包含了一个CN为“AsyncRAT Server”的服务器证书，说明攻击者几乎没有考虑任何开源工具的迭代。

GitHub上的Asynrat源代码和反编译的Asynrat(右)

旧文档版本

该文件的最早版本，日期为2021年上半年，有不同的宏，显然更加混乱，包含超过1MB的垃圾代码。

2021年5月文档(MD5:a 09 b 19 b 6975 e 090 FB 4 ed a6ced 1847 b 1)1.7 MB宏的Vba2graph可视化部分。唯一的功能进程从Document_Open开始。

其中一个名为nouvelles _ dispositions _ sanitaire . doc(new sanitary provisions . doc)的文档使用宏从4sync.com下载PowerShell脚本，在不同设备之间同步云存储中的文件，然后从https://3.8.126【加载并执行一个程序集，]182/minom.txt在内存中。在2021年5月的一篇勘验博客帖子中，一份非常相似的文件详细描述了该文件。它还使用4sync安装了一个名为Billang的自定义后门。它是一个. NET可执行文件，PDB路径如下：C:\ users \ wall street \ source \ repos \ billang \ billang \ obj \ release \ billang . pdb .它收集运行它的设备的一些信息，将其发送到远程服务器，并检索另一个。基于PDB路径的. NET可执行文件liko或WindowsFormsApp3。在其他功能中，该程序将字节反转的Meterpreter HTTPS外壳代码注入mspaint.exe进程。这个二进制文件的另一个有趣的特性是，shellcode只会在检测到鼠标点击后启动，这可能被用作反沙盒特性。

从WindowsFormsApp3.exe(0 B1 d 7 c 043 be 8 c 696d 53d 63 fc 0 c 834195)到mspaint.exe的外壳代码注入

在搜索更多相关文件时，我们发现了其他用C#编写的可执行文件，这些文件以类似的方式启动了notepad.exe或mspaint.exe等进程，并在其中注入了shell代码(注意不是嵌入的)，而是从CC server下载到良性进程中。这些简单的注射器可执行文件在功能上几乎是相同的。两者的区别在于混淆方法：有的是用SmartAssembly打包的，有的是包含混淆的变量名。然而，到目前为止观察到的所有shellcode有效载荷都是Meterpreter shellcode，在那些包含其调试信息的可执行文件中，它们都引用了以C:\Users\wallstreet\开头的PDB路径。

可执行滴管

在活动的早期，从2020年底到2021年初，攻击者依靠小型的自写工具在。NET而不是文档。钓鱼电子邮件附带的第一阶段可执行启动器伪装成带有PDF图标的文档，有时名称中带有双扩展名(例如，2021.pdf.exe新改革，英文是“New Reforms 2021.pdf.exe”)。实际上，这些简单的下载程序使用批处理脚本(或cmd命令)和PowerShell从文件共享平台(如4sync.com或filesend.jp)检索第二阶段加载程序并执行它们。在这个具体的例子中，下载器创建并运行一个bat文件，该文件通过COM劫持绕过AMSI，然后使用PowerShell下载下一个stage loader，并作为WinTray.exe保存在磁盘上：

“新改革者2021 . pdf . exe”(7 b 8d 0 B4 e 718 BC 543 de 049 e 23672d 79)的简化感染链

第二阶段可执行文件的目的是将最终的有效负载(通常从硬编码的地址Meterpreter shellcode下载)注入到不同的良性Windows进程中。这些工具类似于《研讯》所讨论的工具。除非它们的调试信息被删除，否则它们还包含具有唯一用户名wallstreet的PDB路径。

2021年底，一些被感染的链开始使用C#可执行文件进行更简单的操作，只需启动PowerShell从服务器拉下一个阶段即可。当时，该活动已经在使用PoshC2植入而不是Metasploit有效负载，但是这些工具仍然有指向wallstreet的PDB路径。如c:\ users \ wall street \ source \ repos \ pdf document \ obj \ release \ pdf document . pdb。

感染后的活动

当初始PowerShell后门连接到CC时，攻击者自动发送AMSI旁路命令和PoshC2植入，然后检索第二阶段植入以在PowerShell会话中添加附加功能。接下来，攻击者建立持久性并执行监控，同时还运行一些命令来试图逃避检测。

逃避技术

为了避免被发现，攻击者首先运行两个额外的AMSI旁路命令，即使后门总是从AMSI旁路开始。然后，他们使用PoshC2 Inject-Shellcode模块将外壳代码注入Windows内置的二进制文件RuntimeBroker.exe和iexpress.exe。注入的代码是Sharpv4 shellcode，包含修复AmsiScanBuffer(AMSI绕过技术)和ETWEventWrite(Windows绕过技术的事件跟踪)的DLL:

来自攻击者shellcode的DLL，用于修复AmsiScanBuffer和EtwEventWrite。

显示外壳代码注入RuntimeBroker.exe的事件日志。

然后，它加载base64编码的。包含base64编码的PoshC2 PowerShell植入的. NET可执行文件。这一系列事件最终让攻击者以更隐蔽的方式重新建立后门，并作为已知的微软进程运行。

持久性

为了设置持久性，攻击者在磁盘上放了一个名为WinComp.bat的批处理文件。首先，它搜索进程iexpress.exe，即运行注入的外壳代码的进程。如果该进程存在，脚本将终止。否则，它将使用混淆命令启动PowerShell后门，并连接到由攻击者控制的C2服务器：

此外，攻击者向磁盘释放了另一个名为slmgr.vbs的脚本，该脚本只执行WinComp.bat来完成持久性设置，攻击者创建了一个每5分钟运行slmgr.vbs的调度任务，并创建了两个不同的调度任务每6小时执行WinComp.bat。安装计划任务后，攻击者会在脚本文件中添加一个隐藏属性，对用户隐藏以避免被发现：

监测

随着时间的推移，将发送多个监控命令来收集有关受感染计算机及其网络的其他信息。这包括捕获第二阶段PoshC2植入程序的屏幕截图的命令，简称Get-Screenshot。攻击者还发送并执行了一个名为Get-Ipconfig的脚本(根据脚本中的注释，似乎该脚本源自微软现已停止运行的TechNet Gallery ),以从Win32_ComputerSystem WMI类收集网络信息。此外，攻击者还使用了另一个名为Get-ComputerInfo的开源脚本，该脚本不同于PowerShell中内置的cmdlet。这个脚本从多个WMI类收集数据，包括关于计算机硬件和网络的信息。攻击者发送的另一个脚本名为Invoke-Arpscan，它使用C#在设备上找到的所有网络接口上运行ARP扫描。

最后，攻击者试图创建svchost.exe进程的内存转储，这可能会提取现有的RDP凭据。

附加工具

虽然攻击者最初非常依赖PoshC2模块并广泛使用其功能，但在被感染的设备上停留一段时间后，攻击者开始下载一些额外的有效载荷。有效载荷是一个名为DWService的合法远程访问工具，它伪装成Intel服务。基于UI的远程访问工具可以为攻击者提供更大的手动操作自由度和更小的被抓机会。

攻击者在受感染设备上执行的另一个有趣的操作是安装Windows Subsystem for Linux (WSL)。攻击者经常使用WSL来避免在运行一些有用的工具时被检测到。在我们的案例中，攻击者在WSL中安装了一个名为CrackMapExe的开源渗透测试工具，他们用它来运行网络的SMB扫描。

在与此活动相关的其他工具中，研究人员发现了一个名为TITAN.exe的可执行文件，这是一个名为Backstab的开源反EDR工具。该工具使用SysInternals Process Explorer驱动程序来终止受保护的反恶意软件进程。该工具编译自路径C:\ users \ wall street \ downloads \ programs \ back stab-master \ x64 \ debug \ back stab . pdb，这告诉我们华尔街攻击者可能直接从GitHub下载，在Visual Studio的与TITAN.exe一起下载时，我们发现了一个名为POPULAIRE.exe的可执行文件，其内部名称为logger stamp(C:\ users \ wall street \ source \ repos \ logger stamp \ release \ logger stamp . pdb)。它是一个基本的键盘记录程序，使用SetWindowsHookExW API在所有击键上注册一个回调函数，并将它们写入一个名为keylogger.log的文件中，该文件与可执行文件位于同一目录中。该工具没有任何CC通信机制，依靠其他现有的后门将收集到的数据发送给攻击者。

受害者分析

DangerousSavanna面向在多个非洲国家开展业务的中型或大型金融相关企业。属于这些金融机构的公司提供广泛的银行产品和服务，不仅包括银行，还包括保险公司、小额贷款公司、金融控股公司、财务管理公司和财务咨询服务。尽管他们的工具的复杂性相对较低，但观察到的迹象可能表明攻击者设法感染了他们的一些目标。这可能是因为攻击者一直试图渗透。如果一个感染链没有成功，他们就会更换附件和诱饵，一次又一次地瞄准同一个公司，试图找到一个入口。通过鱼叉钓鱼的社会工程，只需要不知情的用户不小心点一下鼠标，攻击马上就开始了。

基础设施

感染链、基础设施和有效载荷的变化

上面的时间线显示了攻击者使用的基础设施随时间的发展。在早期阶段，攻击者依赖第三方文件共享服务，如FileSend.jp或4sync.com。2021年年中，大量的活动只与paste.c-net.org相关联，这是一个类似于Pastebin的服务，用于存储从多个外部模板到最终PowerShell植入的各种攻击阶段。2021年10月，paste.c-net.org背后的组织进行了一次令人印象深刻的清理行动，并可能积极监控其服务共享的所有潜在恶意内容。此后，这场运动使用了看似随机的服务器，并尝试了不同类型的中间服务器，包括bit.ly和iplogger.org重定向，类似于nedbank.za等当地金融相关机构的域名.] com(伪装成NED Bank)或者paste。inexa-集团[.] com(伪装成金融科技解决方案提供商inexa)，或者仅仅依靠Dynu这样的短期免费DDNS服务。

总结

在本文中，我们分析了针对西非和北非金融机构的恶意电子邮件活动。这项活动已经进行了近两年，经常改变其工具和方法，显示了攻击者对开源工具和渗透测试软件的了解。我们预计，这一没有停止或放缓迹象的活动将继续调整其运营手段和方法，以实现其财务效益的最大化。