攻击者在缅甸的一些受感染系统上部署了另一个恶意工具。其目的是扫描受感染系统中带有预定义扩展名的文件,并将它们泄露到C2服务器。有趣的是,这个攻击者模仿了流行的Zoom视频电话软件。使其看起来无害的一种措施是提供与二进制文件一起提供的有效数字签名以及由位于上海的北京大学方正集团子公司方正科技所有的证书。
伪造的Zoom应用程序的有效证书
为了方便数据的泄露,攻击者解析了一个名为“zVideoUpdate.ini”的配置文件。虽然尚不清楚攻击者如何将恶意软件写入磁盘,但将.ini文件放在一起并放置在同一目录中以使其工作至关重要。构成该文件的配置参数如下:
配置文件中的每个字段(Version、ArgName和zCrashReport除外)都是用Base64编码的,虽然开发者结合了允许使用AES算法解密上面指定的某些字段的逻辑和参数,但它仍未使用。
窃取程序使用这些参数来扫描三个指定的目录(以及固定和可移动驱动器的根路径)并搜索具有zKBCrypto参数中给出的扩展名的文件。然后,匹配的文件将被复制到恶意软件创建的暂存目录中,路径结构如下:“zWebService\%Y-%m-%d%H-%M-%SzCrashReport”。目录名称中的字符串格式表示恶意软件执行的时间和日期。
此外,恶意软件还会收集被盗文件的元数据。可以找到一条数据作为与写入名为“VideoCoingLog.txt”的文件的泄露文件相对应的原始路径列表。该文件位于上述暂存目录中。同样,第二个文件用于保存与泄露文件对应的哈希列表,并放置在zzhost参数中指定的路径中。
收集目标文件及其元数据后,恶意软件会执行一个外部实用程序,以便将暂存目录存档到一个.rar文件中,该文件将放置在zWebService参数中指定的路径中。该恶意软件假定在XmppDll参数下指定的路径中存在该实用程序,这表明攻击者事先了解受感染系统及其预安装的应用程序。
最后,恶意软件会在zWebService目录中寻找所有应传输到C2的扩展名为.rar的文件。用于发送存档的方法使用静态链接的CURL库,该库在向服务器执行事务时设置下面指定的参数,C2的地址取自zAutoUpdate参数。
用于将泄露文件的存档发布到CC的CURL逻辑
后期利用工具:ChromeCookiesStealer攻击者在一些受感染的系统上部署了另一个工具,从Chrome浏览器中窃取cookie。此工具需要本地用户名作为参数,因为需要访问包含要被盗数据的两个文件:
攻击者首先提取存储在“本地状态”文件中的encrypted_key值。此密钥采用base64编码,用于解码存储在“Cookies”文件中的cookie。攻击者使用CryptUnprotectDataAPI函数解密cookie并查找八个特定的cookie值:SID、OSID、HSID、SSID、LSID、APISID、SAPISID和ACCOUNT_CHOOSER:
攻击者首先提取存储在“本地状态”文件中的encrypted_key值。此密钥采用base64编码,用于解码存储在“Cookies”文件中的cookie。攻击者使用CryptUnprotectDataAPI函数解密cookie并查找八个特定的cookie值:SID、OSID、HSID、SSID、LSID、APISID、SAPISID和ACCOUNT_CHOOSER:
解释cookie用途的Google*策
在研究人员的测试中,他们设置了一个Gmail帐户,并能够使用窃取的cookie复制研究人员的Gmail会话。因此,研究人员可以得出结论,这个后期利用工具专门用于劫持和冒充目标的Gmail会话。
命令与控制对于C2通信,一些LuminousMoth样本直接联系IP地址,而其他样本则与域“updatecatalogs.