看不見的威脅:Strela Stealer如何危及歐洲的數位安全

Trustwave 的 SpiderLabs 詳細介紹了 Strela Stealer 惡意軟體,這是一種自 2022 年底以來一直活躍的資訊竊取程式。 它透過網路釣魚攻擊瞄準特定歐洲國家/地區的 Microsoft Outlook 和 Mozilla Thunderbird 電子郵件認證 (Email credential),這些活動已發展到包括帶有惡意附件 (Malicious attachments) 的合法電子郵件。 該惡意軟體採用多層混淆並可能使用客制化加密器 (Custom crypter) 來逃避偵測,其 C2 基礎設施與俄羅斯Bulletproof hosting (BPH)關連。 分析顯示,Strela Stealer 在將資料外洩到其命令和控制伺服器之前會驗證系統區域設定,通常偽裝成網路釣魚電子郵件中的發票附件。 Trustwave 提供IOC ( Indicators Of Compromise) 來幫助組織檢測和預防 Strela Stealer 感染。

看不見的威脅:Strela Stealer如何危及歐洲的數位安全| 資訊安全新聞

傳送和定位

攻擊者透過大規模的網路釣魚攻擊傳播 Strela Stealer,主要針對西班牙、義大利、德國和烏克蘭。這些攻擊中使用的已經成熟的社會工程技術,最近的攻擊涉及轉發包含發票的合法電子郵件,但用包含 Strela Stealer 惡意軟體載入器的 ZIP 檔案替換原始附件。

技術分析

Strela Stealer 的執行鏈涉及多個階段,每個階段都採用混淆技術來阻礙分析。

  • 第一階段:ZIP 檔案包含一個混淆的 JScript 檔案。一旦執行, Script 就會查詢 Registry key HKCU\Control Panel\International\Locale 以擷取本機系統的 LCID。只有當系統的語言環境與陣列值之一相符或系統位於德語國家時, Script 才會繼續運作。 LCID 驗證成功後, Script 使用 regsvr32 公用程式從公用 WebDAV 檔案共用執行第二階段 Payload。也會下載模糊的(Blurred) PDF 誘餌來欺騙受害者。
  • 第二階段:此階段涉及一個封裝 (Packed) 的 DLL,該 DLL 具有單一 Exported 函數 DllRegisterServer ,由 regsvr32 工具程式呼叫。此 DLL 透過算術運算和 Control-flow flattening 進行混淆。它動態解析 API 函數以逃避偵測。程式定位並呼叫VirtualAlloc為最後階段的解封裝 (Unpack) 分配記憶體。將最後階段的程式碼和資料進行 XOR 解密並寫入指派的緩衝區,並重建最後階段 Payload 的 Import Address Table(IAT)。
  • 最後階段:實際的 Strela Stealer 程式碼是高度混淆的,採用了不必要的算術運算、Control-flow flatteningOpaque predicatesRedundant fiber manipulation 等技術。程式碼會對每個位址表中的位址執行 JMP RAX 指令,從而使分析變得複雜。此樣本使用fibers 和 Fiber Local Storage(FLS)索引來執行冗餘程式碼(Redundant code),從而阻礙分析。竊取程式使用 GetKeyboardLayoutListGetLocaleInfoAAPI 對系統的區域設定進行額外驗證。該特定樣本計劃在西班牙、德國、義大利、波蘭和烏克蘭運行。確認地點後,程式便開始竊取資訊活動。它在 Mozilla Thunderbird 的設定檔子資料夾的內容中搜尋檔案 key4.db logins.json。如果找到,則其內容將被加密並透過 HTTP POST 請求傳送到 C2 伺服器。此程式查詢系統的註冊表以檢查 Microsoft Outlook 設定檔資料。如果發現,它會使用CryptUnprotectData API 函數讀取並解密「IMAP 使用者」、「IMAP 伺服器」和「IMAP 密碼」註冊表值,並將資料外洩到 C2 伺服器。竊取程式透過使用 ShellExecuteExA 執行 systeminfo 來收集有關本機系統的信息,並從機器上的「AppsFolder」中擷取已安裝應用程式的清單。該資訊洩漏至 C2 伺服器。

基礎設施

Strela Stealer 的 C2 伺服器是俄羅斯 Bulletproof hosting 網路的一部分,具體來說是 Proton66 OOO 自治系統 (AS 198953)。該網路被用於各種惡意軟體活動。

攻擊指標(IoC)

  • 檔案名稱:
    1692630503222433608.js
    1909835116765.dll
  • SHA256 雜湊值:
    f5c54fce6c9e2f84b084bbf9968c9a76d9cd74a11ccf4fcba29dbe2e4574e3d7
    9c49266e315eb76ce73cbe54286868686273c
    1389cb2f067020f181462bab3519c22fd88da084012729e9edf79d15427b86f
  • IP位址193.143[.]1.205
  • 網址:
    hxxp://193.143.1.205/invoice.php
    hxxp://193.143.1.205/up.php

建議

組織應該意識到 Strela Stealer 帶來的威脅,並採取措施保護自己,包括:

  • 實施電子郵件安全措施,阻止網路釣魚電子郵件。
  • 教育使用者了解開啟未知寄件者發送的附件的危險。
  • 保持軟體更新以修補安全漏洞。
  • 使用信譽良好的防毒和反惡意軟體解決方案。
  • 監控網路流量是否有可疑活動。

結論

Strela Stealer 是自 2022 年底以來一直活躍的資訊竊取程序,專門針對選定的歐洲國家的 Mozilla Thunderbird 和 Microsoft Outlook 的電子郵件登入認證。據信該惡意軟體由單一威脅行為者 Hive0145 經營,其命令和控制基礎設施與俄羅斯Bulletproof hosting提供者相連。報告中有關 Strela Stealer 的關鍵要點如下:

  • 目標與傳播:Strela Stealer 透過大規模網路釣魚攻擊進行傳播,主要針對西班牙、義大利、德國和烏克蘭。網路釣魚電子郵件通常包含帶有惡意軟體載入器的 ZIP 存檔,偽裝成合法發票。
  • 技術演進:竊取者的程式碼包含多層混淆和 Code-flow flattening,以使分析變得複雜。據報道,威脅行為者可能開發了一種名為「Stellar loader」的專用加密器,專門用於 Strela Stealer
  • 技術分析:感染鏈涉及一個 JScript 文件,在執行時會檢查系統的語言環境以確保其與德語國家(德國、奧地利、列支敦士登、盧森堡和瑞士)相符。如果語言環境匹配, Script 將使用 regsvr32Public WebDAV檔案共享執行第二階段Payload,同時顯示模糊的 PDF 誘餌以避免引起懷疑。
  • 混淆:第二階段涉及使用算術運算和 Control-flow flattening 混淆的封裝 DLL,以阻礙分析。它動態解析 API 函數以逃避偵測。最後階段的程式碼被 Opaque predicates 和 Redundant fiber manipulation 進一步混淆。
  • 資料外洩:確認區域設定後,竊取程式會搜尋並加密 Mozilla Thunderbird 設定檔子資料夾的內容,特別是 key4.dblogins.json 檔案。它還會查詢系統註冊表中的 Microsoft Outlook 設定檔資料,包括「IMAP 使用者」、「IMAP 伺服器」和「IMAP 密碼」註冊表值,並使用 CryptUnprotectData API 函數對其進行解密。這些資料連同系統資訊和已安裝應用程式的清單一起洩漏到 C2 伺服器。