在调查 NukeSped(一种远程访问木马)样本时,趋势科技研究人员发现几个 Bundlore 广告软件样本使用与 NukeSped 中发现的相同的无文件例程。
该后门可能是网络犯罪组织 Lazarus开发的,该组织至少自 2014 年以来一直活跃。 NukeSped 有多种变体,旨在在 32 位系统上运行并使用加密字符串来逃避检测。最近,作为 Lazarus 网络间谍活动的一部分,这种名为 ThreatNeedle 的木马程序出现了一种更复杂的形式。
在这些样本中发现的加密 Mach-O 文件已将 Bundlore(一种以下载合法应用程序为幌子在目标设备中安装广告软件的恶意软件家族)升级为更隐蔽且常驻内存的威胁。 Bundlore 还以 macOS 设备为目标,并与去年对 macOS Catalina 用户的攻击有关。北京时间2019年6月4日凌晨,在2019年WWDC全球开发者大会上,苹果macOS全新版本Catalina发布。将iTunes拆分为苹果音乐、苹果播客和苹果TV。
研究人员对 Lazarus 使用的 Ants2WhaleHelper 文件的分析导致研究人员将其检测为 NukeSped。 VirusTotal 中还发现了另一个具有 NukeSped 检测功能的文件 unioncryptoupdater。两者都包含一个看起来基于 GitHub 提交的例程。然而,奇怪的是,这些文件似乎都没有使用这个例程。
在 Ants2WhaleHelper 文件上使用 Interactive Disassembler Pro (IDA Pro) 显示其主要载荷为 _mapBuffer(图 1),它似乎是 _memory_exec 函数的修改版本(图 2)。这个函数看起来像是基于 GitHub 帖子中的代码;但是,没有指向 _memory_exec 函数的引用。
_mapBuffer 函数
从 GitHub 帖子复制的 _memory_exec 函数
Bundlore 的 Mach-O 文件在内存中运行
解密密钥和增量值在 Bundlore 样本中有所不同,为了更好地理解嵌入文件,研究人员创建了一个 Python 脚本来解密和提取嵌入的 Mach-O 文件。通过这样做,研究人员能够观察到一个这样解密的 Mach-O 文件(sha256:a7b6639d9fcdb13ae5444818e1c35fba4ffed90d9f33849d3e6f9b3ba8443bea),它连接到一个目标URL (13636337101185210173363631[.]cloudfront[.]net/?cc-00&),但是地址在不同的样本中是不同的。然后下载一个名为 Player.app 的应用程序包,它伪装成 Flash Player,然后被下载并解压缩到 /tmp 目录中。 chmod 777 命令用于提取的应用程序包,然后启动伪造的应用程序。在执行这些例程时,Bundlore 会显示一条欺诈性错误消息(图 10)。完成后,它通过调用 sleep 函数并重复循环来休眠。
解密后的 Mach-O 文件的主要程序
Player.app 显示的虚假错误消息
本文翻译自:https://www.trendmicro.com/en_us/research/21/f/nukesped-copies-fileless-code-from-bundlore--leaves-it-unused.html
本文内容不用于商业目的,如涉及知识产权问题,请权利人联系51Testing小编(021-64471599-8017),我们将立即处理
