电子元器件行业的攻击运动

小心：近期针对电子元器件行业的攻击运动剖析

宣布时间 2021-09-13

一、概述

近期，，，，，bevictor伟德ADLab捕获到多起针对电子元器件企业的垂纶邮件攻击运动，，，，，攻击目的涉及多家电子元器件行业的上市公司或上下游供应商，，，，，包括天马微电子股份有限公司（中国深圳）、弘忆国际股份有限公司（中国台湾）、questcomp（美国加利福尼亚）、axitea（意大利米兰）等。。。。。攻击者以“Dretax.inc-Ryan Osborn -INV -034708182958- 2021.24.08”、“Dretax.inc-Alissa Chung -INV -420511295810- 2021.24.08”等虚伪的发票票据为邮件问题提倡鱼叉式垂纶攻击并进一步向目的装备植入Dridex木马，，，，，攻击中使用了宏隐藏、多层Loader混淆加密、API动态获取、API向量异常处置惩罚挪用等多种手艺手段对抗剖析，，，，，同时其回连的网络基础设施均接纳CDN和P2P署理节点来规避追踪与检测。。。。。

Dridex是一款以窃取银行账户凭证为目的，，，，，集僵尸、窃密木马、邮件蠕虫、勒索软件等众多功效于一体的综合性蠕虫病毒，，，，，由于其拥有重大的P2P控制机制、多层署理、快速变异、内外网双渠道熏染、RSA-AES通讯加密等特点，，，，，受攻击企业一旦中招，，，，，可能引起内网扩散熏染并进一步造成失泄密、遭受勒索攻击、生产线停摆等严重的效果。。。。。

随着《数据清静法》的正式实验，，，，，全行业、全领域都会受之影响，，，，，需要建设完善的数据清静战略。。。。。电子元器件及半导体行业作为我国“十四五”鼎力大举生长的战略新兴工业，，，，，是支持目今经济社会生长和包管国家清静的战略性、基础性和先导性工业，，，，，其工业链清静稳固意义重大。。。。。黑客组织一旦通过网络攻击入侵到相关企业内部，，，，，一方面会严重威胁到我国自主可控的工业链清静和数据清静；；；；；；另一方面也可能因勒索攻击、生产线中止等造成重大的经济损失。。。。。因此，，，，，bevictor伟德ADLab提醒有关单位、企营业必重视此类网络攻击运动并实时举行清静提防。。。。。

二、攻击威胁剖析

2.1 电子元器件企业频遭网络攻击

此次攻击运动瞄准了电子元器件行业的相关企业，，，，，我们视察到，，，，，近年来电子元器件进入“涨价期”，，，，，同时疫情的爆发又加速突破了工业链的供需平衡，，，，，造成电子供应链产品求过于供，，，，，价钱疯涨。。。。。一些黑客组织以此为契机，，，，，一再针对电子元器件行业睁开网络攻击从而牟取高额利益，，，，，我们统计了近一年来电子元器件行业遭受网络攻击的部分清静事务如图1所示。。。。。

电子元器件行业遭受网络攻击事务.jpg

图1 近一年电子元器件行业遭受网络攻击事务

可以看到，，，，，针对电子元器件行业的攻击方法主要集中在加密数据勒索、数据走漏勒索、拒绝效劳攻击勒索（导致生产线歇工）等。。。。。2020年7月，，，，，全球领先的晶圆大厂X-FAB宣布通告称其遭到网络攻击，，，，，导致所有IT系统和其6个生产基地均阻止事情；；；；；；8月SK海力士、LG电子遭到Maze勒索软件攻击，，，，，导致部分职员的大宗资料泄露，，，，，且SK海力士被黑的文件中还包括与苹果、IBM等客户公司的存储芯片价钱协商邮件；；；；；；9月，，，，，以色列芯片巨头TowerJazz突然遭受网络攻击，，，，，导致部分系统效劳器和制造部分暂停运转，，，，，迫于生产线歇工的压力，，，，，其向黑客支付了数十万美元的“保释费”，，，，，以换取黑客对效劳器阻止攻击；；；；；；12月，，，，，富士康母公司鸿海集团位于墨西哥的工厂遭遇勒索软件“DoppelPaymer”攻击。。。。。黑客窃取并加密了部分文件数据，，，，，并要求公司支付1804枚比特币以获取解密工具（凭证当天市价高达3450万美元）；；；；；；今年3月，，，，，全球着名电脑制造商宏基遭遇REvil勒索软件攻击，，，，，并被索要5000万美元赎金（约3.3亿人民币），，，，，创下最高勒索软件赎金纪录。。。。。今年8月，，，，，我们发明黑客组织又在摩拳擦掌，，，，，最先针对多家电子元器件企业提倡垂纶邮件攻击运动。。。。。后文也将针对此次攻击运动举行深入的剖析和先容。。。。。

2.2 此次攻击目的

bevictor伟德ADLab通过对此次攻击运动举行溯源与剖析关联，，，，，整理出部分攻击者使用的垂纶邮件，，，，，邮件信息见表1。。。。。

垂纶邮件.jpg

表1 邮件信息

在进一步剖析后，，，，，我们发明攻击者使用了定制的垂纶邮件模板举行发票类垂纶邮件的自动化天生和攻击，，，，，并针对邮件中涉及发送人、发票序号、发票日期等内容举行了随机化处置惩罚。。。。。其中，，，，，发件人的邮箱后缀被全心伪装成与发票、订单相关的内容，，，，，例如payment.dretax.com、invoice.dretax.com、order.dretax.com、mail.dretax.com，，，，，邮件问题与附件名也均通过公司名（Dretax.inc）、INV（invoice缩写，，，，，译为发票）、日期、编号（随机天生）、发件人名（随机天生）等举行组合伪装，，，，，垂纶邮件如图2所示。。。。。

垂纶邮件-图示.png

图2 垂纶邮件

此次攻击涉及的目的均为电子元器件行业的相关公司，，，，，包括天马微电子股份有限公司、弘忆国际股份有限公司、questcomp、axitea等，，，，，由于黑客并没有以特定国家为攻击目的，，，，，以是我们以为这是一起普遍针对电子元器件行业的攻击行动，，，，，黑客组织的焦点目的可能是窃取电子元器件公司的神秘数据或手艺资料，，，，，同时可能进一步通过加密数据勒索、数据走漏勒索、锁定系统勒索等手段来牟取更多的经济利益。。。。。此次运动涉及的部分攻击目的信息如表2所示。。。。。

攻击目的.jpg

表2 攻击目的信息

三、手艺剖析

在此次攻击运动中，，，，，攻击者将带有恶意附件的垂纶邮件投递至电子元器件企业员工，，，，，一旦垂纶妄想乐成，，，，，恶意宏会释放并执行VBScript剧本，，，，，该剧本是一个下载器，，，，，实验通过谈天软件Discord的CDN效劳下载黑客托管的恶意DLL文件，，，，，同时会释放另一个VBScript脚原来加载该恶意DLL。。。。。加载的DLL实则为Dridex木马Loader，，，，，其使用了多层打包的方法举行下发，，，，，在内存中经由2次解密释放Loader后最终从C&C效劳器下载执行Dridex木马，，，，，并进一步毗连至Dridex的P2P署理网络执行恶意操作。。。。。

下图展示了此次攻击运动完整的流程：

攻击流程图.jpg

图3 攻击流程图

3.1 诱饵邮件投递

攻击者伪装了多封以Dretax公司（美国西萨克拉门托）会计职员为发件人的垂纶邮件，，，，，邮件主题均与“发票信息”有关，，，，，以图4邮件为例，，，，，收件人为我国天马微电子股份有限公司名为“panpan_cao”的员工。。。。。邮件正文中简朴形貌了发票信息及开具发票的会计部分的联系方法，，，，，并提醒保存所附的发票。。。。。

垂纶邮件.png

图4 垂纶邮件

邮件附件是一份伪装的8月发票单，，，，，从诱饵文档翻开后的内容（如图5）来看，，，，，Excel表格仅包括一张图片，，，，，内容大意为：“此文档是由Microsoft office excel的早期版本建设，，，，，请启用宏选项以显示文档内容”。。。。。一旦受害者被诱骗启用宏选项，，，，，恶意宏代码便会连忙执行。。。。。

恶意邮件.jpg

图5 恶意的邮件附件

3.2 恶意宏代码执行

宏代码被隐藏在事情簿的表格当中，，，，，默认翻开Excel只能看到表Sheet1（表Macro1被隐藏），，，，，当点击“启用宏”后，，，，，由于表的状态被隐藏仍无法看到，，，，，可以通过右键单击主表选项卡作废隐藏选项。。。。。

代码执行图.png

图6 作废隐藏的事情表

此时可以在表Macro1中看到恶意宏代码，，，，，该恶意代码被混淆后拆分至多个表格中存储。。。。。与常见的宏代码隐藏方法差别，，，，，此类隐藏手艺无法在VBAProject中看到宏代码，，，，，能够在一定水平上滋扰清静剖析。。。。。

将xlsm文件解压缩，，，，，同样可以在其中\xl\macrosheets\sheet1.xml的位置发明该隐藏的恶意宏代码。。。。。

隐藏代码.jpg

图7 隐藏的宏代码

攻击者将恶意代码以10进制字符的形式存储在单位格内（每个字符存储在自力的单位格中），，，，，现实执行时通过Excel的CHAR()函数转换为字符串代码后再进一步加载，，，，，从而抵达混淆和对抗清静检测的目的。。。。。将剧本去混淆后，，，，，代码的整体挪用逻辑如图8所示。。。。。

代码挪用逻辑.jpg

图8 代码挪用逻辑

恶意代码会建设“C:\ProgramData\veqxg.sct”文件，，，，，并将J162至S604单位格内的数值内容（如图9）转化为CHAR值后写入其中，，，，，然后通过下令EXEC (MSHTA C:\ProgramData\veqxg.sct)执行veqxg.sct文件。。。。。

恶意代码.png

图9 恶意代码（每个字符存储在自力的单位格中）

3.3 恶意“sct”文件执行

veqxg.sct文件实则为VBScript剧本，，，，，该剧本会在同目录下释放下一阶段的VBScript剧本vaBlOKVbTNVXMTWIJcdR.sct，，，，，之后从效劳器下载后续的恶意代码vaBlOKVbTNVXMTWIJcdR.dll，，，，，若是下载乐成，，，，，则通过vaBlOKVbTNVXMTWIJcdR.sct剧本执行后续的恶意DLL。。。。。

veqxg.sct剧本.jpg

图10 veqxg.sct剧本

下载链接如表3所示：

恶意DLL下载链接.png

恶意DLL下载链接

vaBlOKVbTNVXMTWIJcdR.sct剧本会进一步通过rundll32.exe 执行恶意DLL（参数为CPGenRandom)，，，，，经太过析，，，，，该恶意DLL是Dridex木马的Loader，，，，，下文我们将对Dridex木马及其Loader举行详细的剖析和先容。。。。。

剧本信息.png

图11 vaBlOKVbTNVXMTWIJcdR.sct剧本

3.4 Dridex木马剖析

此次的Dridex使用了多层打包的方法举行下发，，，，，第一层Loader执行后，，，，，会使用shellcode在内存中解密出第二层Loader来执行，，，，，第二层Loader再去攻击者控制的C&C效劳器下载Dridex木马。。。。。这两个Loader使用了动态函数获取和向量异常处置惩罚来挪用系统函数，，，，，从而逃避清静软件的查杀和滋扰清静职员的剖析。。。。。以下是详细剖析：

3.4.1 第一层Loader剖析

该Loader的代码经由了整数运算操作混淆，，，，，其同时还使用了动态函数挪用的手艺来执行系统API，，，，，以增添静态剖析的难度，，，，，下图是该Loader在IDA中的部分伪代码：

Loader导出函数伪代码.png

图12 Loader导出函数伪代码

我们连系动态调试剖析，，，，，发明该Loader的目的是在内存中解密执行一个PE文件。。。。。这个历程通过两阶段的shellcode完成：

第一阶段的shellcode被加密生涯在该Loader的.rdata段，，，，，Loader执行后，，，，，将.rdata段的shellcode解密后写到.data段，，，，，然后动态挪用VirtualProtect函数将.data段的对应shellocde属性修改为可读可写可执行，，，，，如下图所示：

图13 修改.data段的内存属性为可读可写可执行

之后，，，，，loader就去执行.data段的shellcode代码，，，，，如下图所示：

data字段.png

图14 执行.data段的shellcode代码

shellcode的最先是一段解密代码，，，，，其认真将第二阶段的shellcode解密出来（循环异或解密shellcode），，，，，如下图所示：

解密第二阶段的shellcode.png

图15 解密第二阶段的shellcode

解密完成后，，，，，shellcode再动态挪用VirtualAlloc函数申请一段内存，，，，，将解密后的第二阶段shellcode写入到目的内存，，，，，之后跳转到第二阶段的shellcode去执行，，，，，如下图所示：

执行第二阶段的shellcode.png

图16 执行第二阶段的shellcode

第二阶段的shellcode执行后，，，，，会动态挪用VirtualAlloc函数申请内存，，，，，将加密数据写入该内存后，，，，，再解密执行，，，，，解密执行的payload为一DLL文件，，，，，如下图所示：

内存中解密出的DLL文件.png

图17 内存中解密出的DLL文件

3.4.2 第二层Loader剖析

该DLL同样是一个loader，，，，，其目的是从远程效劳器下载下一阶段的Dridex木马。。。。。该DLL同样使用了动态函数挪用的方法举行函数挪用，，，，，只有当需要挪用目的函数时，，，，，恶意代码才会使用FS寄存器检索对应函数的现实地点，，，，，然后使用int3异常挪用目的函数，，，，，如下图所示：

使用int3异常挪用目的函数.png

图18 使用int3异常挪用目的函数

这种函数挪用的原理是，，，，，当程序爆发异常的时间，，，，，一共有两种处置惩罚异常的方法。。。。。一种是SHE（Structured Exception Handling），，，，，另一种是VEH（Vectored Exception Handling）。。。。。该DLL使用了VEH的方法挪用目的函数：在运行的最先，，，，，恶意代码会注册一个VEH处置惩罚程序（如下图所示），，，，，当CPU为INT3引发异常时挪用异常处置惩罚程序以对目的函数举行挪用。。。。。

函数异常.png

图19 注册异常处置惩罚函数

该DLL内置有3个C&C效劳器地点，，，，，如下表所示：

DLL内置有3个C&C效劳器地点.png

该DLL会实验逐个和这些C&C效劳器举行毗连，，，，，一旦毗连建设乐成，，，，，DLL就会挪用HttpSendRequestW函数向C&C效劳器回传目的情形的加密数据（如下图所示），，，，，之后该DLL会从C&C效劳器下载下一阶段的Dridex木马执行。。。。。

回传的加密数据.png

图20 向C&C回传的加密数据

3.4.3 Dridex焦点木马

由于我们在剖析的时间，，，，，第二层Loader目今未能将Dridex焦点马下载下来执行，，，，，可是通过溯源发明目今Loader正是Dridex V4所使用的Loader，，，，，自己Dridex焦点马并未爆发较大转变，，，，，其最主要攻击能力主要体现在其强度而无邪的插件手艺上。。。。。新的攻击中所接纳的恶意诱饵文档及Loader随着黑客组织的更替而一直进化。。。。。本文将不再对Dridex的详细手艺举行剖析，，，，，只对Dridex的基本功效和特点举行简要的先容。。。。。如需深入相识Dridex木马，，，，，可仔细阅读bevictor伟德另外一篇深度剖析报告《躲在P2P蠕虫网络背后的幽灵：Dridex蠕虫新型变种探秘》，，，，，我们在报告中对Dridex V4所接纳的攻击手法，，，，，手艺手段，，，，，通讯机制等等做了周全而深入的剖析。。。。。

Dridex又名Bugat、Cridex、Feodo，，，，，于2014年首次泛起，，，，，是现在全球活跃的手艺最先进的银行木马之一，，，，，从泛起以来，，，，，其一直在一直更新和演变，，，，，直到现在为止仍十分活跃。。。。。该木马的主要目的是窃取受害者主机的银行凭证。。。。。和这次攻击一样，，，，，其通常通过鱼叉式垂纶邮件的方法举行撒播。。。。。除了窃取银行凭证，，，，，Dridex通�；；；；；；够嵯略仄渌亩褚饽？？�，，，，，现在已知的功效�？？橛蠽NC�？？椤⑵聊唤赝寄？？椤⑹鹄砟？？椤⒅行娜四？？椤⒓碳吐寄？？椤⑵局で匀∧？？椤eb注入�？？椤⒛谕灸？？椤⒂始霾ツ？？椤⑸诚浼觳饽？？榈�。。。。。

Dridex的攻击目的遍布天下各地，，，，，如：中国、美国、德国、法国和加拿大等。。。。。以下是Dridex近几年的一些攻击事务：

2014年7月，，，，，Seculert公司的清静研究员发明Dridex窃取了至少5万个邮箱的登录账号和密码信息列表，，，，，此时Dridex主要以熏染德国和波兰为主，，，，，其他熏染过的国家有奥地利、美国、瑞士、英国、意大利、荷兰等。。。。。

2015年5月，，，，，Dridex最先将js剧本文件作为邮件撒播附件举行大面积撒播，，，，，该js剧本文件用于下载Locky勒索软件执行。。。。。

2015年8月，，，，，相关清静机构剖析统计，，，，，在2015年间不到一年的时间里，，，，，Dridex已经入侵了横跨27个国家的成千上万家企业，，，，，并且已经导致英国2万万英磅(其时合3050万美元)以上的经济损失，，，，，以及美国1万万美金的经济损失。。。。。

2015年8月14日，，，，，FBI联合清静厂商捣毁了Dridex效劳器并拘捕了一名Dridex幕后操控者。。。。。

2016年2月4日，，，，，Dridex爆发了一次戏剧性事务，，，，，那就Dridex蠕虫病毒后端效劳器疑被白帽子入侵，，，，，所有下载的�？？楸惶婊怀闪薃vira杀毒软件。。。。。

2016年9月6日，，，，，清静研究职员发明新的Dridex变种最先用于窃取虚拟钱币如比特币钱包。。。。。

2017年4月，，，，，Proofpoint研究职员视察到数百万次Dridex蠕虫攻击，，，，，其攻击手法与以前的攻击相似，，，，，同样通过邮件携带附件的形式举行猖獗的撒播，，，，，只是新的攻击中添加了通过ZIP打包的vb剧本文件、PDF文件和可执行的PE文件。。。。。

2017年5月10日，，，，，Dridex蠕虫变种使用了原子注入手艺发动攻击，，，，，以逃避清静产品的查杀。。。。。

2017年12月12日，，，，，前英国银行员工植入Dridex蠕虫资助两位黑客洗钱，，，，，担当洗钱黑客的私人信托司理，，，，，使用伪造的身份证件开设了多达105个账户，，，，，汇款与转账凌驾250万英镑。。。。。

2018 年 12月，，，，，摩尔多瓦国民Andrey Ghinkul，，，，，又名“ smilex ”（ 2017年2 月，，，，，从塞浦路斯引渡到美国）因分发Dridex恶意软件被判刑。。。。。

2019 年 6 月，，，，，攻击者使用Spelevo 的误差使用工具投递银行木马Dridex。。。。。

2019年12月，，，，，美国政府指控两个俄罗斯公民（Maksim V和Igor Turashev）安排Dridex恶意软件，，，，，两人在10年内窃取凌驾了1亿美元。。。。。

2020年12月时代，，，，，攻击者投递仿冒亚马逊免费亚马逊礼物卡的垂纶邮件

2021年8月，，，，，攻击者针对多家电子元器件企业提倡垂纶攻击运动，，，，，包括天马微电子股份有限公司、弘忆国际股份有限公司、questcomp、axitea等。。。。。

四、总结

此次攻击主要瞄准电子元器件企业的员工，，，，，并且涉及到我国企业的数据清静，，，，，需要引起宽大企事业单位足够的小心。。。。。连系Dridex木马的历史运动迹象，，，，，其背后的攻击者以窃密、勒索等方法图谋经济利益的可能性较大。。。。。Dridex在履历多年的生长进化后，，，，，已经形成了集蠕虫、僵尸、窃密木马、勒索软件、P2P署理于一身的混淆型蠕虫病毒。。。。。该蠕虫同时具备内外网扩散、正反响的闭环熏染、C&C效劳器及通讯流量隐藏、对抗剖析、快速变异、�？？榛雀呒赌芰�，，，，，关于中招企业具有极大的危害性。。。。。

鉴于Dridex僵尸网络恒久通过垂纶邮件以及OfficeVBA宏举行攻击的习用手段，，，，，我们建议企事业单位未必期为员工举行清静教育培训，，，，，提升员工的清静提防意识。。。。。务必做好邮件系统的防护，，，，，注重不要随意翻开未知泉源的电子邮件（尤其是带有附件的电子邮件）。。。。。若有需要可通过翻开Office文档中的：文件-选项-信任中心-信任中心设置-宏设置，，，，，禁用一切宏代码执行。。。。。一旦系统或效劳器泛起异常行为，，，，，实时报告并请专业职员举行排查，，，，，以消除清静隐患。。。。。

7*24小时效劳热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

bevictor伟德

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

专业清静效劳

清静运营中心

知白学院

威胁情报中心

清静转达

研究报告

清静团队

渠道系统

售后效劳

升级通告

软件升级

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系bevictor伟德

清静研究

小心：近期针对电子元器件行业的攻击运动剖析

关于bevictor伟德

解决计划

清静研究

联系bevictor伟德

7*24小时效劳热线