SkinnyBoy 恶意软件

来自 Cluster 25 威胁研究公司的信息安全专家发现了一种针对战略实体的新鱼叉式网络钓鱼活动。作为攻击链的一部分，研究人员发现了一种新的恶意软件威胁，该威胁充当中期下载器，其任务是将最终的威胁有效载荷传送到被破坏的系统上。该恶意软件名为 SkinnyBoy，被认为是讲俄语的APT28团伙的有害武器库的一部分。这个特殊的威胁参与者也被称为 Fancybear、Sednit、Strontium、PwnStorm 和 Sofacy。

SkinnyBoy 特征

SkinnyBoy 攻击始于发送诱饵网络钓鱼电子邮件。受害者收到一份伪造的国际科学活动邀请，据推测该活动将于 7 月底在西班牙举行。电子邮件中附有一个武器化的 Microsoft 文档，其中包含一个损坏的宏。激活后，该宏会以 DLL 文件的形式提取恶意软件下载程序。

SkinnyBoy 在受感染系统旁边交付。威胁以名为"tpd1.exe"的文件形式出现。一旦启动，SkinnyBoy 会尝试通过在 Windows 启动文件夹下创建 LNK 文件来建立持久性机制。每当受感染的系统下次重新启动时，LNK 就会被触发并开始寻找主要的 SkinnyBoy 负载文件"TermSrvClt.dll"。它通过扫描存储在 C:\Users\%username%\AppData\Local 位置的每个文件的 SHA256 哈希值来实现。

SkinnyBoy 执行的核心任务是在受感染系统上交付最终有效载荷。然而，虽然存在于系统中，但该威胁还会通过利用 Windows 工具"syteminfo.exe"和"tasklist.exe"来收集特定信息。从以下文件和位置收集数据：

• C:\用户\%用户名%\桌面
• C:\Program Files - C:\Program Files (x86)
• C:\Users\%username%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Administrative Tools
• C:\Users\%username%\AppData\Roaming
• C:\Users\%username%\AppData\Roaming\Microsoft\Windows\Templates
• C:\Windows - C:\Users\user\AppData\Local\Temp

SkinnyBoy 收集到的信息随后被组织起来，以 base64 格式编码，并泄露到操作的命令和控制服务器。

瘦男孩受害者

迄今为止，SkinnyBoy 恶意软件已针对大量潜在受害者进行部署。 APT28 似乎主要针对政府机构，例如外交部、国防工业实体、大使馆和军事部门组织。虽然一些受害者位于欧盟，但 APT28 可能会以更大规模的方式运作，攻击也可能影响美国组织。