SkinnyBoy 惡意軟件

來自 Cluster 25 威脅研究公司的信息安全專家發現了一種針對戰略實體的新魚叉式網絡釣魚活動。作為攻擊鏈的一部分，研究人員發現了一種新的惡意軟件威脅，該威脅充當中期下載器，其任務是將最終的威脅有效載荷傳送到被破壞的系統上。該惡意軟件名為 SkinnyBoy，被認為是講俄語的APT28團伙的有害武器庫的一部分。這個特殊的威脅參與者也被稱為 Fancybear、Sednit、Strontium、PwnStorm 和 Sofacy。

SkinnyBoy 特徵

SkinnyBoy 攻擊始於發送誘餌網絡釣魚電子郵件。受害者收到一份偽造的國際科學活動邀請，據推測該活動將於 7 月底在西班牙舉行。電子郵件中附有一個包含損壞宏的武器化 Microsoft 文檔。激活後，該宏會以 DLL 文件的形式提取惡意軟件下載程序。

SkinnyBoy 在受感染系統旁邊交付。威脅以名為"tpd1.exe"的文件形式出現。一旦啟動，SkinnyBoy 會嘗試通過在 Windows 啟動文件夾下創建 LNK 文件來建立持久性機制。每當受感染的系統下次重新啟動時，LNK 就會被觸發並開始尋找主要的 SkinnyBoy 負載文件"TermSrvClt.dll"。它通過掃描存儲在 C:\Users\%username%\AppData\Local 位置的每個文件的 SHA256 哈希值來實現。

SkinnyBoy 執行的核心任務是在受感染系統上交付最終有效載荷。然而，雖然存在於系統中，但該威脅還會通過利用 Windows 工具"syteminfo.exe"和"tasklist.exe"來收集特定信息。從以下文件和位置收集數據：

• C:\用戶\%用戶名%\桌面
• C:\Program Files - C:\Program Files (x86)
• C:\Users\%username%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Administrative Tools
• C:\Users\%username%\AppData\Roaming
• C:\Users\%username%\AppData\Roaming\Microsoft\Windows\Templates
• C:\Windows - C:\Users\user\AppData\Local\Temp

然後，SkinnyBoy 收集的信息被組織起來，以 base64 格式編碼，並洩露到操作的命令和控制服務器。

SkinnyBoy 受害者

迄今為止，SkinnyBoy 惡意軟件已針對大量潛在受害者進行部署。 APT28 似乎主要針對政府機構，例如外交部、國防工業實體、大使館和軍事部門組織。雖然一些受害者位於歐盟，但 APT28 可能會以更大規模的方式運作，攻擊也可能影響美國組織。