黑客组织BadPatch再出手，借助恶意软件“B3hpy”开展间谍活动

最近，FortiGuard威胁研究与响应实验室在威胁监控的过程中发现了一篇由安全研究员Ring4sky发表的推文，其中提到的一个可疑文件看起来像是APT（高级可持续威胁）活动中的诱饵文件。

在经过深入分析后，FortiGuard实验室推测，这个文件很可能是“BadPatch”恶意活动的一部分。

BadPatch，是一系列恶意软件的统称，而BadPatch活动则是指在一次活动中，将所有这些恶意软一起使用。

BadPatch活动被认为与一个在2017年首次被公开披露的加沙黑客组织相关联。据称，该组织自2012年以来就一直在参与针对中东的间谍活动。

图1.安全研究员Ring4sky发表的推文

图2.“B3hpy”的代码

从本质上讲，B3hpy是一种使用python编译的多组件恶意软件，拥有从受感染系统中窃取数据的能力。

攻击向量

被上传到VirusTotal的攻击样本，是一个名为“???? ??????? ???? ????? .scr ”的可执行文件（翻译为：总理穆罕默德·伊什塔耶.scr），其中包含两个文件：

图3. SFX可执行文件所包含的内容

一旦执行，该文件将打开decoy.doc文件，内容似乎是从Sama News的新闻文章中复制过来的。

图4.诱饵文件

图5.新闻原文

同时被执行的还有d.exe（只能在64位Windows系统上运行），负责下载三个文件。

图6.下载的文件

下载的文件被托管在GitHub上，其中一些是在两年前上传的，还有一些是在最近上传的。

图7.托管在GitHub上的恶意文件

随后，Bios.333（被保存为“C:ProgramDatadriverssn3337.exe”）和Bios.111（被保存为“C:ProgramDatadriversBios.exe”）将被执行。其中，sn3337.exe的唯一一个作用就是为Bios.exe文件设置自启动的注册表项。

图8. 自启动机制

Bios.exe是一个32位Python 3编译的可执行文件，该文件是使用PyInstaller（一个能够将使用Python编写的程序打包为独立可执行文件的程序）编译的。也就是说，无需在受感染系统上部署Python环境，就可以执行Python程序。

该文件是B3hpy恶意软件的最重要的组件，负责与命令和控制（C2）服务器进行通信，以下载和安装其他组件文件。

1.txt，包含Base64编码的数据，这些数据在编码时指向GitHub上其副本（可用于更新C2地址以供恶意软件使用），以及C2服务器的地址。

图9.1.txt包含的C2地址

B3hpy恶意软件分析

在FortiGuard实验室分析B3hpy恶意软件样本中，主文件被命名为“m6937”。

图10. B3hpy恶意软件包含的文件

它首先会创建两个文件，其中一个包含文本“b3h”，另一个包含 络适配器的MAC地址。

图11.包含UID和MAC地址的文件

然后，它将于与C2进行初始通信（C2地址从1.txt中提取）。

它的所有C2通信都从向路径“/api/v1/url”发送GET请求开始，该路径提供了将POST请求发送给C2时使用的参数名称列表。

图12.向C2发送GET请求，以获取用于POST请求的参数名称

在发送给C2的初始信息中，包含有受感染主机的计算机名称、版本（可能是恶意软件版本“Py version 0.1”）、MAC地址、文本“Hi, Connect”以及UID“b3h”。

图13.包含受感染主机信息的POST请求

接下来，它会将在以下文件夹中找到的所有文件的列表发送给C2：

%ProgramFiles%

%ProgramFiles (x86)%

%Windows%Microsoft.NETFramework

%Windows%Microsoft.NETFramework64

图14. 发送给C2的POST请求，其中包含特定文件夹中的文件列表

在与C2进行初始通信之后，它会通过连接到http://www.google.com来检查受感染主机是否已经连接到互联 。

如果已经连接，它将尝试下载并执行其他恶意软件组件。

图15.下载并执行的其他组件

针对其他组件的分析

sp69372.zip

该组件被用于获取具有以下扩展名的文件列表，并通过SMTP将收集的数据发送给攻击者。

图16.目标文件扩展名

图17. SMTP信息

sp69373.zip

该组件被用于从攻击者指定的受感染主机中窃取文件——使用受害者主机的MAC地址，将POST请求发送到路径“/devices/settings/all”，以获取要窃取的文件列表（以及特定的文件路径、文件类型或文件名）。

图18.提取特定文件

sp69374.zip

该组件被用于捕获受感染主机的屏幕截图：一是捕获当前显示的屏幕截图，二是从包含特定文本的窗口中收集屏幕截图，目标包括 页浏览器、Facebook、Telegram和YouTube等。

图19.屏幕截图目标

sp69375.zip

该组件被用于从最近打开的文件中获取具有以下扩展名的文件列表——通过枚举“%AppData%MicrosoftWindowsRecent”文件夹中的所有文件并检查其目标路径是否包含上述扩展名来完成此操作。

图20.目标文件扩展名

sp69376.zip

该组件被用于从连接的USB驱动器中提取具有以下扩展名的文件：

图21.目标文件扩展名

sp69377.zip

该组件被用于从Google Chrome的登录数据中窃取已经保存的用户密码。

图22.从Chrome的登录数据中窃取保存的密码

结论

在这起活动中，攻击者使用的恶意软件并不是特别复杂，并且与BadPatch非常相似。实际上，它似乎就是曾在BadPatch活动中使用过的恶意软件，只不过换了一种编程语言而已。

无论如何，这起活动至少证明了一些APT组织将在今后的活动中继续利用GitHub、Pastebin、云托管站点等免费服务，因为进入这些站点的流量由于是合法站点而无法立即被阻止。