UTG-Q-003：微軟應用商店7ZIP供應鏈投毒事件始末

概述

奇安信威脅情報中心在日常終端運營過程中發現了一個異常的行為，一個名為WindowsPackageManagerServer的進程經過複雜的操作最終啟動了免殺的Lumma Stealer，我們隨即展開了調查，並最終在微軟應用商店找到了對應的惡意安裝包，內容為俄語版的7Zip軟體。經過我們的測試微軟應用商店並沒有上架官方的7ZIP安裝程序，如果使用者搜尋「7z」相關的關鍵詞則會展示該惡意安裝包。

5ab9449c03cb9f2f8c80db8b8405ec75fee415e1

我們第一時間將該情況上報給了微軟，目前該惡意軟體已經從微軟應用商店下架, 上報時間線如下：

5dbc435035f6d7c021e1563e4ac5adbf3b31cf16

通過溯源發現該安裝包最早出現於2023年一月份，幾乎免殺了一整年。我們內部將該團伙命名為UTG-Q-003，並將該事件細節和IOC公開給開源社區，供友商分析排查。

攻擊鏈

我們不清楚攻擊者是如何將惡意的安裝包上架到微軟應用商店的，基於奇安信大資料平臺7z-soft軟體最早的下載時間是2023年3月17。執行鏈如下：

382e6d6ca102a381d37a38807f1acd6eb7a8c86b

JPHP是使用java的虛擬機器執行PHP程式碼的一款開源項目，將php的源程式碼編譯成java位元組碼，並在JVM裡面運行，故免殺效果非常好，攻擊者使用JPHP的庫函數jurl從遠端伺服器下載後續payload。

f114919064965a5ab7b0d8787a62386d4d29703f

攻擊者為了保持長時間的免殺在其C2伺服器上頻繁更新payload，我們一天能請求到2-3個MD5不同的soft.exe，主要目的是竊取受害機器上的txt、doc、rdp、key、wallet、seed、lnk等類型的檔案，所涉及的家族為redline malware、Lumma Stealer、Amadey。

基於VT資料我們觀察到7z-soft.exe除了微軟應用商店投遞外還有別的下載方式

01e501ca1f1ad5201466277afeae8f93e738de3e

上述URL目前已經無法訪問，但是基於歷史的資料我們發現在請求域名（deputadojoaodaniel.com.br）後跳轉到cdn.discordapp.com託管的連結上

08413e828defc9f619ab9bc4d1f28987a99dc801

查看兩個域名歷史的html頁面發現均為wordpress網站，這就意味著UTG-Q-003極有可能入侵了wordpress的網站並將其作為跳板，用於存放payload和實現網頁重定向。這種攻擊手法對於俄語系的團伙非常常見。

268f42c2d776befd838c3b8021fd902db41ece66

在十月份時我們檢測到在訪問analiticaderetail.com時直接跳轉到了browserneedupdate.com頁面，經過我們的分析，這是攻擊者另一套攻擊鏈，基於chrome瀏覽器訊息推送機制的社工攻擊鏈，攻擊流程如下：

cb09b4cdb3d984ae66d2249792cba189eb02b034

攻擊者製作了一個較為逼真的cloudflare DDOS防護頁面，並提示你該域名正在處於DDOS攻擊中，接著彈出一個仿冒人機驗證的框誘導受害者進行點選，

cb23266b28cafa5cea9468b26c5d0336423feadd

點選後會新啟動一個頁面並跳轉到brolink2s.site域並載入一個JS，JS主要功能彈出顯示通知並且誘導受害者點選允許按鈕。

387ffbbdb316ee02bfbfdb94959ac3bdfdf0c714

受害者一旦點選允許，那麼該網站就會加入chrome的訊息推送列表，並且通知推送適用於任何平臺（MAC、windows、Android）。

4ce63f431c5b82e2d906b440b15e51f11c296c22

即使受害者的瀏覽器處於關閉狀態，攻擊者依然可以通過windows通知推送相關連結，推送效果圖如下：

0303d0f63e10a833d7d1ff4559426e7da2795091

我們統計從十月至今一共有十個域名重定向到browserneedupdate.com,域名類型也都為電影資源網、軟體開發等，這就意味著攻擊者完全可以在攻擊的第一階段只投遞帶有誘導受害者開啟訊息通知連結的釣魚郵件，並且通過入侵合法網站設置跳轉的方式繞過郵件網關檢測，第二階段攻擊者根據目標主機的平臺可以推送定製化的釣魚連結，誘導受害者下載並運行誘餌檔案，這種社工方式的可信度要比釣魚郵件提示使用者軟體更新要高很多，並且非常隱蔽。

Domain

analiticaderetail.com

creatologics.com

www.50kmovie.com

linta.software

captionhost.net

www.bcca.kr

opwer.top

fms.net.br

leanbiome-leanbioome.com

zuripvp.tk

creatologics.com

除此之外，UTG-Q-003還投遞過如下類型的安裝包，仍然是基於JPHP框架的下載者。

5ee5e593c3d2acbabe8f07f047bb3bea7c875420

歸因和影響

基於奇安信威脅情報中心遙測資料，從8月份開始，從微軟應用商店下載該安裝包的數量明顯增多，我們認為可能與winrar漏洞有關，在CVE-2023-38831的EXP公佈後四五天就有東亞地區的APT組織對中國發起釣魚攻擊活動，各單位可能要求員工更換壓縮軟體，外加國內搜尋引擎已經被SEO黑產團伙搞得烏煙瘴氣，根本無法找到7zip官方下載網站，所以部分使用者只能去微軟應用商店去下載7zip從而導致中招。