APT-C-56(透明部落)伪装印度国防部邮件攻击的跟踪简报

admin 2022年6月21日21:17:57安全新闻评论11 views1644字阅读5分28秒阅读模式
APT-C-56
  透明部落

APT-C-5透明部落(Transparent Tribe)别名APT36、ProjectM、C-Major,是一个具有南亚背景的APT组织,其长期针对周边国家和地区(特别是印度)的政治、军事进行定向攻击活动,其开发有自己的专属木马CrimsonRAT,还曾被发现广泛传播USB蠕虫。一直针对印度的政府、公共部门、各行各业包括但不限于医疗、电力、金融、制造业等进行攻击和信息窥探。

日,360高级威胁研究院在日常情报挖掘中发现并捕获到了透明部落攻击印度国防部的文档,恶意文档最终释放CrimsonRAT。之前透明部落就曾经试图攻击印度国防部,此次捕获的文档与之前的攻击文档从内容到流程基本相同,最后释放的还是上次的攻击RAT,仅文档发生了一点变化,暂时尚不能确定是否仅是测试文档,还是上次攻击未被发现披露的IOC。


透明部落近期最新攻击分析

 

恶意文档


恶意文档标题伪装成数据表格,诱使目标打开。


APT-C-56(透明部落)伪装印度国防部邮件攻击的跟踪简报

文档内部包含宏代码,一旦用户疏忽点击了启动宏功能,内部隐藏的恶意宏代码自动运行。

APT-C-56(透明部落)伪装印度国防部邮件攻击的跟踪简报

文档内容伪装成印度国防部的国防保卫部与秘书处(LS)发出的邮件内容,生成电子邮件更换并需要转发。可以确定该文档是针对印度国防部的攻击文档:

APT-C-56(透明部落)伪装印度国防部邮件攻击的跟踪简报

内部的宏代码如下:

首先在用户环境下创建TDlawis目录;

APT-C-56(透明部落)伪装印度国防部邮件攻击的跟踪简报

判断操作系统系统号分别对应释放不同的二进制PE文件;

APT-C-56(透明部落)伪装印度国防部邮件攻击的跟踪简报

随后将窗体内隐藏的数据释放到该目录下omthrpa压缩包;

APT-C-56(透明部落)伪装印度国防部邮件攻击的跟踪简报

然后对数据进行解密;

APT-C-56(透明部落)伪装印度国防部邮件攻击的跟踪简报

APT-C-56(透明部落)伪装印度国防部邮件攻击的跟踪简报

程序会通过二进制流的方式写入zip文件,随后将zip包进行解压。最后在路径下出现RAT并启动。


RAT


释放的RAT后门是透明部落一直维护和使用的CrimsonRAT。Crimson RAT在2016年被首次披露,是一种基于.NET编写的专有RAT,是该组织进行网络间谍活动的首选恶意软件并沿用至今,支持加载键盘记录器,USB蠕虫等可扩展模块。
Crimson还有Server组件,主要用于管理受感染机器,服务器组件有两个不同的版本,分别在 2017 年、2018 年和 2019 年编译,至少到2020年两个版本的同时被编译和维护。

最后创建进程启动RAT:

APT-C-56(透明部落)伪装印度国防部邮件攻击的跟踪简报

APT-C-56(透明部落)伪装印度国防部邮件攻击的跟踪简报


控制码与命令如下:

指令

控制码

枚举进程

getavs

上传gif

thumb

枚举进程

procl

设置自启动

putsrt

下载文件

dowf

设置截屏

scrsz

获取文件属性

filsz

查看截图

cdcrgn


cscrgn

 

csdcrgn

停止截屏

stops

桌面截图

scren

获取磁盘信息

dirs

参数初始化

cnls

删除文件

delt

获取文件信息

afile

删除用户

udlt

搜索文件

listf

获取用户信息

info

执行文件

runf

移动文件

file


总结

印巴冲突因为边境、文化、种族、历史等原因一直存在,地缘冲突导致的印度相互攻击。巴基斯坦的透明部落始终对印度的政治、军事行动频频。

特定组织针对特定国家的攻击行动不止局限于政治、军事,各国的经济活动也被囊括其中,我们提醒广大用户、单位应该提升安全防护意识,增强安全基础设施建设,加大安全投入力度,才能更好的防范网络安全攻击。


附录 IOC


167.114.138[.]12

fa6a95df0af45ff6601696678af711b6

aac869f05f219ae6508ad279a97120d1

8a1f4a512fe9edbcc62ba4b1c3e08f0a

22b61967e1f0143efefbcb0e7eb4082e

56bf2ee1f2a39ceb4332e41c51099d8f








360高级威胁研究院

360高级威胁研究院是360政企安全集团的核心能力支持部门,由360资深安全专家组成,专注于高级威胁的发现、防御、处置和研究,曾在全球范围内率先捕获双杀、双星、噩梦公式等多起业界知名的0day在野攻击,独家披露多个国家级APT组织的高级行动,赢得业内外的广泛认可,为360保障国家网络安全提供有力支撑。

原文始发于微信公众号(360威胁情报中心):APT-C-56(透明部落)伪装印度国防部邮件攻击的跟踪简报

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年6月21日21:17:57
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  APT-C-56(透明部落)伪装印度国防部邮件攻击的跟踪简报 http://cn-sec.com/archives/1132494.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: