APT-C-56 透明部落(Transparent Tribe)别名APT36、ProjectM、C-Major,是一个具有南亚背景的APT组织,其长期针对周边国家和地区(特别是印度)的政治、军事进行定向攻击活动,其开发有自己的专属木马CrimsonRAT,还曾被发现广泛传播USB蠕虫。其一直针对印度的政府、公共部门、各行各业包括但不限于医疗、电力、金融、制造业等进行攻击和信息窥探。
近日,360高级威胁研究院在日常情报挖掘中发现并捕获到了透明部落攻击印度国防部的文档,恶意文档最终释放CrimsonRAT。之前透明部落就曾经试图攻击印度国防部,此次捕获的文档与之前的攻击文档从内容到流程基本相同,最后释放的还是上次的攻击RAT,仅文档发生了一点变化,暂时尚不能确定是否仅是测试文档,还是上次攻击未被发现披露的IOC。
透明部落近期最新攻击分析
恶意文档
恶意文档标题伪装成数据表格,诱使目标打开。
文档内部包含宏代码,一旦用户疏忽点击了启动宏功能,内部隐藏的恶意宏代码自动运行。
文档内容伪装成印度国防部的国防保卫部与秘书处(LS)发出的邮件内容,生成电子邮件更换并需要转发。可以确定该文档是针对印度国防部的攻击文档:
内部的宏代码如下:
首先在用户环境下创建TDlawis目录;
判断操作系统系统号分别对应释放不同的二进制PE文件;
随后将窗体内隐藏的数据释放到该目录下omthrpa压缩包;
然后对数据进行解密;
程序会通过二进制流的方式写入zip文件,随后将zip包进行解压。最后在路径下出现RAT并启动。
RAT
最后创建进程启动RAT:
控制码与命令如下:
|
指令 |
控制码 |
|
枚举进程 |
getavs |
|
上传gif |
thumb |
|
枚举进程 |
procl |
|
设置自启动 |
putsrt |
|
下载文件 |
dowf |
|
设置截屏 |
scrsz |
|
获取文件属性 |
filsz |
|
查看截图 |
cdcrgn |
|
cscrgn |
|
|
csdcrgn |
|
|
停止截屏 |
stops |
|
桌面截图 |
scren |
|
获取磁盘信息 |
dirs |
|
参数初始化 |
cnls |
|
删除文件 |
delt |
|
获取文件信息 |
afile |
|
删除用户 |
udlt |
|
搜索文件 |
listf |
|
获取用户信息 |
info |
|
执行文件 |
runf |
|
移动文件 |
file |
印巴冲突因为边境、文化、种族、历史等原因一直存在,地缘冲突导致的印度相互攻击。巴基斯坦的透明部落始终对印度的政治、军事行动频频。
167.114.138[.]12
fa6a95df0af45ff6601696678af711b6
aac869f05f219ae6508ad279a97120d1
8a1f4a512fe9edbcc62ba4b1c3e08f0a
22b61967e1f0143efefbcb0e7eb4082e
56bf2ee1f2a39ceb4332e41c51099d8f
360高级威胁研究院
原文始发于微信公众号(360威胁情报中心):APT-C-56(透明部落)伪装印度国防部邮件攻击的跟踪简报
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论