疑似APT-C-23(双尾蝎)组织伪装Threema通讯软件攻击分析

admin 2022年7月6日19:09:01评论149 views字数 2763阅读9分12秒阅读模式
APT-C-23
  双尾蝎

APT-C-23(双尾蝎)又被称为AridViper 、Micropsia、FrozenCell、Desert Falcon,攻击范围主要为中东地区相关国家的教育机构、军事机构等重要领域,巴勒斯坦教育机构、军事机构等重要领域,以窃取敏感信息为主的网络攻击组织。具备针对Windows与Android双平台的攻击能力。从2016年 5月对巴勒斯坦教育机构、军事机构等重要领域展开了有组织、有计划、有针对性的长时间不间断攻击。

攻击平台主要包括Windows与Android,Android端后门程序功能主要包括定位、短信拦截、电话录音等,并且还会收集文档、图片、联系人、短信等情报信息,PC 端后门程序功能包括收集用户信息上传到指定服务器、远程下载文件以及远控,后门程序主要伪装成文档、播放器、聊天软件以及一些特定领域常用软件,通过鱼叉或水坑等攻击方式配合社会工程学手段进行渗透,向特定目标人群进行攻击。

以前的双尾蝎样本大多采用VC 版本、Delphi 版本,很少见到使用公开商业RAT组件进行攻击,此次的样本可能是该组织进攻方式的演变,也可能是双尾蝎组织内部出现了新的分支成员所采用的攻击手法。

我们最早通过一个名为“تسريب-اجتماع-القائد-محمد-دحلان-و-المخابرات-المصريه.pdf(Mohammed Dahlan 指挥官和埃及情报会议 (MoM) 泄漏.pdf)”的文档,Mohammed Dahlan是巴勒斯坦政治家,曾担任巴勒斯坦权力机构在加沙的预防性安全部队的负责人。文档内容如下图所示:

疑似APT-C-23(双尾蝎)组织伪装Threema通讯软件攻击分析

通过文档我们关联到了双尾蝎与之前攻击不太相同的活动,此次攻击行动直接把商业RAT伪装成Threema诱使用户点击打开,Threema是瑞士开发的一款付费的开源端到端加密即时通讯应用程序。


1.伪装Threema通讯软件


1.1 伪装Threema图


疑似APT-C-23(双尾蝎)组织伪装Threema通讯软件攻击分析

1.2 Dropper


疑似APT-C-23(双尾蝎)组织伪装Threema通讯软件攻击分析

自身是一个drooper程序,内部隐藏加密后的PE数据,首先创建互斥体。

疑似APT-C-23(双尾蝎)组织伪装Threema通讯软件攻击分析

疑似APT-C-23(双尾蝎)组织伪装Threema通讯软件攻击分析

通过解密并加载程序集,运行第二层加载器。

疑似APT-C-23(双尾蝎)组织伪装Threema通讯软件攻击分析


1.3 Loader

    
    第二层加载器Coronavirus通过线程注入技术,启动最后的攻击组件

疑似APT-C-23(双尾蝎)组织伪装Threema通讯软件攻击分析

1.4 后门组件


最终加载执行的是后门程序QusarRAT,该后门程序被高度混淆。Quasar是使用C#编写远程管理工具,由于其开源,功能丰富的特性,经常被黑客用于各种网络攻击活动,主要功能如下

疑似APT-C-23(双尾蝎)组织伪装Threema通讯软件攻击分析

      • 获取目标计算机系统信息

      • 屏幕截图

      • 浏览器数据

      • 键盘记录

      • 植入其他攻击组件


2.伪装成windows的server.exe程序


2.1加载器


样本首先提取资源中的数据,异或解密并解压缩。

疑似APT-C-23(双尾蝎)组织伪装Threema通讯软件攻击分析

将程序自身拷贝到进程中,并将新的程序集netmodule模块加载到自身进程,附到PE文件后面。

疑似APT-C-23(双尾蝎)组织伪装Threema通讯软件攻击分析


2.2 后门组件


新加载的netmodule模块为njRAT

主要功能如下:

        • 监控屏幕

        • 键盘记录

        • 窃取浏览器中保存的密码

        • 文件管理

        • 进程管理

        • 开启摄像头

    代码片段:

疑似APT-C-23(双尾蝎)组织伪装Threema通讯软件攻击分析


3.关联疑似早期程序


3.1加载器


进一步我们关联到一个可能是双尾蝎组织比较早期的样本,当恶意样本运行会弹出提示:“由agile net保护器的试用版本加密,无法在其他机器上运行。”

疑似APT-C-23(双尾蝎)组织伪装Threema通讯软件攻击分析

样本也会从资源里面解密后续的payload

疑似APT-C-23(双尾蝎)组织伪装Threema通讯软件攻击分析

3.2 后门组件


最终同样调用njrat

疑似APT-C-23(双尾蝎)组织伪装Threema通讯软件攻击分析

疑似APT-C-23(双尾蝎)组织伪装Threema通讯软件攻击分析


4.其他伪装文件


4.1伪装Microsoft、Chrome_Update.exe的njRAT


疑似APT-C-23(双尾蝎)组织伪装Threema通讯软件攻击分析

4.2伪装word的RemcosRAT


疑似APT-C-23(双尾蝎)组织伪装Threema通讯软件攻击分析

疑似APT-C-23(双尾蝎)组织伪装Threema通讯软件攻击分析


5. 脚本文件分析


houdiniRAT


溯源中我们还发现了houdinirat的脚本木马,这在apt-c-23的以往攻击中从来没有见过。

Houdini RAT由个人编写,国外安全厂商认为作者来自阿尔及利亚,并且通过共享代码库发现该RAT与njw0rm和njRAT / LV的作者njq8有联系,曾被用于针对国际能源行业的针对性攻击其主要功能如下:

  • 执行指定命令

  • 更改恶意软件配置。例如,动态DNS名称

  • 从系统中删除恶意软件并清除所有快捷方式.lnk

  • 上传文件

  • 将网站上托管的文件复制到受害者

  • 下载文件

  • 枚举磁盘信息

  • 枚举所有文件和目录

  • 枚举进程

  • cmd命令

  • 删除指定文件或目录

  • 关闭指定进程

  • 休眠

代码片段如下图所示:


疑似APT-C-23(双尾蝎)组织伪装Threema通讯软件攻击分析


总结

中东地区局势动荡复杂,黑天鹅事件频发,双尾蝎APT组织在去年多次以巴勒斯坦选举热点信息为诱饵的进行攻击活动

伪装常用软件麻痹用户是APT攻击重要手段,大多数用户安全意识不强,很容易被伪装的软件所迷惑,在毫无防范的情况下被攻陷,进而泄漏机密文件、重要情报


附录 IOC

fe95d8a44e6047359782847c3852e303
d5e862732624ba62916b191e839f9cd9
67e49231a7da6e0665d2b6510f7932f8
c6d5e25aa91f25c481af0c9fd14a99d3
bff7e965b4df2317299dc06da7e5e992
b5222c8908c26e4edbf2dc9543fb968e
b37ecb0832f911267ee48a8751a61943
8e934709cfbe794c08869c96f592e821
8e13021933bd83808b3653340163f757
7ea19d7ecc2a208821d6f65cfbea61a3
7e0430ef032fef57fb55dd805853a35b
64b85ebef0e4f2ada394feb8fde7be16
5f9e3b3b5311b0dc6ff6360a39338ebe
5cccc98aab2c1ed93dc7f8dc97c4736c
54c3c7d76cdbf1dc7afa5dd52dbcd734
433036440887de33d9881e4addfe9129
343ddc013ab5eedf64ecec12e0538e44
24609655b2ed01ce4c6a7c6f86b1ae94
17f66a30b20cde794a8c658cc57d8c4d
14c9d9e1c3f8fdb224f8877313958af5
0f36cf7ad5a8244e5f200d766c85dec7
rootx.ddns.net:1993
213.244.123.150







360高级威胁研究院

360高级威胁研究院是360政企安全集团的核心能力支持部门,由360资深安全专家组成,专注于高级威胁的发现、防御、处置和研究,曾在全球范围内率先捕获双杀、双星、噩梦公式等多起业界知名的0day在野攻击,独家披露多个国家级APT组织的高级行动,赢得业内外的广泛认可,为360保障国家网络安全提供有力支撑

原文始发于微信公众号(360威胁情报中心):疑似APT-C-23(双尾蝎)组织伪装Threema通讯软件攻击分析

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年7月6日19:09:01
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   疑似APT-C-23(双尾蝎)组织伪装Threema通讯软件攻击分析http://cn-sec.com/archives/1162316.html

发表评论

匿名网友 填写信息