APT追踪:Transparent Tribe恶意组织演变分析(下)

  • A+
所属分类:逆向工程

APT追踪:Transparent Tribe恶意组织演变分析(下)

APT追踪:Transparent Tribe恶意组织演变分析(上)

APT追踪:Transparent Tribe恶意组织演变分析(下)
一、背景和主要发现

Transparent Tribe(又称为PROJECTM和MYTHIC LEOPARD),是一个高产出的恶意组织,其活动最早可以追溯到2013年。在过去的四年之中,这个APT组织从未休息。他们持续对目标进行攻击,通常是针对印度军方和政府人员。

本系列文章共分为两篇,这是第二篇,继续分享我们对Transparent Tribe恶意组织的调查结果。在上篇文章中,我们分析了各种Crimson RAT组件,并描述了受影响的客户。下面是本文的一些主要发现:

1、我们发现了Transparent Tribe使用的一种新型Android植入工具,用于在移动设备上进行监控。它伪装成色情应用程序或COVID-19追踪应用程序,在印度地区发布。

2、新的证据表明ObliqueRAT与Transparent Tribe之间存在联系。

APT追踪:Transparent Tribe恶意组织演变分析(下)
二、Android植入工具

在我们的分析过程中,发现了一个值得关注的样本,该样本符合前面所描述的攻击模式。攻击过程从一个简单的文档开始,这个文档并不是恶意文档,也不包含任何宏,不会尝试下载其他恶意组件。但是,该文档运用社会工程学技巧,诱导受害者从外部站点下载另一个文档。外部站点地址是:

hxxp://sharingmymedia[.]com/files/Criteria-of-Army-Officers.doc

hxxp://sharingmymedia[.]com/files/7All-Selected-list.xls

15DA10765B7BECFCCA3325A91D90DB37 – Special Benefits.docx:

APT追踪:Transparent Tribe恶意组织演变分析(下)

下载的远程文档是包含嵌入式恶意VBA的两个Microsoft Office文档,其恶意行为与上一篇文章描述的类似,会投放简版Crimson客户端。域名sharingmymedia[.]com就更加值得关注了,它解析到89.45.67[.]160这个地址,该网站是在2020年1月10日在Namesilo进行注册的。

注册者姓名:bluff hunnter

街道:India Dehli

城市:Dehli

州/省:Delhi

邮政编码:110001

国家:IN

电话:+91.4214521212

邮箱:[email protected]

另一个域名sharemydrives[.]com也使用了相同的信息进行注册,该域名是在2020年1月3日在Namesilo注册的。DNS解析指向相同的IP地址:89.45.67[.]160。

使用卡巴斯基威胁情报门户,我们查询到下述相关URL。

卡巴斯基威胁情报门户查询到的信息:

APT追踪:Transparent Tribe恶意组织演变分析(下)

该文件是MxVideoPlayer的修改版本,MxVideoPlayer是一个适用于Android的简单开源视频播放器,可以从GitHub下载。Transparent Tribe利用这个合法软件投放并执行Android RAT。

Desi-porn.apk截图:

APT追踪:Transparent Tribe恶意组织演变分析(下)

投放工具尝试在系统上查找以下合法软件包:

· 0imo.android.imoim

· snapchat.android

· viber.voip

· facebook.lite

如果发现是小米设备,还会检查com.truecaller软件包是否存在。

用于检查是否安装了合法软件包的代码:

APT追踪:Transparent Tribe恶意组织演变分析(下)

如果发现列表中有未安装的应用程序,则会选择第一个作为目标应用程序。在恶意软件中,嵌入了多个APK文件,这些文件存储在名为“assets”的目录下。我们分析的样本中包含以下软件包:

· apk a20fc273a49c3b882845ac8d6cc5beac

· apk 53cd72147b0ef6bf6e64d266bf3ccafe

· apk bae69f2ce9f002a11238dcf29101c14f

· apk b8006e986453a6f25fd94db6b7114ac2

· apk 4556ccecbf24b2e3e07d3856f42c7072

· apk 6c3308cd8a060327d841626a677a0549

将所选的APK复制到/.System/APK/。默认情况下,应用程序尝试将文件保存到外部存储,如果不存在,则保存到data目录。

最后,应用程序尝试安装复制的APK。最终的恶意软件是AhMyth Android RAT的修改版本,软件可以从GitHub下载。攻击者将恶意Payload绑定到其他合法应用程序中。

原始的AhMyth RAT支持以下命令:

命令:x0000ca

附带字段:

extra = camlist(获取摄像头列表)

extra = 1(从ID为1的摄像头获取照片)

extra = 0(从ID为0的摄像头获取照片)

命令:x0000fm

附带字段:

extra = ls; path = %dirpath%(获取path变量中定义路径的文件列表)

extra = ls; path = %dirpath%(将特定文件上传到C2)

命令:x0000sm

附带字段:

extra = ls(获取短信息列表)

extra = sendSMS; to = %number%; sms = %message%(向另一个号码发送新的消息)

命令:x0000cl(获取通话记录)

命令:x0000cn(获取通讯录)

命令:x0000mc

附带字段:

sec = %seconds%(使用麦克风录制seconds变量中定义的秒数的音频并上传至C2)

命令:x0000lm(获取设备位置)

基本上,恶意软件具有以下功能:

1、摄像头管理(列出设备并窃取屏幕截图);

2、文件管理(列举文件并将其上传到C2);

3、短信管理(获取短信列表或发送短信);

4、获取通话记录;

5、获取通讯录;

6、麦克风管理;

7、位置管理(追踪设备位置)。

我们分析的RAT与原始的RAT略有不同。其中包括攻击者添加的、用于窃取数据的新功能,同时删减了一些原来的功能,比如从相机中窃取图片。

攻击者添加了以下命令:

x000upd – 从“path”字段中指定的URL下载新的APK。

x000adm – 自动下载工具,在我们分析的版本中不包含此功能,但在其他样本中可用。

此外,攻击者还改进了其音频监听的功能,增加了删除包含特定内容的文本消息的命令。

命令:x000upd

附加字段:

path = %url%(从path变量中指定的URL下载一个新的APK文件)

命令:x000adm(在我们分析的样本中没有实现这一命令,其他样本使用该命令启动一个名为“autodownloader”的类)

命令:x0000mc

附加字段:

extra = au; sec = %seconds%(录制音频x秒钟,然后将结果上传至C2,持续时间在sec变量中指定)

extra = mu(停止录音,将录制内容上传到C2)

extra = muS(开始连续录音,录音文件以MP3格式存储在/.System/Records/目录下)

命令:x0000fm

附加字段:

extra = ls; path = %dirpath%(获取path变量中定义的目录下的文件列表)

extra = dl; path = %filepath%(上传特定文件到hxxp://212.8.240[.]221:80/server/upload.php)

命令:sms

附加字段:

extra = ls(获取短信息列表)

extra = sendSMS; to = %number%; sms = %message%(给特定号码%number%发送新消息%message%)

extra = deleteSMS; to = ; sms = %message%(删除包含%message%内容的短信息,其中to的值被忽略)

命令:x0000cl(获取通话记录)

命令:x0000cn(获取通讯录)

命令:x0000lm(获取设备位置)

其中,“autodownloader”是用于执行以下操作的方法:

1、上传联系人列表;

2、上传短信列表;

3、上传存储在以下目录中的文件:

/.System/Records/

/Download/

/DCIM/Camera/

/Documents/

/WhatsApp/Media/WhatsApp Images/

/WhatsApp/Media/WhatsApp Documents/

攻击者使用上述方法自动收集联系人和短信。此外,该方法还会收集以下内容:

使用“x0000mc”命令创建并存储在/.System/Records/中的音频文件;

通过WhatsApp共享的下载文件、照片、图像、文档;

设备上存储的其他文档。

原始的AhMyth和Transparent Tribe修改版本之间的另一个区别是获取C2地址的方法。原始版本将C2服务器存储为直接嵌入代码的字符串,而修改后的版本则使用不同的方法。它嵌入了另一个以Base64编码的URL,该URL用于获取配置文件,在配置文件中包含真实的C2地址。

在我们的示例中,URL如下:

hxxp://tryanotherhorse[.]com/config.txt

其中包含如下内容;

212.8.240.221:5987

http://www.tryanotherhorse.com

第一行是实际的C2,似乎是一个在荷兰托管的服务器。

修改后的版本通过不同的URL方案进行通信,其中还包括更多信息:

原始URL格式:http://%server%:%port?model=%val%&manf=%val%&release=%val%&id=%val%

修改版URL格式:http://%server%:%port?mac=%val%&battery=%val%&model=%val%&manf=%val%&release=%val%&id=%val%

APT追踪:Transparent Tribe恶意组织演变分析(下)
三、COVID-19追踪应用程序

我们发现证据表明,Transparent Tribe还利用疫情追踪应用程序分发木马。我们找到了一个仿冒Aarogya Setu的APK文件,而Aarogya Setu是印度政府电子和信息技术部下属的国家信息中心开发的COVID-19追踪移动应用程序,允许用户查看印度基本卫生服务信息。

我们发现的应用程序尝试连接到相同的恶意URL以获取C2 IP地址:

hxxp://tryanotherhorse[.]com/config.txt

它使用与前面所述相同的URL方案,并嵌入以下APK软件包:

apk CF71BA878434605A3506203829C63B9D

apk 627AA2F8A8FC2787B783E64C8C57B0ED

apk 62FAD3AC69DB0E8E541EFA2F479618CE

apk A912E5967261656457FD076986BB327C

apk 3EB36A9853C9C68524DBE8C44734EC35

apk 931435CB8A5B2542F8E5F29FD369E010

值得关注的是,在4月底,印度军队发出警告,声称巴基斯坦相关机构设计了类似于Aarogya Setu的恶意应用程序以入侵印度军方人员的手机。

据一些印度新闻网站称,这些应用程序是由巴基斯坦情报人员发送到印度军方人员所在的WhatsApp群组的。文章还提到,这些应用程序后续安装了其他软件包:

· face.apk

· imo.apk

· normal.apk

· trueC.apk

· snap.apk

· viber.apk

基于公开信息,我们认为攻击者可能通过WhatsApp、短信息、网络钓鱼电子邮件或社交媒体的方式发送恶意链接,从而传播恶意应用程序。

APT追踪:Transparent Tribe恶意组织演变分析(下)
四、ObliqueRAT的关联分析

ObliqueRAT是另一个恶意程序,Cisco Talos曾在2月发表一篇文章对其进行分析。之所以将该恶意程序归因于Transparent Tribe,是因为其中某些样本是通过恶意文档分发的,这些文档使用了用于分发Crimson RAT的恶意宏。

在Talos的分析文章中,描述了两个ObliqueRAT变种,一种通过恶意文档作为感染媒介进行分发,另一种名为“Variant # 0”,通过Dropper进行分发。

4a25e48b8cf515f4cdd6711a69ccc875429dcc32007adb133fb25d63e53e2ac6

遗憾的是,根据Talos,该Dropper目前的初始感染方式暂时未知。

到现在,我们还没有完整的感染链,但是我们可以从另一个角度去分析,因为sharemydrives[.]com还托管了另一个文件。

卡巴斯基威胁情报门户中的信息:

APT追踪:Transparent Tribe恶意组织演变分析(下)

wifeexchange.exe样本是另一个Dropper,它伪装成色情视频。

该可执行文件使用与Windows多媒体文件相同的图标。

Dropper图标:

APT追踪:Transparent Tribe恶意组织演变分析(下)

执行后,该进程将尝试在文件映像中查找特定的标记(“*#@”),然后投放并打开以下文件:

· frame.exe – 4a25e48b8cf515f4cdd6711a69ccc875429dcc32007adb133fb25d63e53e2ac6

· movie.mp4

Frame.exe是Talos分析的Dropper,而movie.mp4是一个较小的色情视频片段。

APT追踪:Transparent Tribe恶意组织演变分析(下)
五、总结

Transparent Tribe成员正在尝试添加新工具以扩展其恶意活动并感染更多的移动设备。他们还开发了新的自定义.NET工具,例如ObliqueRAT。正如在上篇报告中所描述的,该恶意组织不太会放慢速度,我们也将继续监测他们的活动。

APT追踪:Transparent Tribe恶意组织演变分析(下)
六、威胁指标

下面的威胁指标是不完整的。如果你想了解有关APT的更多信息以及完整的威胁指标列表,可以选择成为卡巴斯基威胁情报报告的客户。

15DA10765B7BECFCCA3325A91D90DB37 – Special Benefits.docx

48476DA4403243B342A166D8A6BE7A3F – 7All_Selected_list.xls

B3F8EEE133AE385D9C7655AAE033CA3E – Criteria of Army Officers.doc

D7D6889BFA96724F7B3F951BC06E8C02 – wifeexchange.exe

0294F46D0E8CB5377F97B49EA3593C25 – Android Dropper – Desi-porn.apk

5F563A38E3B98A7BC6C65555D0AD5CFD – Android Dropper – Aarogya Setu.apk

A20FC273A49C3B882845AC8D6CC5BEAC – Android RAT – face.apk

53CD72147B0EF6BF6E64D266BF3CCAFE – Android RAT – imo.apk

BAE69F2CE9F002A11238DCF29101C14F – Android RAT – normal.apk

B8006E986453A6F25FD94DB6B7114AC2 – Android RAT – snap.apk

4556CCECBF24B2E3E07D3856F42C7072 – Android RAT – trueC.apk

6C3308CD8A060327D841626A677A0549 – Android RAT – viber.apk

CF71BA878434605A3506203829C63B9D – Android RAT – face.apk

627AA2F8A8FC2787B783E64C8C57B0ED – Android RAT – imo.apk

62FAD3AC69DB0E8E541EFA2F479618CE – Android RAT – normal.apk

A912E5967261656457FD076986BB327C – Android RAT – snap.apk

3EB36A9853C9C68524DBE8C44734EC35 – Android RAT – trueC.apk

931435CB8A5B2542F8E5F29FD369E010 – Android RAT – viber.apk

hxxp://sharingmymedia[.]com/files/Criteria-of-Army-Officers.doc

hxxp://sharingmymedia[.]com/files/7All-Selected-list.xls

hxxp://sharemydrives[.]com/files/Laptop/wifeexchange.exe

hxxp://sharemydrives[.]com/files/Mobile/Desi-Porn.apk

hxxp://tryanotherhorse[.]com/config.txt – APK URL

212.8.240[.]221:5987 – Android RAT C2

hxxp://212.8.240[.]221:80/server/upload.php – Android RAT用于上传文件的URL

参考及来源:https://securelist.com/transparent-tribe-part-2/98233/

APT追踪:Transparent Tribe恶意组织演变分析(下)

APT追踪:Transparent Tribe恶意组织演变分析(下)

本文始发于微信公众号(嘶吼专业版):APT追踪:Transparent Tribe恶意组织演变分析(下)

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: