效仿 APT36 最近针对印度教育部门的活动

2023 年 4 月，SentinelLabs报告称正在跟踪一组专门攻击印度教育部门的恶意文档。这些恶意文档旨在暂存 CrimsonRAT，这是一种远程访问特洛伊木马 (RAT)，至少自 2016 年以来，巴基斯坦的对手 APT36（也称为透明部落）就开始传播该木马。这个出于政治动机的对手自 2013 年以来一直活跃，此前的活动曾在 2022 年底被 AttackIQ模仿过。

研究人员已确定，这一事件与该组织先前记录的针对印度次大陆教育部门的行动有关。据评估，对手的目标是跟踪敌对国家的研究工作，强调这项活动在实现 APT36 所代表的当局的目标和利益方面所发挥的重要作用。

AttackIQ 发布了一个新的攻击图，旨在模仿出于政治动机的巴基斯坦对手 APT36 最近针对印度次大陆教育部门的目标所领导的活动。

针对这些行为验证安全程序的性能对于降低风险至关重要。通过在 AttackIQ 安全优化平台中使用这个新的攻击图，安全团队将能够：

• 针对高度复杂、长期存在的对手，评估安全控制的性能。

• 根据 APT36 在多个事件中成功采用的策略、技术和程序 (TTP) 评估他们的安全态势。

• 持续验证针对高度确定且出于政治动机的威胁的检测和预防渠道。

APT36 – 2022-08 – CrimsonRAT 针对印度教育行业的攻击

• 入口工具传输 ( T1105 )：此场景在两个单独的场景中下载到内存并保存到磁盘，以测试网络和端点控制及其防止传递已知恶意内容的能力。
• 命令和脚本解释器 ( T1059 )： CrimsonRAT 使用“set”命令来获取当前环境变量的列表。
• 查询注册表（T1012）：HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun查询注册表项以检查该值是否存在Kosovo。
• 登录自动启动执行：注册表运行键 ( T1547.001 )：此方案设置HKLMSoftwareMicrosoftWindowsCurrentVersionRunWindows 用于识别系统启动时应运行哪些应用程序的注册表键。

• Windows Management Instrumentation ( T1047 )：此方案使用wmic命令来收集硬件信息，例如 CPU 和主板属性。

• 系统信息发现 ( T1082 )：systeminfo执行本机命令以检索所有 Windows 系统信息。
• 系统所有者/用户发现（T1033）：通过运行来whoami获取users有关当前可用帐户和权限组的详细信息。
• 系统网络配置发现 ( T1016 )：ipconfig使用标准 Windows 实用程序（如、arp、route和 ）收集资产的网络配置nltest。
• 文件和目录发现 ( T1083 )：此场景使用本机dir命令查找感兴趣的文件并将其输出到临时文件。
• 进程发现（T1057）： Windows的内置tasklist命令作为命令进程执行，并将结果保存到临时位置的文件中。
• 外围设备发现 ( T1120 )：此场景通过执行命令和二进制文件检索有关系统外围设备（例如逻辑驱动器、物理内存、网卡）的信息。
• 安全软件发现 ( T1518.001 )：执行 PowerShell 脚本以确定哪些软件已作为AntiVirusProduct类安装。

• 来自可移动介质的数据 ( T1025 )：本机实用程序fsutil用于识别连接到主机的任何其他硬盘。然后使用 PowerShell 迭代每个可移动媒体设备并收集文件列表。
• 操作系统凭证转储 ( T1003 )：此场景使用开源工具LaZagne转储主机上所有可能的可用凭证。
• 电子邮件收集 ( T1114.001 )：.pst此方案将递归查找.ost用户配置文件目录下的文件（Outlook 使用的电子邮件文件）。
• 屏幕捕获 ( T1113 )：此方案执行 PowerShell 脚本，该脚本利用命名空间Graphics.CopyFromScreen中的方法从System.Drawing受感染的系统收集屏幕截图。
• 输入捕获：键盘记录 ( T1056.001 )：执行键盘记录器，挂钩 API 回调以收集登录用户键入的击键。
• 通过 C2 通道进行渗透 ( T1041 )：使用请求将文件发送到 AttackIQ 控制的服务器HTTP POST。

Process Name == reg.exeCommand Line Contains (“ADD” AND “CurrentVersionRun”

MITRE ATT&CK 有以下缓解建议：

• M1057 – 数据丢失防护

  https://attack.mitre.org/mitigations/M1057/

• M1031 – 网络入侵防御

  https://attack.mitre.org/mitigations/M1031/

结束语

总之，此攻击图将帮助组织评估安全和事件响应流程，并支持改进安全控制态势，以应对高产且复杂的网络犯罪分子。通过持续测试和使用这些攻击图生成的数据，您的团队可以集中精力实现关键安全成果，调整安全控制，并努力提高整体安全计划针对已知危险威胁的有效性。

AttackIQ 随时准备帮助安全团队实施此攻击图和 AttackIQ 安全优化平台的其他方面，包括通过我们的完全托管服务AttackIQ Ready！，以及我们共同管理的安全服务AttackIQ Enterprise。