从宏到有效负载：解密响尾蛇网络入侵策略

执行摘要

在 CYFIRMA，我们的使命是为您提供有关网络安全威胁动态格局的最新见解，解决影响组织和个人的风险。该报告详细介绍了一种复杂的网络威胁，涉及带有嵌入式宏的恶意 Word 文件，该文件打开后会提示受害者启用宏。一旦激活，该宏就会启动一系列操作，包括创建和部署 VB 脚本、BAT 脚本以及将 conhost.zip 提取到受害者的计算机上。此过程最终会安装最终负载 Nim 后门。该后门的主要目标是与对手的命令和控制 (C2) 服务器建立连接，从而促进未经授权的访问。该恶意文档以及作为其最终有效负载的 Nim 后门均归属于 Sidewinder 组织（也称为 Rattlesnake、BabyElephant、APT Q4、APT Q39、Hardcore Nationalist、HN2、RAZOR Tiger 和 GroupA21）。根据现有信息，响尾蛇族群被认为起源于南亚。该组织的活动可以追溯到 2012 年。该组织通常将攻击重点放在南亚各国的政府和军事实体上。

介绍

本报告深入研究了最近一次涉及配备嵌入式宏的恶意 Word 文档的活动，揭示了 Sidewinder 组织精心策划的复杂网络威胁，该威胁可能针对尼泊尔政府官员。该威胁始于发送恶意 Word 文档的潜在鱼叉式网络钓鱼电子邮件。下载并打开文档后，嵌入的宏就会执行，操纵受害者启用宏。这会触发一系列复杂的事件，涉及各种脚本的创建和执行以及持久性机制的建立。分析揭示了旨在隐藏活动、建立持久性和执行恶意负载的多阶段攻击。

通过对嵌入式宏的仔细分析，该报告揭示了攻击链的错综复杂，揭示了VB脚本、BAT脚本的创建和部署，以及隐藏负载conhost.exe的提取，与Nim表现出相似之处后门。主要有效负载 Conhost.exe 充当未经授权访问的网关，连接到对手的命令和控制 (C2) 服务器。作为 Sidewinder 组织更广泛战略的一部分，该活动涉及部署反向 shell，从而为其恶意操作增加了一层复杂性。

在本报告中，我们深入探讨了攻击的技术方面，阐明了恶意软件每个组件的功能。我们的目标是让网络安全专业人士、组织和个人全面了解威胁形势，使他们能够增强防御能力并主动减轻 Sidewinder 组织等复杂威胁行为者带来的风险。

关键点

• 分析高度复杂的网络威胁，涉及可能针对尼泊尔政府官员的嵌入宏的恶意 Word 文档。
• 该威胁（包括 Nim 后门负载）与 Sidewinder 组织有关，表明其起源于南亚，恶意活动的历史可以追溯到 2012 年。
• 由恶意 Word 文档发起的攻击链的详细分解，强调受害者操纵以启用宏。该序列包括 VB 脚本、BAT 脚本的部署以及最终有效负载的提取。
• 最终的有效负载 Nim 后门 (conhost.exe) 作为未经授权访问的网关，可以连接到对手的命令和控制 (C2) 服务器。
• 该恶意软件的功能突出了其通过识别分析工具进行检测和退出来阻碍动态分析，展示了威胁行为者采用的主动防御机制。
• 这些重要发现对网络威胁提出了细致入微的视角，从其起源和策略到对网络安全防御的潜在影响。

ETLM 归因

复杂的 Sidewinder APT 组织所呈现的威胁态势凸显了一个技术精湛且顽固的对手，在本例中，该对手精心策划了针对尼泊尔政府的有针对性的活动。虽然他们的关注点超出了尼泊尔，涵盖了多个南亚政府实体，但最近的袭击展示了一种特别复杂的策略。研究人员最近发现了针对不丹的类似攻击。

该组织的作案手法包括部署诱饵恶意文件，巧妙地伪装成来自尼泊尔总理办公室的通信。这种欺骗性策略强调了威胁的高级性质，采用了一系列技术，包括电子邮件鱼叉式网络钓鱼和利用文档中的恶意宏。这种情况的紧迫性需要相关利益攸关方的迅速关注和协调行动。

根据 OSINT 调查，主要负载 conhost.exe（Nim 后门）中硬编码的所有 URL 均解析为 IP 地址“213[.]109[.]192[.]93”。

• http[:]//mail[.]mofa[.]govnp[.]org/mail/AFA/
• http[:]//nitc[.]govnp[.]org/mail/AFA/
• http[:]//dns[.]govnp[.]org/mail/AFA/
• http[:]//mx1[.]NEPAI[.]govnp[.]org/mail/AFA/

在意大利的 BlueVPS 上托管 C2 服务器的 IP，其 ASN 号为：AS62005。

服务器是Apache和Metasploit，运行在端口3790上，用于开放远程连接。

可疑的 Sidewinder APT 组织据信起源于南亚，历史上曾针对亚洲各地的政府、军事、教育、医疗保健、ISP 和电信等多个部门进行过活动。他们以响尾蛇、铁杆民族主义者、HN2、APT Q4、RAZOR Tiger、APT Q39、BabyElephant 和 GroupA21 等各种别名而闻名，他们持续不断且不断发展的策略对区域网络安全构成了巨大风险。本报告提供的全面分析旨在提高对 Sidewinder APT 组织精心策划的多方面和动态网络威胁的认识和准备。

分析：

基本细节：

MD5：E5859B366B93B05414E1E95D65CE7414
SHA256：7459a6106d3562d72c7a4fee62d106064a3ed5b48e16474da2b448aeacc2a333
文件类型：Office Open XML 文档（Microsoft Word 文档）

潜在的鱼叉式网络钓鱼电子邮件会传递恶意文档。打开此文档后，就会触发并执行嵌入的恶意宏。当文档提示他们启用编辑时，就会发生对受害者的操纵，如下所示：

样本中发现的欺骗性内容似乎与尼泊尔政府有关，这可能表明目标是尼泊尔政府官员。

经调查，确定该文档包含嵌入的宏。随后，提取宏以进行进一步分析。该宏似乎是多阶段攻击的一部分，旨在建立持久性、隐藏其活动并执行恶意负载。
Document_Open 子例程在打开文档时执行。当受害者打开文档时，它会自动调用四个函数（sch_task、hide_cons、read_shell、vb_chain），负责恶意行为的不同方面。
sch_task 函数执行多个操作；它设置环境变量和路径，在启动文件夹 (C:UsersUserNameAppDataRoamingMicrosoftWindowsStart MenuProgramsStartup) 中创建 VBScript 文件 (OCu3HBg7gyI9aUaB.vbs) 以实现持久性。

首先，该函数利用 GetObject 方法创建 WScript.Shell 对象，这是恶意软件中执行命令的常用技术。它动态检索 AppData、LocalAppData 和 Temp 等系统环境变量来构造文件路径。随后，在用户的启动目录中生成 VBScript 文件 (OCu3HBg7gyI9aUaB.vbs)，以促进持久性并确保在后续系统重新启动时执行。该脚本引入了故意的延迟，例如 WScript.Sleep 300000，这是一种逃避立即检测和分析的策略。

以下是“OCu3HBg7gyI9aUaB.vbs”文件的代码片段，该文件是由“sch_task”函数创建的：

该脚本引入了睡眠延迟，可能会避免立即检测。它通过 ping Google 来检查互联网连接。根据结果，它要么将对象设置为 Nothing 并运行批处理文件 (81Ghf8kIPIuu3cM.bat)，要么在另一个睡眠延迟后直接运行批处理文件。

随后执行编码批处理文件 (8lGghf8kIPIuu3cM.bat) 进一步例证了用于隐藏脚本真实意图的混淆技术。以下是“8lGghf8kIPIuu3cM.bat”文件的代码片段。

批处理脚本 (8lGghf8kIPIuu3cM.bat) 执行多项操作，包括提取和执行 VBScript 文件、创建计划任务和自删除文件。批处理脚本正在协调 VBScript 文件（unzFile.vbs、skriven.vbs）和其他批处理文件（2L7uuZQboJBhTERK.bat、2BYretPBD4iSQKYS.bat、d.bat、e.bat）的执行。它设置一个每分钟运行 conhost.exe 的计划任务 (ConsoleHostManager)。完成任务后，它会尝试通过删除创建的文件进行清理。

Read_shell 函数从 UserForm 文本框中读取字节，拆分它们，并将它们写入用户本地应用程序数据文件夹 (C:UsersUserNameAppDataLocalMicrosoft) 中的二进制文件 (conhost.zip)。

它旨在从用户界面组件 (UserForm1) 获取二进制数据，并将其写入本地应用程序数据目录内 Microsoft 文件夹中名为“conhost.zip”的二进制文件。

hide_cons 函数在本地应用程序数据文件夹 (C:UsersdilpreetAppDataLocal) 中创建 VBScript 文件 (skriven.vbs)。hide_cons 函数似乎正在创建一个 VBScript 文件 (skriven.vbs)，该文件在执行时会隐藏控制台窗口 (cmd.exe)。

以下是“skriven.vbs”文件的代码片段：

该代码配置为隐藏执行程序的窗口，并且脚本不会等待命令完成就继续。此机制的目的可能是谨慎地运行命令，而不显示命令提示符或任何关联的窗口。执行的特定命令由作为命令行参数传递的值 (WScript.Arguments(0)) 确定。该脚本将命令作为参数，并使用 Windows 脚本宿主 Shell 对象运行它，同时隐藏执行程序的窗口。
宏中的另一个函数 vb_chain 负责编排一系列操作，包括创建和执行多个脚本以及调度任务。在恶意文档的上下文中，此功能的目的是建立一系列事件，其中可能包括在受感染的系统上下载、提取、执行文件和调度任务。
该函数初始化对象和变量，包括 Windows 脚本宿主 Shell 对象 (objShell)、FileSystemObject (objFSO) 和各种文件路径。它创建多个文件（unzFile.vbs、2L7uuZQboJBhTERK.bat 等），并在每个文件中写入特定内容。创建的批处理文件（2L7uuZQboJBhTERK.bat、2BYretPBD4iSQKYS.bat 等）使用 wscript.exe 执行。它使用 schtasks 安排一个新任务，在一分钟后执行 conhost.exe（从 cohost.zip 文件中提取）。

unzFile.vbs VBScript 文件负责将 conhost.zip 的内容提取到指定文件夹。目的是解压缩 conhost.zip 的内容并使其可用于进一步操作。

2L7uuZQboJBhTERK.bat 批处理文件使用 wscript.exe 执行 unzFile.vbs，然后以 2BYretPBD4iSQKYS.bat 作为参数执行 skriven.vbs。目的是启动解压缩过程并随后执行另一个脚本 (skriven.vbs)。

2BYretPBD4iSQKYS.bat 批处理文件执行 unz.vbs，然后以 d.bat 作为参数执行 skriven.vbs。D.bat批处理文件创建一个计划任务（ConsoleHostManager）在一分钟后执行conhost.exe。然后，它以 e.bat 作为参数执行 skriven.vbs。E.bat 批处理文件用于清理目的。它会删除不必要的文件（unzFile.vbs、2L7uuZQboJBhTERK.bat、2BYretPBD4iSQKYS.bat、d.bat 和 e.bat 本身）。最后一行使用参数执行主 VBScript (skriven.vbs)，启动执行链。

宏代码展示了先进的规避技术，利用 VBScript、批处理文件和计划任务来实现其目标。混淆和多阶段执行的使用使得分析和检测变得具有挑战性。总体意图似乎是建立持久性、隐藏恶意活动并在受害者的系统上执行潜在有害的有效负载。

当受害者打开恶意Word文件时，系统会敦促受害者启用宏，从而触发VB脚本、BAT脚本的创建和部署以及conhost.zip的提取。这会导致安装 conhost.exe，镜像 Nim 后门特征。Conhost.exe 旨在连接到对手的 C2 服务器以进行未经授权的访问。

以下是与“conhost.exe”文件相关的详细信息，该文件是 Nim 后门，为威胁行为者提供未经授权的访问。
MD5：777fcc34fef4a16b2276e420c5fb3a73
SHA256：696f57d0987b2edefcadecd0eca524cca3be9ce64a54994be13eab7bc71b1a83

该样本文件是 64 位 PE 可执行文件，编译时间为 9 月 23 日，该时间是最近的，表明该活动自 9 月以来一直在运行，因为同一时期还检测到了其他文件样本。

根据 OSINT 调查，提到的反向外壳样本用于向威胁行为者提供访问权限。恶意行为者经常利用反向 shell 作为非法获取对受感染系统的控制权的策略。反向 shell 有助于从受害者的计算机到攻击者控制下的外部服务器的连接。这会建立一个后门入口，使恶意行为者能够执行命令、传输文件，并可能在不直接接触受感染系统的情况下执行其他攻击。
该 trojan.khalesi 系列由阻碍动态分析的恶意软件组成。该软件检查动态分析工具的环境，如果发现它们与我们在示例中注意到的行为相同，则退出。该恶意二进制文件可检测各种监控、恶意软件分析、网络监控、调试器和其他分析工具，包括 processhacker.exe、procmon.exe、pestudio.exe、procmon64.exe、x32dbg.exe、x64dbg.exe、CFF Explorer.exe、procexp64 .exe、procexp.exe、pslist.exe、tcpview.exe、tcpvcon.exe、dbgview.exe、RAMMap.exe、RAMMap64.exe、vmmap.exe、ollydbg.exe、agent.py、autoruns.exe、autorunsc.exe 、 filemon.exe、regmon.exe、idaq.exe、idaq64.exe、ImmunityDebugger.exe、Wireshark.exe、dumpcap.exe、HookExplorer.exe、ImportREC.exe、PETools.exe、LordPE.exe、SysInspector.exe、proc_analyzer .exe、sysAnalyzer.exe、sniff_hit.exe、windbg.exe、joeboxcontrol.exe、joeboxserver.exe、ResourceHacker.exe、Fiddler.exe、httpdebugger.exe 如下所示。

下面是二进制对应的进程树。命令“C:Windowssystem32cmd.exe /c tasklist.exe”表示正在使用Windows命令提示符（cmd.exe）定期执行tasklist.exe命令。cmd.exe 中的 /c 开关用于执行指定的命令，然后终止。这里，调用命令提示符来运行tasklist.exe命令，该命令列出了系统上所有正在运行的进程。此命令的总体目的可能是检索有关系统上当前正在运行的进程的信息并用于系统监视或信息收集过程。

该二进制文件有几个硬编码的 URL，可能是替代的 C&C 服务器 URL。以下是网址：

• http[:]//mail[.]mofa[.]govnp[.]org/mail/AFA/
• http[:]//nitc[.]govnp[.]org/mail/AFA/
• http[:]//dns[.]govnp[.]org/mail/AFA/
• http[:]//mx1[.]Nepai[.]govnp[.]org/mail/AFA/

结论

对 Sidewinder 组织精心策划的复杂网络威胁的详细分析强调了网络威胁不断变化的性质。通过恶意 Word 文档发起的多阶段攻击链揭示了先进规避技术和受害者操纵的战略结合。Sidewinder 组织的归属可以追溯到 2012 年，强调了该威胁行为者持续不断且不断发展的本质。

Nim 后门的部署清楚地提醒我们威胁形势的复杂性。最终的有效负载充当未经授权的访问网关，连接到对手的命令和控制（C2）服务器。该报告揭示了威胁行为者的主动防御措施，在识别各种分析工具后检测并退出恶意软件。这表明我们精心策划了阻止动态分析并维持威胁有效性的努力。

这项全面的分析旨在为网络安全专业人士、组织和个人提供所需的见解，以增强他们对不断发展和复杂的网络威胁的防御能力。网络威胁的动态格局需要采取积极主动、知情的网络安全方法，本报告为此提供了宝贵的情报。

国际奥委会名单

MITRE ATT&CK TTP

原文地址：
https://www.cyfirma.com/outofband/from-macro-to-payload-decrypting-the-sidewinder-cyber-intrusion-tactics/