TransparentTribe针对阿富汗监狱管理局的鱼叉式钓鱼邮件攻击

绿盟科技伏影实验室依托全球威胁狩猎系统发现APT组织TransparentTribe针对阿富汗监狱管理局的鱼叉式钓鱼邮件攻击活动。

本次活动中TransparentTribe组织利用邮件投递名称为“opa.zip”的压缩文件，文件名称指向阿富汗监狱管理局（opa.gov.af）。该压缩文件解压后，是包含多个图片，PDF文件，Excel文档等文件组成的诱饵文件集。恶意文件被压缩隐藏在其中一个文档中，运行后会执行嵌入的VBA脚本，以提取文件中的恶意程序并运行。

本次攻击中使用的最终载荷为CrimsonRAT远程控制程序，是TransparentTribe攻击组织的常用木马。该RAT具备收集系统信息、下载运行文件、窃取敏感信息等功能。具有极大的危害性。

TransparentTribe 组织中文名为：透明部落，又称ProjectM、APT36，是一个来自巴基斯坦的APT攻击组织，主要针对印度、哈萨克斯坦、及阿富汗等国进行攻击。

该组织的主要目标是：

• 国防

• 军事

• 大使馆

• 政府

在本次事件里，TransparentTribe 组织所发送的钓鱼邮件附件是一个名为 opa.zip 的压缩文件（其中 “opa” 是阿富汗监狱管理局的缩写）。将该压缩文件解压后，会发现其中包含大量的诱饵文件，这些文件主要以图片、PDF 以及 Excel 文档的形式呈现。

近期，该组织在构建诱饵内容时，更倾向于选用政府部门发布的官方文档，并且所采用的内容针对性极强。在本次事件中，攻击者所使用的诱饵依旧符合该组织构建诱饵文件的一贯习惯。

这些诱饵内容大多是与阿富汗监狱管理局相关人员的照片以及文档。

图 3.1 邮件附件中的文件

图 3.2 攻击者使用的诱饵文件

初始攻击载荷为xlam文件。当用户点击该文件，执行后运行VBA脚本，加载后续攻击载荷，运行伪造的诱饵文件。

诱饵文件中仅有红色的“file opening error!!! Remved this file open another file”（文件打开错误！！！请移除此文件并打开另一个文件）的字符串信息。原文中的“Remved”可能是拼写错误，应为“Remove”（移除）。因为该文件同路径下有很多安全且显示内容正常的Excel文档，因此增强了用户对该文件的信任，同时又诱使用户删除该恶意文档，以掩盖攻击痕迹。

图 3.3 攻击者使用的诱饵文件

攻击者以名为164f7996b586499ba1ebdb8e10f5581e012025.xlam的Excel加载宏文件作为初始攻击载体。当用户启用该文档的宏功能后，系统将触发预设的攻击链执行流程。

1. 执行文件中的恶意VBA脚本，功能是在用户目录创建动态文件夹（如C:Users用户名Exl-30，30为当前秒数）。

2. 将当前工作簿复制为docs.zip解压ZIP文件到目标目录。

3. 检测系统中是否存在指定的 .NET Framework 3.5 目录，判断.NET Framework的版本。

4. 选择加载不同.NET版本的恶意程序。（xlembeddings路径下oleObject1.bin解压后为两个版本的程序）当系统中有.NET Framework 3.5目录则修改oleObject1.bin文件名为jivarthr edis.exe，修改后执行jivarthr edis.exe，该文件为最终载荷CrimsonRAT。

5. 将xlembeddingsoleObject3.bin的扩展名改为.xlsx并运行，作为诱饵文件混淆被攻击者视线。

图 4.1 xlam文件执行恶意VBA脚本

1. 此次攻击者会依据系统中 .NET Framework 的版本来选择执行不同的程序。

具体而言，攻击者会先判断系统中 .NET Framework 的版本，然后据此选择执行对应版本编译的最终载荷。这样做的目的在于确保恶意程序能够在目标系统上正常运行，避免因缺少必要依赖而导致攻击失败。

攻击脚本会借助 Environ$("systemroot") 语句来获取系统根目录（一般情况下为 C:Windows），随后检查 C:WindowsMicrosoft.NETFrameworkv3.5 目录是否存在。若该目录不存在，攻击脚本会将 file_num 设置为 2，以此表明系统未安装 .NET Framework 3.5。

图 4.2 检测系统.NET库版本

2.攻击者随机生成文件存储路径下的文件夹名称。

存储路径是用户目录下的Exl-加当前秒数的文件夹。比如，Environ$("USERPROFILE")会得到类似C:Users用户名，然后加上Exl-38这样的目录，其中38是当前秒数。用来生成文件夹名称，避免重复的同时隐藏自身，防止被静态检测到恶意路径。

图 4.3 根据时间随机生成的文件夹

CrimsonRAT 作为 TransparentTribe 组织频繁使用的远程访问木马（RAT），主要发挥收集系统信息、截取屏幕画面、获取进程与驱动器信息的作用。此外，它还具备下载并运行文件的功能，能够窃取各类敏感数据。

本次攻击中攻击者使用的CrimsonRAT 版本号：

图 5.1 CrimsonRAT 版本号

运行程序之后，程序会尝试连接至 C2。倘若连接失败，则会按照顺序依次连接端口表中的各个端口。一旦连接成功，服务器便会自动下发指令，用于获取受感染主机的相关信息以及 RAT 版本信息，以此来获取本机的基础信息，其中涵盖计算机名称、计算机用户名称、编号、执行文件所在位置等内容。

随后，程序会对所接收到的功能指令加以修改，具体是在字符串的第三个位置插入字符 “6”，最后完成数据内容的替换。

图 5.2 接收并解析数据运行相应功能

表 5.1 指令功能表

伏影实验室在本次APT事件中发现以下归因项：

• 攻击者使用的恶意样本为CrimsonRAT，该样本是TransparentTribe常使用的木马之一；

• 本次事件中攻击者使用的攻击流程与VBA脚本符合TransparentTribe近期攻击链特征与编码习惯；

• 本次事件的攻击目标为阿富汗，符合TransparentTribe的常见攻击目标；

因此，伏影实验室将本次攻击事件的攻击者归因为TransparentTribe 组织。