【APT分析】疑似Confucius APT组织组件CuoliVXaRAT分析

背景：Confucius组织，被疑似为南亚大陆印度政府背景支持的APT组织，该组织长期对南亚多国及我国相关政府、航天工业、船舶工业、海运等行业进行网络间谍窃密活动。本次分析组件疑似为该组织在2020年相关攻击活动中使用到的远控组件，目前似乎该组件并没有确切的名称，结合其目录等相关信息，将其命名为CuoliVXaRAT。

golang编写程序，通过redress简单的查看该病毒的源码结构，其源码结构如下图，可以简单分析出该病毒并非规范化产生的攻击样本，样本功能较少，拥有截屏以及键盘记录器的功能，如下所示：

该组件第一步尝试连接C2“213.252.245.191:8080”地址，如下所示：

尝试创建目录“ProgramDataCuoliVXa”，如下所示：

创建文件

“ProgramDataCuoliVXaWindowAssistance.exe”，如下所示：

创建脚本文件“ProgramDataCuoliVXareg.bat”，如下所示：

reg.bat脚本内容为将

“ProgramDataCuoliVXaWindowAssistance.exe”添加到注册表自启动项，如下所示：

执行该reg.bat脚本，如下所示：

判断是否驻留成功，并且base64编码对应的返回结果“[*] Persistence Enabled!”或者“[!] Persistence Failed!”，如下所示：

接着尝试检测“WindowAssistance.exe”，然后弹出对话框用于打消目标的疑心，如下所示：

对话框内容，如下所示：

开始接收C2传递命令，其C2传输数据使用base64进行了编码，如下所示：

该组件拥有多个功能，包括但不限于命令执行、文件下载、文件上传、屏幕截图、键盘记录等，如下所示：

另外通过对C2的关联，我们发现在VT上存在少许可疑URL，其传递参数通过base64编码，如下所示：

解码发现疑似国内某船舶工业行业公司相关人员中招，本次样本在2020年3月左右在野外发现，所以可以判断该次事件发生在2020年初，如下所示：

通过简单的文件目录搜索，我们可以关联出2019年12月相关样本，该样本通过分析确认与本次分析的相同功能文件，如下所示：

通过分析关联出的样本C2“185.25.51.6”，我们可以看到在2019年12月末到2020年初，该组织对我国航天行业发起了相关攻击行动，如下所示：

该邮箱关联信息，如下所示：

HASH

eef2e2146a102e10297a91d28408cac3

abff0cbde485d3176ea93a0c42ed41be

C&C

213.252.245.191

185.25.51.6

字符串

dir:

ProgramDataCuoliVXa

path:

ProgramDataCuoliVXaWindowAssistance.exe

dir:

ProgramDatams_package

path:

ProgramDatams_package.zip

Yara规则

参考链接：

https://ti.qianxin.com/blog/articles/Operation-Angi:Ghostly-war-elephants-roaming-the-Himalayas/

https://www.hybrid-analysis.com/sample/dd6e5dcb62d43c7c1b100fdef2655ec5c2ab16080cb97d35936977b2642cd4f0/5cfa4e86028838f01d05aab4

最近几年黑客组织利用各种不同类型的恶意软件进行的网络犯罪活动越来越多，这些恶意软件包含勒索病毒、APT远控后门、银行木马、僵尸网络、加载器等，企业的数据一直是企业的核心资产，保护企业的数据安全任重道远。

安全分析与研究，专注于全球恶意软件的分析与研究，追踪全球黑客组织攻击活动，欢迎大家关注，获取全球最新的黑客组织攻击事件威胁情报。