在2020年起,我们发现南亚地区中新的境外APT组织活动,最早活跃可追溯到2020年1月,至今还很活跃。该APT组织的攻击活动主要针对巴基斯坦、孟加拉等国家的国家机构、军工、科研、国防等重要领域进行攻击。与南亚地区中活跃的蔓灵花、响尾蛇等APT组织暂无关联,属于新的攻击组织。
该APT组织通过鱼叉邮件配合社会工程学手段进行渗透,向目标设备传播恶意程序,暗中控制目标设备,持续窃取设备上的敏感文件。由于其使用的C2、载荷下发、窃取的数据存储等均依赖于云服务,且使用的木马为python语言编写,所以我们将其命名为腾云蛇,编号为APT-C-61。
腾云蛇组织使用的攻击活动流程如下:
![腾云蛇组织(APT-C-61)针对南亚地区的攻击活动披露]( "腾云蛇组织(APT-C-61)针对南亚地区的攻击活动披露")
鱼叉邮件往往是攻击者通过社会工程学手段叩响目标门扉的第一步。通过精心编制的邮件,诱导受害者下载并打开附件文件,从而为后续的攻击活动创造机会。我们捕获到腾云蛇组织使用的多个鱼叉邮件,邮件内容如下:
![腾云蛇组织(APT-C-61)针对南亚地区的攻击活动披露]( "腾云蛇组织(APT-C-61)针对南亚地区的攻击活动披露")
附件中包含的是一个pdf文件,以及一个带有DDE漏洞的文档文件。
![腾云蛇组织(APT-C-61)针对南亚地区的攻击活动披露]( "腾云蛇组织(APT-C-61)针对南亚地区的攻击活动披露")
在投递的文档打开后,会请求更新引用域,用以执行对应的恶意代码
![腾云蛇组织(APT-C-61)针对南亚地区的攻击活动披露]( "腾云蛇组织(APT-C-61)针对南亚地区的攻击活动披露")
![腾云蛇组织(APT-C-61)针对南亚地区的攻击活动披露]( "腾云蛇组织(APT-C-61)针对南亚地区的攻击活动披露")
执行域代码后,会启动powershell下载多个脚本到本地执行。脚本的功能主要有以下三种:
![腾云蛇组织(APT-C-61)针对南亚地区的攻击活动披露]( "腾云蛇组织(APT-C-61)针对南亚地区的攻击活动披露")
![腾云蛇组织(APT-C-61)针对南亚地区的攻击活动披露]( "腾云蛇组织(APT-C-61)针对南亚地区的攻击活动披露")
![腾云蛇组织(APT-C-61)针对南亚地区的攻击活动披露]( "腾云蛇组织(APT-C-61)针对南亚地区的攻击活动披露")
其中腾云蛇组织下发的恶意程序数据会使用以下两种方式进行加密。
![腾云蛇组织(APT-C-61)针对南亚地区的攻击活动披露]( "腾云蛇组织(APT-C-61)针对南亚地区的攻击活动披露")
![腾云蛇组织(APT-C-61)针对南亚地区的攻击活动披露]( "腾云蛇组织(APT-C-61)针对南亚地区的攻击活动披露")
恶意样本为pyinstaller封装的python脚本。在恶意程序中,使用在pythonanywhere.com搭建的网站作为交互的服务器。交互的数据格式如下:
![腾云蛇组织(APT-C-61)针对南亚地区的攻击活动披露]( "腾云蛇组织(APT-C-61)针对南亚地区的攻击活动披露")
除了上述提到的RAT以外,我们观测到腾云蛇组织还会下发7za.exe、rclone等白文件来配合完成数据窃取。
Rclone是一个开源、多线程、命令行界面的计算机程序,可用于管理云存储。其功能包括档案同步、文件传输、加密、缓存和挂载。Rclone共支持包括Amazon S3和Google 云端硬盘在内40种以上的云存储服务
![腾云蛇组织(APT-C-61)针对南亚地区的攻击活动披露]( "腾云蛇组织(APT-C-61)针对南亚地区的攻击活动披露")
腾云蛇组织通过7za.exe对将文档文件压缩后,使用rclone.exe文件上传至谷歌云盘中,从而规避上传文件时的恶意流量检测。
我们获取了部分攻击者用于记录攻击中使用的脚本指令文件。从文件的修改时间可以看出,该组织的攻击活动可以追溯至2020年初,甚至更早。
![腾云蛇组织(APT-C-61)针对南亚地区的攻击活动披露]( "腾云蛇组织(APT-C-61)针对南亚地区的攻击活动披露")
上图中的docx的文件名以设备的计算机名命名,里面记录了在对应设备上执行的脚本指令内容。
![腾云蛇组织(APT-C-61)针对南亚地区的攻击活动披露]( "腾云蛇组织(APT-C-61)针对南亚地区的攻击活动披露")
从脚本中使用的上传路径,我们发现腾云蛇组织在谷歌云硬盘中存储的路径主要有四个,如下:
其中880、BD为孟加拉国的国家区号以及缩写,结合攻击目标,我们推测这两个文件夹主要用于存储孟加拉上传的文件数据。
![腾云蛇组织(APT-C-61)针对南亚地区的攻击活动披露]( "腾云蛇组织(APT-C-61)针对南亚地区的攻击活动披露")
而92为巴基斯坦的国家区号,我们推测92和TBP则为存储巴基斯坦上传的文件数据。
![腾云蛇组织(APT-C-61)针对南亚地区的攻击活动披露]( "腾云蛇组织(APT-C-61)针对南亚地区的攻击活动披露")
通过对攻击者下发攻击指令的时间进行统计分析,可以得到攻击者大致的活跃时间如下:
![腾云蛇组织(APT-C-61)针对南亚地区的攻击活动披露]( "腾云蛇组织(APT-C-61)针对南亚地区的攻击活动披露")
![腾云蛇组织(APT-C-61)针对南亚地区的攻击活动披露]( "腾云蛇组织(APT-C-61)针对南亚地区的攻击活动披露")
根据上述的统计信息我们推算腾云蛇组织使用的时区应在(UTC+6.0)附近,结合其攻击对象的地理位置和政治因素,我们认为该组织可能和南亚地区的国家存在一定关联关系。
在对腾云蛇组织进行溯源以及归属判断时,我们发现其虽然与南亚地区APT组织存在一定的关联关系,如与肚脑虫、蔓灵花等组织存在同样的攻击目标,但在攻击手法,基础设施等方向与其他南亚地区APT组织存在较大的差距。
基础设施方向,该组织惯用的基础设施大多依赖于第三方服务平台注册,如herokuapp.com,pythonanywhere.com,谷歌云硬盘等。其中虽然肚脑虫同样会使用谷歌云硬盘,但肚脑虫主要采用的是通过云硬盘下发服务器配置信息,而非上传文件数据。
在样本侧,除了使用的rat与目前南亚地区的APT组织的已知样本存在较大差别外,该组织倾向于使用rclone.exe,7za.exe等白样本来完成文件数据窃取的攻击手法目前也暂未在其他南亚地区APT组织发现。
sysupdate.pythonanywhere.com
e0231be9e17dec8d66ad50b96172153f
b30cb1cfda5d401cb5352ced708c2ffd
78f2f7f31c7a12841695d09217138d0d
512dc6478daa978b8cc1fd8886e48fcd
9353dd2652a12f4c8b5333d11552d13d
360高级威胁研究院是360政企安全集团的核心能力支持部门,由360资深安全专家组成,专注于高级威胁的发现、防御、处置和研究,曾在全球范围内率先捕获双杀、双星、噩梦公式等多起业界知名的0day在野攻击,独家披露多个国家级APT组织的高级行动,赢得业内外的广泛认可,为360保障国家网络安全提供有力支撑。
本文始发于微信公众号(360威胁情报中心):腾云蛇组织(APT-C-61)针对南亚地区的攻击活动披露
评论