LuminousMoth样本分析报告

  • A+
所属分类:安全闲碎

前言

2021年7月,卡巴斯基发现一种针对东南亚的攻击活动,被称作LuminoutMoth。该活动至少可以追溯到2020年10月,早期的攻击大多在缅甸但现在主要在菲律宾,目前发现缅甸共有100多名受害者,菲律宾有1,400名受害者,其中一些受害者是政府实体。

源头

APT组织向受害者发送包含Dropbox下载链接的钓鱼邮件,通过将file_subpath参数设置为指向带有.DOCX后缀的文件名,该链接指向一个伪装成Word文档的RAR压缩包。

hxxps://www.dropbox[.]com/s/esh1ywo9irbexvd/COVID-19%20Case%2012-11-2020.rar?dl=0&file_subpath=%2FCOVID-19+Case+12-11-2020%2FCOVID-19+Case+12-11-2020(2).docx

压缩包中包含两个恶意DLL和两个加载DLL的合法可执行程序。

第一阶段

RAR中两个恶意DLL分别名为wwlib.dllversion.dll,两个合法的可执行程序分别为winword.exeigfxem.exe,分别加载恶意的DLL。winword.exeMicrosoft Word的主程序,而igfxem.exe是intel核心显卡的驱动程序软件。

version.dll

文件名 version.dll
MD5 0f8b7a64336b4315cc0a2e6171ab027e
SHA1 2d0296ac56db3298163bf3f6b622fdc319a9be23
SHA256 59b8167afba63b9b4fa4369e6664f274c4e2760a4e2ae4ee12d43c07c9655e0f
编译时间 2020-12-24 15:20:16
文件类型 Win32 DLL

version.dll在DLLMain中提供三种参数情况,第一种是无参数,第二种参数为system,第三种参数为assist

无参数时

首先通过检测父进程是否为explorer.exe来检测是否被调试。

LuminousMoth样本分析报告

创建文件夹c:\users\public\Documents\Shared Virtual Machines\,并设置为系统隐藏文件夹。

LuminousMoth样本分析报告

之后将四个目标文件复制到信创建的文件夹。

LuminousMoth样本分析报告

创建igfxEM.exe进程,并传参assist

LuminousMoth样本分析报告

传参assist

首先创建一个名为nfvlqfnlqwnlf

LuminousMoth样本分析报告

启动WINWORD.EXE

LuminousMoth样本分析报告

将igfxEM.exe写入到开机自启。

LuminousMoth样本分析报告

LuminousMoth样本分析报告

LuminousMoth样本分析报告

启动新线程sub_10013E3,并创建新进程调用system参数。

LuminousMoth样本分析报告

遍历除C盘下根目录所有文件。

LuminousMoth样本分析报告

在当前目录下创建udisk.log并写入。

LuminousMoth样本分析报告

LuminousMoth样本分析报告

参数为system

新建一个事件qjlfqwle21ljl

LuminousMoth样本分析报告

寻找除C盘外的其他盘符

LuminousMoth样本分析报告

在其他盘符下创建一个隐藏文件夹

LuminousMoth样本分析报告

igfxEM.exe复制到目录下重命名为USB Driver.exe

LuminousMoth样本分析报告

移动用户的所有文件到该隐藏目录

LuminousMoth样本分析报告

第二阶段

wwlib.dll

文件名 wwlib.dll
MD5 4fbc4835746a9c64f8d697659bfe8554
SHA1 b43d7317d3144c760d82c4c7506eba1143821ac1
SHA256 95bcc8c3d9d23289b4ff284cb685b741fe92949be35c69c1faa3a3846f1ab947
编译时间 2020-12-24 16:25:39
文件类型 Win32 DLL
pdb C:UsersUSERDesktop白加黑1.35M WinWord - 副本libhwcodecReleasewwlib.pdb

创建互斥体防止运行多次

LuminousMoth样本分析报告

之后与103.15.28[.]195通信,可以看到这部分为Cobalt Strike的特征,与C2通信并下载新的载荷,创建新线程。

LuminousMoth样本分析报告

分析时该C2已经关闭服务,猜测后续可能是使用Cobalt Strike进行远控。

IOCs

IP

103.15.28[.]195

MD5

4fbc4835746a9c64f8d697659bfe8554

0f8b7a64336b4315cc0a2e6171ab027e

ref

  • https://securelist.com/apt-luminousmoth/103332/

end


招新小广告

ChaMd5 Venom 招收大佬入圈

新成立组IOT+工控+样本分析 长期招新

欢迎联系[email protected]



LuminousMoth样本分析报告

本文始发于微信公众号(ChaMd5安全团队):LuminousMoth样本分析报告

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: