“透明部落”近期利用印度国防部会议记录为诱饵的攻击活动分析

  • A+
所属分类:安全新闻

概述

Transparent Tribe(“透明部落”)组织为Proofpoint于2016年2月披露并命名的组织,也称为C-Major、PrijectM,是一个具有南亚背景的APT组织。该组织的主要攻击目标为印度政府、军队或相关组织,其利用社会工程学进行鱼叉攻击,向目标投递带有VBA的doc、xls文档,执行诱饵文档中的宏代码释放执行CrimsonRAT、PeppyRAT,窃取相关敏感资料信息。

近日,奇安信威胁情报中心红雨滴在日常的威胁狩猎发现,Transparent Tribe针对南亚地区的攻击活动近期主要以国防部会议、军事材料等为主题。根据红雨滴研究人员跟踪分析,此次的攻击活动有如下特点:

  • 在此次攻击活动中,攻击者利用此前披露的透明部落组织类似攻击手法,即通过带恶意宏的文档最终释放CrimsonRAT执行。

  • 未发现影响国内,基于奇安信威胁情报中心的威胁情报数据的全线产品,包括威胁情报平台(TIP)、天眼高级威胁检测系统、NGSOC、奇安信态势感知等,都已经支持对此APT攻击团伙攻击活动的精准检测。


样本分析

01 基本信息
样本1:以印度国防部会议记录信息为诱饵的恶意PPT

文件名

Minutes of Meeting.ppt

MD5

70ab4a9161f0835574449c7fd3788b37

文件格式

Microsoft Office PowerPoint 

C2

167.160.166.80

“透明部落”近期利用印度国防部会议记录为诱饵的攻击活动分析

样本2:

文件名

i.docm

MD5

4a7ff92e0ea13b41a5e3410c3becfb2e

文件格式

Word  Microsoft Office

C2

198.23.210.211

“透明部落”近期利用印度国防部会议记录为诱饵的攻击活动分析


样本3:以教师求职简历为诱饵的恶意文档

文件名

-

MD5

7f1f7c5c4b6b486e5ba9340944036285

文件格式

Microsoft Office Publisher Document

C2

66.154.112.206

“透明部落”近期利用印度国防部会议记录为诱饵的攻击活动分析


样本4:以印度国防学院电子图书馆更新为诱饵的恶意PPT文件

文件名

NDC Updates.ppt

MD5

6c683aca669e1c448b0abce3df49fcb1

文件格式

Microsoft Office PowerPoint 

C2

185.136.169.155

“透明部落”近期利用印度国防部会议记录为诱饵的攻击活动分析


02 详细分析

此次捕获的攻击活动样本整体执行流程相似,均为文档中携带恶意VBA宏代码,当受害者点击启用宏,VBA自动并释放执行恶意文件,最终释放CrimsonRAT连接C2。

本文以Minutes of Meeting.PPT样本为例。使用奇安信红雨滴在线云沙箱(https://sandbox.ti.qianxin.com/sandbox/page/detail?type=file&id=c1d5cf1e1afe51895d2b05100676131c4a193e70)运行样本,得到样本整体执行流程如下:

“透明部落”近期利用印度国防部会议记录为诱饵的攻击活动分析


样本运行后,会弹窗提示用户启用宏代码:
“透明部落”近期利用印度国防部会议记录为诱饵的攻击活动分析


启用之后,恶意宏代码将自动执行,释放恶意程序执行并展示诱饵内容,诱饵如下:
“透明部落”近期利用印度国防部会议记录为诱饵的攻击活动分析

本次样本的两段VBA宏代码结构类似,第一段宏释放dihakhvartik.exe到C:ProgramDataHdrisair目录下,并通过shell命令执行该文件。

“透明部落”近期利用印度国防部会议记录为诱饵的攻击活动分析


第二段宏代码写入诱饵内容到PowerPoint文件,保存到%USERPROFILE%目录,并打开展示该诱饵文件。
“透明部落”近期利用印度国防部会议记录为诱饵的攻击活动分析


释放的可执行文件信息如下:

文件名

dihakhvartik.exe

MD5

2866daf2b59d9c34c891838c6bc10fb9

dihakhvartik.exe 执行后,先检查是否存在C:UsersgeyixianAppDataRoamingMicrosoftWindowsTemplatesdihakhvartik.zip,存在则将其进行解压并执行

“透明部落”近期利用印度国防部会议记录为诱饵的攻击活动分析


若C:UsersgeyixianAppDataRoamingMicrosoftWindowsTemplatesdihakhvartik.zip不存在,则将创建C:ProgramDataHithviwia目录,并通过getWin()函数读取资源数据,并根据操作系统版本选择相应内容保存为trbgertrnion.zip文件,解压执行。

“透明部落”近期利用印度国防部会议记录为诱饵的攻击活动分析


getWin()函数首先获取操作系统版本,判断“wia07”和“wia08”文件是否存在,若存在则将其删除,然后从资源文件“Resources.data”读取数据保存为data.zip,并解压到C:UsersgeyixianAppDataRoamingMicrosoftWindowsTemplates,再根据操作系统版本读取相应的文件内容。

“透明部落”近期利用印度国防部会议记录为诱饵的攻击活动分析


解压出的文件信息如下:

文件名

trbgertrnion.exe

MD5

7166fef6f67c86b0325f9e714ceb79ed

C2

167.160.166.80

trbgertrnion.exe执行后先进行一些初始化操作:

“透明部落”近期利用印度国防部会议记录为诱饵的攻击活动分析

初始化C2 IP和端口:

“透明部落”近期利用印度国防部会议记录为诱饵的攻击活动分析
“透明部落”近期利用印度国防部会议记录为诱饵的攻击活动分析

设置注册表实现持久化:

“透明部落”近期利用印度国防部会议记录为诱饵的攻击活动分析

完成初始化操作之后便开始与C2通信:

“透明部落”近期利用印度国防部会议记录为诱饵的攻击活动分析

获取控制命令:

“透明部落”近期利用印度国防部会议记录为诱饵的攻击活动分析

C2命令分发,根据命令执行相应功能:

“透明部落”近期利用印度国防部会议记录为诱饵的攻击活动分析


C2命令含义如下表所示:

C2命令

含义

trbgertrnion-pr3ocl

枚举进程

trbgertrnion-en3dpo

结束指定进程

trbgertrnion-sc3rsz

设置截屏参数

trbgertrnion-cs3crdn

屏幕截图

trbgertrnion-di3rs

枚举驱动

trbgertrnion-fi3lsz

获取指定文件的信息

trbgertrnion-do3wf

从C2服务器获取文件并写入指定位置

trbgertrnion-cn3ls

参数设置

trbgertrnion-sc3ren

获取屏幕截图

trbgertrnion-th3umb

获取指定位置图片信息

trbgertrnion-pu3tsrt

设置注册表值实现开机自启

trbgertrnion-ud3lt

更新自身

trbgertrnion-de3lt

删除指定文件

trbgertrnion-fi3le

获取指定文件内容发送C2

trbgertrnion-in3fo

获取用户信息

trbgertrnion-ru3nf

执行指定文件

trbgertrnion-af3ile

读取指定文件信息

trbgertrnion-li3stf

根据指定后缀搜索文件

trbgertrnion-do3wr

下载文件

trbgertrnion-fl3es

查找指定路径下的文件

trbgertrnion-fl3dr

查找指定路径下的子目录


溯源与关联

奇安信威胁情报中心分析人员通过对此次捕获样本所带的恶意宏代码、释放的木马文件进行分析后,判断本次攻击活动的幕后黑手为Transparent Tribe APT组织。依据如下:

1. 此次捕获样本所带恶意宏代码与之前被披露的Transparent Tribe组织样本中的宏代码基本一致。

“透明部落”近期利用印度国防部会议记录为诱饵的攻击活动分析


2. 样本运行后将释放Crimson RAT,与之前公开披露的Crimson RAT功能完全一致。且Crimson RAT为Transparent Tribe独有的远程控制木马。

“透明部落”近期利用印度国防部会议记录为诱饵的攻击活动分析


总结

此次捕获的样本主要针对南亚地区开展攻击活动,暂未发现影响国内用户,但防范之心不可无,奇安信红雨滴团队提醒广大用户,切勿打开社交媒体分享的来历不明的链接,不点击执行未知来源的邮件附件,不运行夸张的标题的未知文件,不安装非正规途径来源的APP。做到及时备份重要文件,更新安装补丁。

若需运行,安装来历不明的应用,可先通过奇安信威胁情报文件深度分析平台(https://sandbox.ti.qianxin.com/sandbox/page)进行简单判别。目前已支持包括Windows、安卓平台在内的多种格式文件深度分析。

目前,基于奇安信威胁情报中心的威胁情报数据的全线产品,包括奇安信威胁情报平台(TIP)、天擎、天眼高级威胁检测系统、奇安信NGSOC、奇安信态势感知等,都已经支持对此类攻击的精确检测。

“透明部落”近期利用印度国防部会议记录为诱饵的攻击活动分析


IOCS

MD5

2866daf2b59d9c34c891838c6bc10fb9

70ab4a9161f0835574449c7fd3788b37

7166fef6f67c86b0325f9e714ceb79ed

4a7ff92e0ea13b41a5e3410c3becfb2e

54d5743efcc5511368c6c04bf6840a59


C2

167.160.166.80

198.23.210.211

datacyncorize[.]com


参考链接

https://ti.qianxin.com/blog/articles/Disclosure-of-recent-mobile-activities-by-TransparentTribe/


本文始发于微信公众号(奇安信威胁情报中心):“透明部落”近期利用印度国防部会议记录为诱饵的攻击活动分析

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: