南亚地区APT组织2020年度攻击活动回顾(下)

  • A+
所属分类:安全新闻
(接上篇《南亚地区APT组织2020年度攻击活动回顾(上)》)

目录


一、攻击活动分析 (上篇)

1.概述

2.攻击入口

3.代码执行

4.持久化

5.任务活动

6.通讯分析


二、具体行动解析 

1.APT-C-48 CNC
2.APT-C-09 摩诃草
-----------------------------
3.APT-C-08 蔓灵花(下篇)

4.APT-C-24 响尾蛇

5.APT-C-35 肚脑虫

6.针对移动端的攻击


三、组织体系及运作分析

1. 攻击活动与地缘政治局势

2. 蔓灵花与肚脑虫关联

3. 摩诃草与肚脑虫关联

4. 各组织间存在资产共享


四、展望与启示 



3. APT-C-08 蔓灵花(Bitter)


背景概述


蔓灵花(APT-C-08)APT组织是一个长期针对南亚、东亚地区的国家进行攻击活动的APT组织,主要攻击政府、电力和军工行业相关单位,以窃取敏感信息为主,具有强烈的政治背景,是目前较活跃的境外APT组织之一。

该组织在载荷投递上手法多样,包括LNK文件,CHM文件,自解压程序,漏洞文档等。但其在代码执行过程中则几乎都会使用Downloader作为中间组件。在今年下半年,蔓灵花则通过计划任务周期性启动msiexec.exe向远程服务器请求msi文件的方式来代替Downloader的下载功能。

相比往年,蔓灵花在今年还使用了多种公开的远控程序,如WarzoneRAT, DarktrackRAT, AsyncRAT, QuasarRAT等,导致其难以从代码层面进行溯源归类。

同时,蔓灵花延续了去年克隆目标国家的敏感部门及企业的邮箱系统网页的攻击方式。通过在邮件中附上指向仿冒邮箱系统的链接,诱导攻击目标进行登录,从而达到窃取登陆凭证的目的。


技战术分析


攻击过程总结:


针对蔓灵花组织的攻击活动主要分成下述两部分:第一部分主要是通过仿造单位邮箱的登录门户,通过钓鱼邮件进行登录凭据窃取的行动,该部分在我们今年发布的《季风行动 - 蔓灵花(APT-C-08)组织大规模钓鱼攻击活动披露》中已经进行了部分描述。                 

南亚地区APT组织2020年度攻击活动回顾(下)

第二部分则主要涉及少数有恶意代码程序投递的情况,其流程大致如下:

南亚地区APT组织2020年度攻击活动回顾(下)

从整体上看,整个攻击流程主要围绕Downloader作为核心,通过Downloader来下发各类功能组件,进而完成最后窃取敏感信息的目的。
其初始投递的恶意载荷主要有以下三类:
一、向用户投递伪装为正常文件图标的自解压程序。

南亚地区APT组织2020年度攻击活动回顾(下)

诱使用户点击后,释放并打开Downloader以及伪装文件,并通过Downloader下载后续组件。

南亚地区APT组织2020年度攻击活动回顾(下)

二、通过LNK文件调用msiexec.exe远程加载msi文件,进而安装Downloader到用户设备上。
三、使用远程模板注入文档远程加载带有CVE-2018-0798漏洞的rtf文档,通过漏洞启动msiexec.exe,远程加载MSI程序,将Downloader安装到用户设备上。

在今年下半年,则通过CHM文件中内嵌脚本创建计划任务,周期性运行msiexec.exe请求执行远程MSI文件的方式来替换Downloader。

南亚地区APT组织2020年度攻击活动回顾(下)


邮箱钓鱼分析:


如上所述,在2020年间蔓灵花一个较特别的攻击活动为通过仿冒机构的邮箱门户,在投递邮件附上相应链接诱导目标用户访问并登录,窃取用户邮箱的登录凭证。

其攻击活动主要分两个波次,第一次为2020年7月左右,第二次为2020年12月开始。

对于今年发现的钓鱼邮箱网页,我们总结了其特点如下:

  • 钓鱼邮箱部署在特定的路径上,直接访问域名则返回403。

南亚地区APT组织2020年度攻击活动回顾(下)

通过这种手段可以规避直接针对域名的网络资产探测或者某些防御软件针对Host的检测,从而降低其被发现的概率。

南亚地区APT组织2020年度攻击活动回顾(下)

南亚地区APT组织2020年度攻击活动回顾(下)

  • 针对目标的真实域名进行模仿的规律

第一类是将域名中的”.”变为“-”作为子域名前缀,并附加第三方主域名方式进行伪装:
被仿冒网站:mail.XXX.edu.cn
钓鱼网站:mail-XXX-edu-cn.netlify.app

第二类则是直接将域名作为URL链接中的一部分,同时配合短域名进行投递:

南亚地区APT组织2020年度攻击活动回顾(下)

  • 通过Github部署钓鱼网站,在完成钓鱼后,删除Github账号。

南亚地区APT组织2020年度攻击活动回顾(下)

南亚地区APT组织2020年度攻击活动回顾(下)

      

在具体攻击方式上,其模式大致如下:

攻击者使用其窃取的正常邮箱账户,向受害者发送钓鱼邮件,邮件内容通常是伪造的通知,同时在邮件中携带仿冒的链接,用户被诱导点击链接后,其跳转到仿冒的邮箱登录门户页面。用户输入邮箱账户密码导致账户被窃取。

攻击者通过窃取凭据登录到受害者的单位邮件系统,进行敏感信息窃取,同时也获取了大量的组织联系人信息,为进一步攻击提供了有力的情报支撑。

南亚地区APT组织2020年度攻击活动回顾(下)

南亚地区APT组织2020年度攻击活动回顾(下)

南亚地区APT组织2020年度攻击活动回顾(下)

 

通过对部分获取到邮件进行分析,邮件的DKIM数字签名,没有明显伪造修改迹象,邮件SPF验证也是通过的,因此可以证明是攻击者窃取了受害者的凭据在国外进行登录操作。


核心恶意代码分析:


作为恶意逻辑执行核心点的Downloader实际存在较多版本,但具体功能逻辑均高度相似,因此以一类Downloader作为举例说明。

该种Downloader使用C#编写,启动后会通过检测带有字符“avp”进程来选择持久化的方式,

  1. 若不存在,则将复制自身到目录”%appdata%”下。并通过powershell创建注册表启动项,通过”rundll32.exeSHELL32.dll,ShellExec_RunDLL”打开可执行文件,从而启动实现自启动。

  2. 若存在,则将自身复制到目录“%appdata%MicrosoftWindowsTemplates“,并创建环境变量”tempf“指向该路径。然后通过cmd.exe创建注册表启动项,在注册表启动项中执行命令"cmd /c start %tempf% && exit",从而实现自启动。

通过WMI接口获取设备信息,并通过以下格式进行拼接:

Ox0001=计算机名&Ox0010=用户名&Ox0011=操作系统版本[操作系统架构]&Ox0100=mac地址&Ox0101=mac地址

南亚地区APT组织2020年度攻击活动回顾(下)

Downloader代码片段

南亚地区APT组织2020年度攻击活动回顾(下)

Downlaoder代码片段

设置定时器与服务器交互,将上述拼接的数据发送至服务器,并先从服务器获取数据,并通过字符’#’将数据切分为数据,根据对应下标字段获取文件路径,从服务器下载文件到该文件路径。
其字段对应含义如下:

下标

功能

0

指定文件名

1

2

字符“1“到”4“,用于设置不同的目录

字符对应路径如下:

字段

对应路径

“1“

History目录

“2“

ApplicationData目录

“3“

Templates目录

“4“

C:WindowsdebugWIA

null

ApplicationData目录

从服务器下载文件后,判断是否为可执行文件。若是的话,打开该文件;若不是的话,则重命名为“.txt“,然后读入内存反射加载,并将执行结果发送至服务器。

执行结果对应字段对应含义如下:

字段

含义

"000C"

任务失败

"000D"

任务完成

"000B"

任务未完成

Downloader完成持久化之后,蔓灵花则会通过Downloader向目标设备下发功能组件的方式,完成对目标设备的控制。其中在今年我们捕获到后续的功能组件存在以下几种:

1. C#编写的远控程序,在该程序中,会通过WMI搜集设备相关信息。

南亚地区APT组织2020年度攻击活动回顾(下)

收集的用户信息如下:

本地语言

本地IP

计算机名

用户名

操作系统名

操作系统Build版本号

操作系统位数

操作系统补丁包版本号

操作系统的注册用户名

操作系统产品密钥

系统目录

操作系统所在盘符

操作系统可用的物理内存大小

CPU信息

可用于TCP/IP通讯的MAC地址


将搜集的信息加密后发送至服务器,并与服务器进行交互。交互指令对应功能如下:

南亚地区APT组织2020年度攻击活动回顾(下)

值得一提的是,该类型的远控程序还存在精简版。相比上述所示的指令,精简版的MSAservice去掉了操作进程和线程相关的指令,但其他功能并没有太大变化。
2. 键盘记录器
通过SetWindowsHook对键盘消息进行监控,将其格式化后保存到“%AppData%”目录。

3. USB文件搜集器

程序启动后会创建窗口程序,在窗口程序的回调函数中接收设备接入消息WM_DEVICECHANGE。在设备接入后,遍历文件数据,将指定格式的文件拷贝至指定路径。

其搜集的文件类型如下:

txt

7z

pdf

zip

jpg

rar

doc

docx

rtf

ppt

xls

bmp

xlsx




4. 信息搜集器

遍历磁盘获取文档搜集文件信息上传至服务器,其中文件主要涉及neat,logins.json,key3.db等浏览器敏感文件相关,以及各类文档文件。

 

第二类恶意程序则是以使用公开的远控程为主。其主要为修改恶意程序的图标,伪装为正常文件,通过邮箱进行投递。

使用的远控程序有如C#编写的AsyncRAT和QuasarRAT以及使用Delphi编写的DarktrackRAT。

南亚地区APT组织2020年度攻击活动回顾(下)

AsyncRAT主页

南亚地区APT组织2020年度攻击活动回顾(下)


QuasarRAT主页

南亚地区APT组织2020年度攻击活动回顾(下)

DarktrackRAT

其中DarktrackRAT会通过Bobsoft打包器进行打包,打包后的运行流程如下图。

南亚地区APT组织2020年度攻击活动回顾(下)

以及公开售卖的商业黑客工具WarzoneRAT。

南亚地区APT组织2020年度攻击活动回顾(下)

WarzoneRAT在交互的时候,会使用Key “warzone160” 对数据进行RC4加密后与服务器进行交互。

此外,在对该部分样本进行持续检测的过程中,我们发现蔓灵花组织会通过DarktrackRAT下发另一种特有的后门程序。其包含两种类型,其一为远控程序,运行后会复制自身到目录"C:ProgramDataDrivers"下,并在启动文件夹创建快捷方式实现驻留。

       获取以下用户信息并发送至服务器。

进程信息

计算机名

用户名

是否虚拟环境

操作系统版本信息

磁盘信息

适配器信息

安装程序信息

近期打开文件路径

文档文件路径

发送消息时,会以以下格式拼接字符串,进行SHA256计算:计算机名-用户名-mac地址;

南亚地区APT组织2020年度攻击活动回顾(下)

最后以下格式拼接数据信息,并发送至服务器,值得一提的是,该远控程序在发送数据时,强制发送1024字节,若数据不足1024字节,则使用空格填充。

是否是操作系统WORKSTATION(’1’/’0’)&操作系统主版本号&操作系统次版本号&是不是虚拟机(‘1’/’0’)&计算机名&用户名&mac地址&SHA256校验码。

南亚地区APT组织2020年度攻击活动回顾(下)

连接成功后依次发送磁盘信息,适配器信息,进程信息,安装程序信息,近期打开文件信息,文档文件信息到服务器。

完成以上步骤后,使用以下指令与服务器循环进行交互。

南亚地区APT组织2020年度攻击活动回顾(下)

第二种恶意代码为内存数据加载器,我们监测到的流程如下,通过白样本vlc.exe调用libvlc.dll。

在libvlc.dll中将文件“logExpress.dat”读入内存并加载运行。

南亚地区APT组织2020年度攻击活动回顾(下)

而后释放“.bin”文件到%TEMP%目录下,并调用执行。“.bin”文件第一次启动时会通过”cmd.exe”带参数“-FKD”调用自身,在第二次启动时从远程服务器接收shellcode执行。

 

趋势变化


蔓灵花是本年度最为活跃的组织,同时也是技术能力提升最为快速的组织。其发动了大规模的针对系统邮箱的钓鱼活动,从实际情况来看,其已经窃取了相当多的信息,应当引起警惕和注意。
另一方面其在,代码方面更新迅速,作为其早期核心组件的Downloader经过多个版本的改变后,最终变更为使用计划任务远程加载msi文件的方式。完成了有文件Download向无文件Download的转变。极大提高了其隐蔽性。并且在今年我们也首次观测到了其使用商业远程控制软件。
除此之外,我们也发现了部分线索,表明蔓灵花组织可能采购NSO的黑客软件。其相关分析如下:

蔓灵花在vlc.exe的白利用中加载的后门程序在2020/02/14和2020/02/28曾经访问过oldgoldcities[.]com,解析到的IP是104.223.76[.]220,该IP在最近一起很有影响力的诉讼案件中被提及。Facebook指责NSO Group 利用WhatsApp VoIP 漏洞CVE-2019-3568多次攻击其重点用户,并提出“有720次攻击的远程服务器IP地址为104.223.76[.]220。有3次攻击的远程服务器的IP地址为54.93.81[.]200”。

WhatsApp的工程师Claudio Gheorghe声明截图如下:

南亚地区APT组织2020年度攻击活动回顾(下)

在今年九月份我们捕获到一起蔓灵花针对我国某军工企业的攻击。其中在随后释放的特码中其关联的CC是79.141.168.109: 4975。而这一IP同样在NCSC关于APT29的报告《Advisory: APT29 targets COVID-19 vaccine development》一文中提到。

南亚地区APT组织2020年度攻击活动回顾(下)


4. APT-C-24 响尾蛇(SideWinder)


组织背景


响尾蛇组织又名“Sidewinder”、“T-APT-04”、“APT-C-24”,是一支疑似来自南亚地区的APT组织,第一次在卡巴斯基在2018年一季度APT报告中被披露,卡巴斯基根据地域象征意义的动物将该组织命名为"响尾蛇"(SideWinder)。

在今年,响尾蛇在攻击目标方面和往年大体一致,主要围绕南亚、东亚国家的军工,能源以及外交等相关行业进行攻击。

值得一提的是,从图中可以看到六月份响尾蛇存在一个峰值,该时间点正逢今年6月20号XX大学自强计划公布初评结果,响尾蛇结合疫情,使用《疫情防控期间优秀教师推荐表》等相关文档针对XX大学多位招生办老师进行攻击。           

南亚地区APT组织2020年度攻击活动回顾(下)

               

技战术分析


攻击过程总结:


       响尾蛇在2020年使用的攻击流程如下:

南亚地区APT组织2020年度攻击活动回顾(下)

响尾蛇组织使用的攻击框架相对固定,主要使用lnk以及漏洞文档来进行攻击,通过js反射来加载.Net程序,最终通过白样本利用驻留在受害者设备上。

其中存在以下四种攻击流程:

1. lnk文件

劫持lnk文件目标程序路径,启动mshta.exe远程加载运行hta文件,通过hta文件反射加载.Net模块,从而释放并打开伪装文档,并下载第二个hta文件,在其中反射加载.Net模块,最终释放后门程序到设备上。

值得注意的是此处的LNK文件经过伪装,从属性中查看其执行的是cftmon.exe,但是实际上其执行的是mshta.exe。

南亚地区APT组织2020年度攻击活动回顾(下)

lnk文件属性1

南亚地区APT组织2020年度攻击活动回顾(下)

lnk文件属性2

2. CVE 2017-11882漏洞文档

在文档中利用了公式编辑器漏洞CVE 2017-11882,通过EQNEDT32.exe来执行shellcode,加载rtf释放在%TRMP%目录下的js脚本文件”1.a”,进一步释放后门程序到设备上。

3. CVE 2017-0199 + CVE 2017-11882组合攻击
该手法主要出现在今年下半年,基于第二种攻击流程,响尾蛇组织变更投递载荷为带有漏洞CVE 2017-0199的文档,通过该文档从服务器远程加载CVE 2017-11882的漏洞文档。

南亚地区APT组织2020年度攻击活动回顾(下)

除了以上三种攻击手法以外,在今年六月份响尾蛇针对XX大学招生办的攻击中,我们还曾捕获到一种昙花一现的攻击手法。

4. ”CVE-2017-0199”+”CVE-2020-0674 “组合攻击
与第三种攻击流程中使用的投递载荷一致,响尾蛇会向受害者投递CVE-2017-0199漏洞文档,但执行后请求的不是rtf文档,而是hta文件。在hta文件中向远程服务器请求解密使用的KEY,解密对应数据后执行下一段js脚本。该段解密数据为CVE-2020-0674的漏洞利用JS,通过该漏洞反射加载DLL模块,最终释放后门程序到设备上,完成攻击。

南亚地区APT组织2020年度攻击活动回顾(下)


核心恶意代码分析:


虽然响尾蛇使用的攻击方式繁多,但最终安装部署使用的后门程序均为rekeywiz.exe的白利用,通过rekeywize.exe加载Duser.dll,进一步解密同一文件夹下的”.tmp”文件并加载至内存运行,通过创建两个定时器从服务器接收指令数据并执行对应功能,从而达到窃取设备上敏感信息的目的。

其指令对应功能如下:

指令

操作

1

在输出目录创建随机名字的".sif"文件,向其写入系统信息。

2

遍历磁盘,获取文件以及目录信息,在输出目录创建随机名字的".flc"文件,将数据写入该文件,并将后缀符合的文件名添加至文件列表。

3

在输出目录创建随机名字的".fls"文件,将在指令2中搜集的文件信息写入该文件

4

以接受的数据来重新初始化输出路径,交互服务器等。

5

设置交互的服务器域名

6

设置是否上传文件的标志位

7

设置搜集的文档文件后缀

8

设置搜集的文档文件最大字节数

9

添加指定文件到筛选后的文件列表,若以及存在该列表,则将上传的标志位置位,用以再次上传该文件。

此外,响尾蛇的后门程序在将数据转换为指令的时候,是通过调用Duser.dll中的Loader模块,将数据作为实例运行后得到的指令数据。

南亚地区APT组织2020年度攻击活动回顾(下)

但实际,我们发现响尾蛇还会使用该功能下载其他后门程序组件,完成第二阶段的攻击驻留。其攻击流程如下:

南亚地区APT组织2020年度攻击活动回顾(下)

在第二阶段的攻击驻留中,其使用的是C语言编写的Downloader,通过从远程服务器或注册表获取JavaScript脚本,反射加载.Net DLL。

南亚地区APT组织2020年度攻击活动回顾(下)

在其下发的JavaScript脚本中,我们捕获到三个不同功能的组件,其名称与功能如下:

dll名称

功能

LiveConsoleModule.dll

本地 TCP 服务器,监听本地 12323 端口,提供远程 Shell 功能

LiveFileManagerModule.dll

本地 HTTP 服务器,监听本地  12380 端口,提供多种文件操作功能

ProxyModule.dll

利用 WebSocket 隧道建立 Socks5 代理,为其他组件提供与服务器的交互通道


趋势变化


响尾蛇在近两年对于代码的框架以及攻击流程的变化并不大其中在恶意代码层面上,与往年存在区别如下:


中间组件JS脚本:

无论是在使用lnk文件还是CVE-2017-11882的rtf文件进行攻击时,均会使用到js脚本作为中间组件,其中该脚本中采用JavaScript内存反射加在.NET程序集的技术方法,该方法最早由James Forshaw在2017年公开,详情见GitHub项目DotNetToJScript。

相比以往,响尾蛇在今年的JS脚本中新增了以改造的Base64编码为主的解密算法对其脚本代码进行混淆。

南亚地区APT组织2020年度攻击活动回顾(下)

       但就如上面说到的其代码框架并未变化,其两者主体代码框架对比如下:

南亚地区APT组织2020年度攻击活动回顾(下)

响尾蛇2019年样本

南亚地区APT组织2020年度攻击活动回顾(下)

响尾蛇2020年样本

.Net模块&后门程序与JS脚本情况一致,无论是在攻击过程中使用的中间组件还是最终驻留的后门程序,响尾蛇在更新上,均采用的是在不影响代码框架的前提下提高代码混淆度。其中存在较大的变化主要为下半年,响尾蛇对其程序的函数进行了细化,并将函数名称加长。变化后的代码与19年代码对比如下:

南亚地区APT组织2020年度攻击活动回顾(下)

响尾蛇2019年使用代码

南亚地区APT组织2020年度攻击活动回顾(下)

响尾蛇2020年使用代码

在攻击目标方面,响尾蛇主要攻击目标依旧是围绕南亚、东亚地区国家展开攻击。其中12月份趋势发出的公开报告中指出,响尾蛇使用的钓鱼网站进行的攻击活动存在朝着其他南亚地区周边国家扩散的趋势。

 

5. APT-C-36 肚脑虫(Donot)


组织背景


肚脑虫组织(APT-C-35),又称Donot,是一个针对南亚地区国家的政府机构等领域进行网络间谍活动,以窃取敏感信息为主的攻击组织。该组织的攻击活动最早可追溯到2016年,近年来该组织活动频繁不断被数个国内外安全团队持续追踪和披露。
与其他南亚地区APT组织多样化的攻击手法不同,肚脑虫的攻击手法较为固定。主要使用“远程模板注入文档”+“CVE-2017-11882“或带有恶意宏的文档文件对目标进行攻击。且肚脑虫并不依赖于使用时事热点伪造诱饵文档,该组织投递出的诱饵文档内容多为空文件或带有提示语句的文件。

南亚地区APT组织2020年度攻击活动回顾(下)


技战术分析


攻击过程总结:


肚脑虫在2020年使用的攻击流程如下:

南亚地区APT组织2020年度攻击活动回顾(下)


在2020年,肚脑虫在投递样本的选择上,主要采用远程模板文件为主,以及小部分携带恶意宏样本的文档。通过远程模板文件和CVE 2017-11882的组合攻击方式来完成载荷释放。
通过将攻击流程分为多个阶段,并且在每个阶段对上一阶段数据文件删除的方式,来提高其整个攻击链的隐蔽性。


核心恶意代码分析:


肚脑虫在各阶段恶意代码如下所示:

  • 第一阶段:

在投递的远程模板注入文档文件被打开后,会远程加载带有“CVE2017-11882“的rtf文档。

rtf文档内包含一个加密文件以及恶意dll程序,通过“CVE 2017-11882“启动EQNEDT32.EXE来调用dll程序,读取加密文件并通过异或算法解密为donwloader程序,释放到指定路径下,然后删除加密文件。
随后通过COM组件ITaskFolder创建计划任务,通过rundll32.exe来调用downloader,从而实现第二阶段程序的持久化。

南亚地区APT组织2020年度攻击活动回顾(下)

通过特殊路径来检测系统杀毒软件,若存在以下路径,则通过COM组件IShellLinkW在启动目录下创建快捷方式,指向指定路径”%AppData%uppdownvqiw.js”。

C:Program  Files(x86)avg

C:Program  Filesavg

C:\Program  Filesavast software

  • 第二阶段:

在Downloader中对第一阶段的dll程序文件进行删除。

检测文件路径”%appdata%EvMGRogg.bin”,若存在,则创建脚本自删除。该文件由第三阶段的Downloader创建。
获取系统信息发送到服务器,并从服务器下载Downloader 程序“NumberAlgo.dll”到指定路径,并通过以下两种方式实现该“NumberAlgo.dll”的持久化。
a)     方式一:在路径“%AppData%uppdown“创建”vqiw.js“,实现通过rundll32.exe调用“NumberAlgo.dll”,结合第一阶段中在启动目录下创建的快捷方式完成“NumberAlgo.dll”持久化。

南亚地区APT组织2020年度攻击活动回顾(下)

b)     方式二:通过COM接口ITaskFolder :: RegisterTask创建计划任务,通过计划任务启动rundll32.exe调用“NumberAlgo.dll”。

若方式二失败,则通过cmd.exe启动schtasks来创建计划任务。


  • 第三阶段:

在NumberAlgo.dll中,通过Google文档获取服务器信息。

南亚地区APT组织2020年度攻击活动回顾(下)

从服务器获取组件数据,而后根据数据下载对应插件或脚本文件,加载执行。
在分析过程中,获取其原始数据如下:

南亚地区APT组织2020年度攻击活动回顾(下)

解密后得到如下信息:

南亚地区APT组织2020年度攻击活动回顾(下)

若’ : ’后面的数值在0x5~0x20d0之间时,则会从服务器下载相应的组件到目录“%appdata%EvMGR“下加载运行。其中dll部分的组件分为两个函数,其中plusadd函数为主要模块功能,plussub函数为修改flag,停止对应模块功能运行。

其组件与功能对应数据如下:

dll名称

功能

FrameCordi.dll

记录键盘信息到目录“%AppData%EvMGRFrameCordiFrameCordi“,保存为”.wi”文件,并在其后通过AES加密,保存为.rvn文件中。

ScnPoint.dll

获取屏幕截图,对其进行AES加密,并存储到目录“%AppData%EvMGRScnPointScnPoint“,保存为”.rvn”文件

Dormode.dll

收集指定后缀的文件,并将收集到的数据信息进行AES加密后上传到服务器

RMcom.dll

遍历指定路径下的文件,判断文件后缀,将非文档文件拷贝到路径“%AppData%EvMGRRMComRMComLonger“,并对其进行异或加解密

SRCPolicy.dll

收集firefox浏览器账号密码信息,并对其进行AES加密后,保存到目录“%AppData%EvMGRSRCPolicySRCPolicy“下。

COMEvent.dll

上传其他组件收集的数据文件


趋势变化


在攻击活动变化上,肚脑虫主要集中在对于第一、二阶段中使用到的组件以及C&C进行更新。而从我们监测的结果来看,第三阶段所使用的C&C,使用周期明显长于前两个阶段,部分C2甚至可使用长达数月之久。

其中在载荷执行阶段,相比往年惯用宏程序调用释放载荷,今年肚脑虫更多的是通过远程模板注入文档从远程服务器加载带有CVE-2017-11882的rtf文件,通过漏洞调用Droper释放Downloader程序到本地,进行进一步的攻击活动。
在恶意代码层面上,其在第三阶段后下发的恶意组件虽然存在代码上的更新,但是其功能并未彻底脱离yty框架。与去年组件以及yty框架对应关系如下:

组件名(2020年)

组件名(2019年)

对应yty框架

NumberAlgo.dll

ProcessManager.dll

Boothelp.exe

COMEvent.dll

NetworkConnect.dll

abode.exe

ScnPoint.dll

VGAGraphics.dll

dspcheck.exe

Dormode.dll

FolderOptions.dll

vstservice.exe


6. 针对移动端的攻击


       南亚地区的APT组织也存在着大量的针对移动端的攻击活动,2020年间相关披露报告如下:

组织名称

报告日期

题目

肚脑虫

04.28

肚脑虫组织(APT-C-35)针对巴基斯坦的攻击活动[1]

肚脑虫

10.29

DoNot’s Firestarter abuses Google  Firebase Cloud Messaging to spread[2]

肚脑虫

10.30

肚脑虫组织( APT-C-35)疑似针对巴基斯坦军事人员的最新攻击活动[3]

蔓灵花

04.17

BitterAPT Revisited: the Untold Evolution  of an Android Espionage Tool [4]

响尾蛇

01.06

First Active  Attack Exploiting CVE-2019-2215 Found on Google Play, Linked to SideWinder  APT Group[5]

响尾蛇

12.09

SideWinder Uses South Asian Issues for  Spear Phishing, Mobile Attacks[6]

      从报告的数量不难看出,最为活跃的当数肚脑虫组织,该组织多次仿冒巴基斯坦流行的在线交友网站搭建钓鱼网站,如“RapidChat”,“LoveHabibi”等,在此类网站中提供实为黑客攻击软件的聊天APP软件下载。

南亚地区APT组织2020年度攻击活动回顾(下)

而国外厂商CISCO在报告中提到肚脑虫组织使用的恶意软件Firestarter滥用Google FCM通知服务进行通信,通过这种新策略可以有效更新控制服务器地址,避免控制服务器地址失效,这一点与在Windows端肚脑虫通过Google云硬盘更新服务器地址的行为如出一辙。

此外Bitdefender的报告《BitterAPT Revisited: the Untold Evolution of an Android EspionageTool》一文中提到,蔓灵花组织同样精于类似的社工类攻击手法,通常伪装成语音,邮件,聊天,图像查看器等应用,利用Google Play作为其传播途径,获取目标用户通话记录,获取短信,获取位置信息等,并且还会还会攻陷的正规网站用于分发恶意程序。

值得注意的是,一如响尾蛇今年在Windows侧尝试”CVE-2017-0199”+”CVE-2020-0674 “的新型攻击手法,TrendMicro的报告中同样指出,响尾蛇在一个名为Camero的应用利用了CVE-2019-2215,该漏洞存在于Binder中,这是在野外首次利用所述UAF漏洞的实例。这两个事件表明了响尾蛇在攻击手法和技术手段上的尝试创新和突破。

综合上述信息,我们不难发现,南亚地区APT组织针对移动端的攻击,其主要的攻击对象同为南亚周边国家。攻击对象平台则是Android,攻击手法依旧是以仿冒APP,涉及社交和宗教软件,配合钓鱼网站和邮件诱导受害者安装后进行窃密活动。

03
组织体系与运作分析


南亚地区的APT组织众多,且一直保持高度的活跃状态。通过长时间的跟踪分析我们发现南亚地区各个组织间存在较密切的关联。


攻击活动与地缘政治局势


对于2020年主要活跃的南亚地区APT组织,从目标来看,其主要针对的国家仍是东亚和南亚地区国家。同时根据国外厂商相关报告描述,其攻击国家也涉及部分东南亚国家。其任务为窃密和收集情报,涉及行业也侧重国防和国家机构。

这与地缘政治局势表现出了强烈的正相关关系。

组织名称

目标行业

蔓灵花(BITTER)

国防军工、科研、外交、教育、能源

摩诃草(HangOver)

国防军工、国家机构、外交

响尾蛇(SideWinder)

国防军工、科研、外交、教育、医疗、贸易

肚脑虫(Donot)

国防军工、国家机构、外交

CNC

国家机构、科研、教育、医疗


组织间关联


南亚地区各个攻击组织间也存在着各种各样的联系,早在2018年8月,外国厂商趋势科技发布的一篇报告就表明了南亚地区各组织间在恶意代码和某些攻击技术存在关联[7]

南亚地区APT组织2020年度攻击活动回顾(下)

而在今年,我们同样发现其在恶意代码和部分攻击技术点上的一些关联


蔓灵花与肚脑虫关联(样本结构相似性)


在2020年11月4号,我们捕获的蔓灵花组织相关样本“Suparco Vacancy Notification.docx”,与Donot存在高度相似性:

其两者执行流程如下:

南亚地区APT组织2020年度攻击活动回顾(下)

通过分析发现,其DLL名,导出函数名称均一致。并且通过持续监测该组织的攻击行为,我们发现该组织在使用钓鱼网站对南亚地区用户进行攻击的时候,其攻击对象与Donot中招用户存在部分重叠。


摩诃草与肚脑虫关联(样本代码相似性)


在11月份,我们捕获了一个名为“New_Missile_Defense_Radar.doc”的恶意宏文档。

通过分析发现,其使用的宏代码与摩诃草之前使用的宏代码风格一致,且均无法在中文环境运行。

南亚地区APT组织2020年度攻击活动回顾(下)

New_Missile_Defense_Radar.doc


南亚地区APT组织2020年度攻击活动回顾(下)

历史摩诃草相关样本

但值得注意的是,“New_Missile_Defense_Radar.doc”中恶意宏代码释放的样本却与Donot组织的历史恶意代码风格一致:

南亚地区APT组织2020年度攻击活动回顾(下)

历史Donot样本


南亚地区APT组织2020年度攻击活动回顾(下)

释放的样本


各组织间存在资产共享


在网络资产上,南亚地区各个组织间也存在着明显的联系:

南亚地区APT组织2020年度攻击活动回顾(下)

从TTPs上进行分析,南亚地区攻击组织表现出一个明显的共同特征,即以使用鱼叉邮件攻击为主要手段。而通过实际判断,我们认为南亚地区组织在攻击情报上存在一定程度共享的可能:

首先,在攻击目标上,我们观察到部分组织的攻击目标存在重合;

在今年7月份时,我们曝光了响尾蛇组织针对XX大学的集中大规模攻击活动;而在12月我们捕获的蔓灵花组织第二次大规模邮件钓鱼行动中,我们发现部分针对高校的攻击邮件使用了真实的邮件账户,且来自于XX大学,因此我们推断其可能共享了部分邮箱账户信息。

在上述章节已经了解到,南亚地区APT组织在攻击活动中构造大量的恶意文档,且紧跟时事热点,这表明其背后很有可能存在一只专门进行情报收集分析的团队。

基于上述分析,我们能很清楚的看到,南亚地区的攻击组织在恶意代码及其技术技巧、C&C基础设施和目标情报信息方面存在着较明显的共享。这表明这些组织并不是完全独立运作的个体,在其之上可能存在更高层的领导机构来协调各个组织间的运作。

 

04
展望与启示


我们从这些攻击活动中看到了什么?


从技术方面上讲,我们监控到的源自南亚地区的大多数组织使用的恶意代码和攻击技术方法与之前并无太大差别,但是我们依旧观测到了攻击者在部分攻击环节提高技术能力的一些努力(详细请见具体行动解析章节中针对各个组织的趋势变化分析)——增加混淆、改进攻击流程等。

值得注意的是,我们首次观测到南亚地区组织使用了商业后门程序,例如WarZone和BOZOKRAT,并且发现了其与NSO等公司可能存在联系,这表明南亚地区组织已经开始从商业黑客公司中获取更强的攻击能力。

从攻击活动上讲,南亚地区组织具有明显的典型特征,其主要利用钓鱼邮件,擅长使用社会工程学手段,并且能紧跟时事热点信息,因此我们推断其背后可能有专门的情报分析小组。

       另一个值得我们注意和警惕的是,其利用伪造邮件门户网站进行大规模的钓鱼的行为,并存在一定数量的受害者,同时结合其他攻击活动分析,我们认为其已经通过邮件系统窃取了相当多的敏感信息。

南亚地区的攻击组织相当擅长使用社会工程学,实际监测中我们也发现了数量众多的受害者,这说明部分单位的网络安全防范措施和意识仍有很大的提升空间,部分短板依旧可以导致安全问题。


未来的趋势预测


在地缘政治因素的影响下,我们认为这些攻击组织将持续保持高度活跃状态。

结合近几年的实际情况,虽然南亚地区的APT组织在复用之前的恶意代码工具和攻击手法的基础上,会在部分环节上做出改善,但在技术层面上相比Equation Group、darkhotel等仍存在一定的差距。可考虑到此类APT组织多由国家背景支撑,结合近年,如蔓灵花使用更多0Day “CVE-2021-1732”或是响尾蛇在移动侧使用的在野漏洞“CVE-2019-2215“等事件,不难看出其背后势力在该方面资源的投入存在逐渐增大的趋势。

考虑到电子邮件在南亚地区APT组织的攻击活动中的核心地位,我们认为其今后依旧会施大规模的邮件钓鱼或者凭据窃取的行动,因此各个单位需加强针对钓鱼邮件的防范,尤其是加强相关安全教育;同时针对邮箱账户密码被窃取,可以采用多因子身份认证等方式来有效降低被其他人登录的可能。

在过往的预测中,我们提到了其通过购买来获得较先进攻击技术能力的可能,而今年我们也观测到了其使用商业后门程序并可能与NSO存在关联,对于此我们也需要提高警惕。


 - END -



[1] https://blogs.360.cn/post/APT-C-35_target_%20at_Pakistan.html

[2] https://blog.talosintelligence.com/2020/10/donot-firestarter.html

[3] https://blogs.360.cn/post/APT-C-35_target_at_armed_forces_in_Pakistan.html

[4]https://www.bitdefender.com/files/News/CaseStudies/study/352/Bitdefender-PR-Whitepaper-BitterAPT-creat4571-en-EN-GenericUse.pdf

[5] https://www.trendmicro.com/en_us/research/20/a/first-active-attack-exploiting-cve-2019-2215-found-on-google-play-linked-to-sidewinder-apt-group.html

[6] https://www.trendmicro.com/en_us/research/20/l/sidewinder-leverages-south-asian-territorial-issues-for-spear-ph.html

[7] https://www.trendmicro.com/en_us/research/18/h/the-urpage-connection-to-bahamut-confucius-and-patchwork.html



南亚地区APT组织2020年度攻击活动回顾(下)
团队介绍
南亚地区APT组织2020年度攻击活动回顾(下)
TEAM INTRODUCTION
360高级威胁研究院
360高级威胁研究院是360政企安全集团的核心能力支持部门,由360资深安全专家组成,专注于高级威胁的发现、防御、处置和研究,曾在全球范围内率先捕获双杀、双星、噩梦公式等多起业界知名的0day在野攻击,独家披露多个国家级APT组织的高级行动,赢得业内外的广泛认可,为360保障国家网络安全提供有力支撑。

本文始发于微信公众号(360威胁情报中心):南亚地区APT组织2020年度攻击活动回顾(下)

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: