疑似APT-C-56透明部落攻击预警

  • A+
所属分类:安全新闻

APT-C-56
  透明部落

APT-C-56(透明部落)别名APT36、ProjectM、C-Major,是一个具有南亚背景的APT组织,长期针对周边国家和地区(特别是印度)的政治、军事目标进行定向攻击活动,开发有自己的专属木马CrimsonRAT,还曾被发现广泛传播USB蠕虫。透明部落在2019年下半年一直非常关注阿富汗地区, 在2020年开始再次转为关注印度用户。到了2021年,先是利用疫情相关信息对印度医疗、电力行业进行信息窃取,随后伪装印度国防部会议记录的诱饵文档尝试进行信息窃取。


近日,360高级威胁研究院在日常情报挖掘中发现并捕获到了多批疑似透明部落攻击印度的文档,恶意文档最终释放NetWireRAT。


恶意文档1


疑似APT-C-56透明部落攻击预警

文档标题为Pay and Allowance Details.xls,MD5: c2a38018cf336685e3c760c614bbf4c3,伪装成工资和津贴支付明细的电子表格,打开xls文件后,利用图片欺骗目标人群。这个文档是使用之前版本的Office文档工具创建的,如果想要查看详细内容,则需点击允许编辑按钮,这个按钮实际上是触发xls内部隐藏的恶意宏代码执行的,内部隐藏的是shell命令,同样调用PowerShell。

疑似APT-C-56透明部落攻击预警

最终解码后的PowerShell从C&C连接下载后续载荷。

疑似APT-C-56透明部落攻击预警

最终下载伪装成GOM Player的恶意文件(MD5:f0b43a3f4821a4cf4b514144b496e4d7),之前APT-C-56(透明部落攻击印度的活动中伪过hgx-player播放器。APT组织攻击过程中一般都尝试伪装成主流、正常使用的程序软件,避免引起用户的警惕怀疑。

疑似APT-C-56透明部落攻击预警

该组织的这些组件可能还处于开发、测试过程中,我们捕获到的版本还可以看到Dropper的pdb信息,确认与我们之前发布的报告中的shoot行动一致。


疑似APT-C-56透明部落攻击预警


恶意文档2


另一个文档标题为schedule2021.docx (MD5: 23f5fcb554e6b8d0a935ce0474ee5a8e),从标题可以看出攻击行动时间确认是2021年,同样诱使相关人员点击运行允许启用宏按钮,其内部的宏代码就已经开始自动执行。

疑似APT-C-56透明部落攻击预警


疑似APT-C-56透明部落攻击预警

内部宏代码包含当文档自动打开时候、关闭时候的不同响应函数。

  • 当文档打开的时候,会自动显示文档内容。

  • 当文档更新时候,会从指定C&C下载文件并存放到C:UsersPublicAdobe.exe。

  • 当文档关闭时候,利用shell命令运行下载的二进制文件。

这与我们之前捕获到的另一起攻击事件《APT-C-56(透明部落)近期最新攻击分析与关联疑似Gorgon Group攻击事件分析预警宏代码完全一致。载Dropper的域名为hxxp://kavach[.]govrn[.]xyzshedule.exe,C&C网址伪装成印度的相关网站kavach[.]mail.gov, 这个网站是印度政府电子邮件的客户端,之前SideCopy组织曾经使用过hxxp[:]//149[.]248[.]52[.]61/webmail.gov.in/verification/KAVACH。

疑似APT-C-56透明部落攻击预警



Dropper


Dropper与我们之前的分析一致,GOM player版本的dropper采用了同样的代码,首先同样的弹出对话框,让用户以为自己的组件损坏需要升级,然后加载AmsiScanBuffer并企图通过修改内存关闭。

疑似APT-C-56透明部落攻击预警


注册GOM Player自启动。

疑似APT-C-56透明部落攻击预警

远程线程注入写入隐藏在PE内部的二进制文件。

疑似APT-C-56透明部落攻击预警


代码有一些简单的修改,加载dll的名称产生了一点变化。

疑似APT-C-56透明部落攻击预警

疑似APT-C-56透明部落攻击预警

创建进程启动方式变化。

疑似APT-C-56透明部落攻击预警


疑似APT-C-56透明部落攻击预警


RAT


最终跨进程重新写入覆盖的样本是NetwireRAT,其是开源的商业RAT软件。

疑似APT-C-56透明部落攻击预警



总结

APT组织之间相互伪装、攻击的事件时有发生,主要是为了迷惑安全厂商分析人员,达到避免暴露自身的目的,印巴区域的这种现象尤为明显。2020年9月,有印度安全厂商声称发现了一个针对印度的攻击组织,并将行动命名为SideCopy,其攻击手法和APT-C-24(响尾蛇)组织是高度相似的。而且同一国家下的APT组织常常技术共享,这也导致可能多个APT组织都使用了相似的攻击技术。

数字化时代已至,在强烈依赖信息网络的情况下,我们提醒广大用户、单位应该提升安全防护意识,增强安全基础设施建设,加大安全投入力度,才能更好的防范网络安全攻击。

    


附录 IOC



66.154.112[.]212/GOM.exe

hxxp://kavach[.]govrn[.]xyzshedule.exe

643b11c3f6a6ccc41cfd37544b71c0dc

28dc287cc78e195386dc33564dfe449a

23f5fcb554e6b8d0a935ce0474ee5a8e

f0b43a3f4821a4cf4b514144b496e4d7

c2a38018cf336685e3c760c614bbf4c3







360高级威胁研究院

360高级威胁研究院是360政企安全集团的核心能力支持部门,由360资深安全专家组成,专注于高级威胁的发现、防御、处置和研究,曾在全球范围内率先捕获双杀、双星、噩梦公式等多起业界知名的0day在野攻击,独家披露多个国家级APT组织的高级行动,赢得业内外的广泛认可,为360保障国家网络安全提供有力支撑。

相关推荐: Sodinokibi勒索病毒分析

IOC 病毒名称:Sodinokibi勒索病毒 样本名称:CDHFUN.exe MD5: ea4cae3d6d8150215a4d90593a4c30f2 SHA1: 8dcbcbefaedf5675b170af3fd44db93ad864894e SHA25…

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: