APT-C-48(CNC)组织攻击利用pub文件攻击活动分析

admin 2022年4月10日00:06:06评论819 views字数 2375阅读7分55秒阅读模式


APT-C-48
  CNC

APT-C-48 (CNC)组织是于2019年新出现的组织,由于其使用的远程控制木马的PDB包含了“cnc_client“的字样,所以将该组织命名为CNC,该组织主要攻击对象为我国军工和教育行业。去年年初我国疫情爆发初期,CNC组织通过伪造疫情相关的文档以及钓鱼网站对医疗行业发起攻击。


今年以来我们曾多次捕获该组织持续对我国多所科研机构进行攻击行为。近日,我们捕获到该组织针对我国科研机构的又一起攻击事件。


一. 攻击活动分析


攻击流程分析:

在本次攻击活动中,CNC组织使用的攻击流程如下:

APT-C-48(CNC)组织攻击利用pub文件攻击活动分析

样本分析:

从捕获的文件来看,显然攻击者投递的是一份伪装为出版物的”.pub”文件。

      

APT-C-48(CNC)组织攻击利用pub文件攻击活动分析

在pub文件中,通过恶意宏从服务器下载后续程序和脚本文件到本地执行。

APT-C-48(CNC)组织攻击利用pub文件攻击活动分析

不幸的是我们并未获取到bat文件,从总体流程上推测,我们认为该bat应具有启动taskhost.exe的功能。

Taskhost.exe

在Taskhost启动后,会通过函数” IsDebuggerPresent”,以及检测当前CreateProcessA函数是否被hook来判断是否退出进程。

APT-C-48(CNC)组织攻击利用pub文件攻击活动分析

通过检测后,会复制自身到路径“C:Mediataskhosts.exe“,并通过COM组件” ITaskService”来创建计划任务,实现程序开机自启动。

APT-C-48(CNC)组织攻击利用pub文件攻击活动分析

检测与域名“mail.163.cn“的链接来判断网络连通性。当网络环境正常时,则通过三轮base64对服务器端口进行解密。

APT-C-48(CNC)组织攻击利用pub文件攻击活动分析

通过指令ipconfig获取设备当前适配器信息,将其上传至服务器,并删除该文件。

随后通过创建创建管道向远程服务器提供反向shell。

APT-C-48(CNC)组织攻击利用pub文件攻击活动分析



钓鱼网站

巧合的是,在我们对钓鱼网站相关数据进行梳理时,我们发现了与上述样本来自同一source ID的钓鱼网站。

APT-C-48(CNC)组织攻击利用pub文件攻击活动分析

APT-C-48(CNC)组织攻击利用pub文件攻击活动分析

钓鱼网站页面如下:

APT-C-48(CNC)组织攻击利用pub文件攻击活动分析

在钓鱼页面的html中,对关键代码使用url编码进行混淆。

APT-C-48(CNC)组织攻击利用pub文件攻击活动分析

解密后代码如下图。在用户点击登录后,会通过smtpjs来使用邮箱” [email protected]”将用户输入的用户名密码发送至“[email protected]“。

APT-C-48(CNC)组织攻击利用pub文件攻击活动分析

其中“[email protected]“为印度一家人力招聘企业所使用邮箱,且目标用户所处行业领域与我们在《猎天行动》一文中描述的目标范围重合,这两个可能明确导向攻击活动背景的线索无疑是令人心动的。但通过继续对该邮箱以及攻击手法进一步深入分析,我们发现该邮箱所涉及的攻击目标范围较为广泛,涉及多个国家多种行业领域,与APT特征不符。且在其他各方向上并未与CNC组织存在交集。种种迹象表明,这两者也许仅仅只是一个巧合导致的误会。当然我们也不排除可能存在部分APT组织存在向部分黑色产业链购买目标用户的个人信息的可能性。

邮箱“[email protected]“关联的钓鱼邮件中涉及的部分邮箱后缀如下

@troostwijk.ch

@selux.de

@steinborn.com

@sartex.com.tn

@eiffeloptic.cz

@hmm21.com

@kela.be

@von-poll.com

@eltrade.com

@von-poll.com

@biro-d.cz

@forteldesign.cz

@ltt.com.pl

@kbfg.com

@lgchem.com

@pidilidi.cz

@kastens-knauer.de



二. 溯源关联


代码层面上,cnc组织似乎格外青睐于使用COM组件来创建计划任务。

APT-C-48(CNC)组织攻击利用pub文件攻击活动分析

 cnc样本代码 

APT-C-48(CNC)组织攻击利用pub文件攻击活动分析

本次攻击活动样本代码
正如我们在《猎天行动》中提到的,CNC组织部分开发人员在开发环境中集成了vcpkg。而这一特点在本次样本中得到了保留,并且本次攻击活动中使用的路径也与其以往使用的路径保持高度一致。

APT-C-48(CNC)组织攻击利用pub文件攻击活动分析

《猎天行动》中样本携带的vcpkg开发环境

APT-C-48(CNC)组织攻击利用pub文件攻击活动分析

本次攻击活动与开发环境相关的部分字符串

APT-C-48(CNC)组织攻击利用pub文件攻击活动分析

本次攻击活动携带pdb


从vcpkg中携带的路径以及pdb中,我们可以发现这两个恶意程序的开发设备上使用的是同一个用户名“user“。综上,我们认为本次攻击活动与CNC组织存在关联。


总结

在南亚地区的APT攻击活动中,攻击者往往喜欢使用各类文档文件结合社会工程学诱使受害者运行恶意代码。而在本次攻击活动中虽然同样也采用了这一形式,但值得注意的是,与以往我们在文档文件中常见的doc、xls、rtf、docx、xlsm等等格式不同,本次使用的是pub文档。pub文档作为Microsoft Office PUBlisher 建立的电子出版物,在我们日常生活中并不常见,往往只有少部分人群才会接触。

本次攻击活动中选择这一文档类型作为载荷恰恰体现了攻击者在载荷上多元化的一种趋势,同样也是攻击者在除了鱼叉邮件、文档文件内容之外的又一种针对性攻击的体现。


附录 IOC

MD5:


189e543a95ed791fc5a81a3048128703

5511b7b0b53c67d55019d13aaaf1ed15


URL:

http://194.33.40.177/webdav/taskhost.exe

http://194.33.40.177/webdav/status.txt


IP:

194.33.40.177


PBD:

C:Usersusersourcerepostaskhostx64Releasetaskhost.pdb








360高级威胁研究院

360高级威胁研究院是360政企安全集团的核心能力支持部门,由360资深安全专家组成,专注于高级威胁的发现、防御、处置和研究,曾在全球范围内率先捕获双杀、双星、噩梦公式等多起业界知名的0day在野攻击,独家披露多个国家级APT组织的高级行动,赢得业内外的广泛认可,为360保障国家网络安全提供有力支撑。

原文始发于微信公众号(360威胁情报中心):APT-C-48(CNC)组织攻击利用pub文件攻击活动分析

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年4月10日00:06:06
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   APT-C-48(CNC)组织攻击利用pub文件攻击活动分析http://cn-sec.com/archives/584304.html

发表评论

匿名网友 填写信息