推陈出新，蔓灵花组织攻击模块再升级

1

 概述

近期，微步在线捕获一起蔓灵花组织的攻击活动，并发现一批蔓灵花组织所使用的攻击模块，经过快速分析，得到如下结论：

• 获取到的多个攻击模块大部分拥有两个版本，一个版本为已知的蔓灵花攻击活动所曝光的模块，一个版本为未知的新版本；

• 攻击载荷中包含“信息窃取”、“远控”、“键盘记录”多种功能模块；

• 攻击者在部分攻击模块中的 HTTP 请求中，在 Host 字段中使用国内的地址，绕过部分流量检测的规则；

• 我们对当前样本提取了 C2，并进行了拓线分析，发现了攻击者背后的当前的其他资产，建议利用内部安全设备直接进行阻断。
  

2

 事件详情

近期，微步在线通过发现的蔓灵花组织的攻击活动拓线关联出多个与蔓灵花组织有所联系的攻击模块。

本次获取到的攻击模块如下：

图 1攻击者的插件

模块名称	模块功能
asmsN、asmsNN、lsapip、sthost、sysmgr、sysmgrNew	信息窃取
iexplorer	键盘记录
mshost、mthost	远控

3

 样本分析

3.1 asmsN、asmsNN

该类模块是蔓灵花组织常用的窃取模块，两模块区别在于有部分添加混淆垃圾代码，主要功能为窃取主机硬盘驱动器中 doc、docx、ppt、pptx、xls、pdf、zip、txt 以及 apk 等类型的文件，同时该窃密木马还会探测主机是否存在光盘驱动器，如果存在，则将光盘驱动器中存在的所有文件也回传至攻击的服务器。

首先进行长时间的休眠，以此对抗沙箱检测。

图 2长时间Sleep

木马会在自身所在目录下创建名为 “errore.log”、“error1log.txt” 的文件 ，error1log.txt 文件作用是储存后续收集的文件信息，而 errore.log 文件作用是对自身的操作进行标识。上述文件创建完成后，木马开始收集主机中不在排除路径列表且符合类型的文件信息，包括文件的完整路径以及文件的创建时间戳。同时，当木马探测到主机中存在光盘驱动器时，木马也会收集光盘驱动器中存在的文件。收集信息完成后，木马则会将收集的文件信息以“创建时间戳_文件路径||”的形式写入 error1log.txt。

图 3搜集的信息

最后将文件传送回 C2 地址：“23.**.***.*”，并且在与 C2 连接时，会在 HTTP 请求的 Host 字段使用地址：“365trade.com.cn”，以此绕过一些流量检测。

图 4回传信息的数据包

在代码上，两个模块的功能基本一致，不过新版本的模块增加了一些判断函数，老版本的木马只会重复执行，而没有判断执行是否成功的代码。

图5

3.2 sthost

该模块是一个 .NET 木马，用于从受控主机中窃取文件。木马中使用 AES 对字符串进行加解密，解密出的部分文件路径及 C2 地址如下：

图 6解密后的字符串

木马会先发从系统信息到 C2 地址，然后再从磁盘中遍历指定后缀的文件，并将其信息传回 C2 服务器中，其中遍历的后缀包括：

txt	TXT	text	TEXT	pdf	PDF
doc	docx	DOC	DOCX	xls	xlsx
XLS	XLSX	ppt	pptx	PPT	PPTX
accdb	ACCDB	rar	RAR	zip	ZIP
rtf	RTF	apk	APK	ovpn	OVPN
pfx	PFX	neat	NEAT	err	ERR
eln	ELN	ppi	PPI	er9	ER9
azr	AZR

攻击者还写出了一些优先文件夹，其中包含 “desktop”、“Documents” 等文件夹，以及两个特殊文件 “logins.json”、“key3.db”，这两个文件疑似为 FireFox 浏览器保存的用户帐号及密码信息。

图 7优先窃取的文件

3.3 mshost、mthost

该模块为同一类的 .NET 远控木马，两个文件的功能、版本、配置信息都相同。从其 pdb 路径中字符串 “cn_stinket_34318” 来看，似乎是针对中国的木马。

图 8 PDB路径

该木马为蔓灵花组织所常用的 .NET 远控程序，运行后会首先进行初始化操作，并且从自带的 Version 字段来看目前已经到了7.0版本，而与老版本的功能对比也如图所示：

图 9版本号

图 10新旧版本功能对比

通过 HEX 解码出 C2 地址“45.**.**.***”，并与C2地址连接进行远控，具体功能包括文件管理（创建文件、删除文件、复制文件）、文件传输、命令执行等。

图 11 HEX编码的C2地址

3.4 iexplorer

该模块为蔓灵花组织的键盘记录器，运行后会通过 WindowsHook 执行恶意代码，“C:UsersUserAppDataRoamingMicrosoftWindowsTemplates”下创建新文件，并监控键盘输入，将用户输入的内容记录下来，不过按键内容与记录内容不是一一对应，而是攻击者自己设置的映射关系。

图 12键盘记录

3.5 lsapip、sysmgr、sysmgrnew

此类模块功能相同，均为收集文件信息且将搜集的内容回传到 C2 地址，且在建立通信过程中，sysmgr、sysmgrnew 及 asmsN、asmsNN 两类四个模块在  HTTP 包中的 Host 部分使用了国内的地址以此绕过部分流量检测。具体的模块与C2 地址及 Host 地址对应如下：

模块名	C2地址	PCAP包中Host地址
sysmgr	193.***.**.***	svc********.net
sysmgrnew	193.***.**.***	baidu.com
asms	23.**.***.*	365trade.com.cn
asmsNN	23.**.***.*	365trade.com.cn

发送搜集的信息到 C2 地址：

图 13发送信息

4

 关联分析

本次发现捕获得多个模块也与蔓灵花组织曾经所使用的模块有所重叠。例如本次发现的 “sysmgr” 是蔓灵花组织常用的文件收集模块，在以往的攻击活动中，该组织下发的该模块又名为 “Lsapip”、“Lsap”、“Lsapcr” 等，该模块的 C2 地址 “svc********.net” 又是曾被多次曝光的蔓灵花组织资产。除了样本的相似性外，在 C2 地址的部分特殊路径中，例如 “RguhsT”、“accept.php” 也与曾曝光过的蔓灵花攻击活动相同。

5

 结论

蔓灵花组织是一个长期活跃的境外组织，从近期发现的攻击活动来看，该组织一直在长期针对中国、孟加拉、尼泊尔等印度周边的亚洲国家进行攻击。

攻击者会以特定企业、单位作为目标，向目标发送邮件或诱饵文档，引诱用户执行恶意代码，并从 C2 控制端对受害主机进行下发后续攻击载荷，其中包括文件执行、信息窃取、键盘记录、远控等多种模块。

微步情报局招聘通道

❖

沙箱安全开发（Linux方向）  戳我查看岗位详情

❖

高级应急响应工程师 戳我查看岗位详情

❖

高级渗透测试工程师 戳我查看岗位详情

点击下方名片，关注我们

第一时间为您推送最新威胁情报

阅读原文，可加入粉丝群

原文始发于微信公众号（微步在线研究响应中心）：推陈出新，蔓灵花组织攻击模块再升级