APT追踪：Transparent Tribe恶意组织演变分析（上）

一、背景和主要发现

Transparent Tribe（又称为PROJECTM和MYTHIC LEOPARD），是一个高产出的恶意组织，其活动最早可以追溯到2013年。在过去的四年之中，这个APT组织从未休息。他们持续对目标进行攻击，通常是针对印度军方和政府人员。

本系列文章共分为两篇，这是第二篇，继续分享我们对Transparent Tribe恶意组织的调查结果。在上篇文章中，我们分析了各种Crimson RAT组件，并描述了受影响的客户。下面是本文的一些主要发现：

1、我们发现了Transparent Tribe使用的一种新型Android植入工具，用于在移动设备上进行监控。它伪装成色情应用程序或COVID-19追踪应用程序，在印度地区发布。

2、新的证据表明ObliqueRAT与Transparent Tribe之间存在联系。

二、Android植入工具

在我们的分析过程中，发现了一个值得关注的样本，该样本符合前面所描述的攻击模式。攻击过程从一个简单的文档开始，这个文档并不是恶意文档，也不包含任何宏，不会尝试下载其他恶意组件。但是，该文档运用社会工程学技巧，诱导受害者从外部站点下载另一个文档。外部站点地址是：

hxxp://sharingmymedia[.]com/files/Criteria-of-Army-Officers.doc

hxxp://sharingmymedia[.]com/files/7All-Selected-list.xls

15DA10765B7BECFCCA3325A91D90DB37 – Special Benefits.docx：

下载的远程文档是包含嵌入式恶意VBA的两个Microsoft Office文档，其恶意行为与上一篇文章描述的类似，会投放简版Crimson客户端。域名sharingmymedia[.]com就更加值得关注了，它解析到89.45.67[.]160这个地址，该网站是在2020年1月10日在Namesilo进行注册的。

注册者姓名：bluff hunnter

街道：India Dehli

城市：Dehli

州/省：Delhi

邮政编码：110001

国家：IN

电话：+91.4214521212

邮箱：[email protected]

另一个域名sharemydrives[.]com也使用了相同的信息进行注册，该域名是在2020年1月3日在Namesilo注册的。DNS解析指向相同的IP地址：89.45.67[.]160。

使用卡巴斯基威胁情报门户，我们查询到下述相关URL。

卡巴斯基威胁情报门户查询到的信息：

该文件是MxVideoPlayer的修改版本，MxVideoPlayer是一个适用于Android的简单开源视频播放器，可以从GitHub下载。Transparent Tribe利用这个合法软件投放并执行Android RAT。

Desi-porn.apk截图：

投放工具尝试在系统上查找以下合法软件包：

· 0imo.android.imoim

· snapchat.android

· viber.voip

· facebook.lite

如果发现是小米设备，还会检查com.truecaller软件包是否存在。

用于检查是否安装了合法软件包的代码：

如果发现列表中有未安装的应用程序，则会选择第一个作为目标应用程序。在恶意软件中，嵌入了多个APK文件，这些文件存储在名为“assets”的目录下。我们分析的样本中包含以下软件包：

· apk a20fc273a49c3b882845ac8d6cc5beac

· apk 53cd72147b0ef6bf6e64d266bf3ccafe

· apk bae69f2ce9f002a11238dcf29101c14f

· apk b8006e986453a6f25fd94db6b7114ac2

· apk 4556ccecbf24b2e3e07d3856f42c7072

· apk 6c3308cd8a060327d841626a677a0549

将所选的APK复制到/.System/APK/。默认情况下，应用程序尝试将文件保存到外部存储，如果不存在，则保存到data目录。

最后，应用程序尝试安装复制的APK。最终的恶意软件是AhMyth Android RAT的修改版本，软件可以从GitHub下载。攻击者将恶意Payload绑定到其他合法应用程序中。

原始的AhMyth RAT支持以下命令：

命令：x0000ca

附带字段：

extra = camlist（获取摄像头列表）

extra = 1（从ID为1的摄像头获取照片）

extra = 0（从ID为0的摄像头获取照片）

命令：x0000fm

附带字段：

extra = ls; path = %dirpath%（获取path变量中定义路径的文件列表）

extra = ls; path = %dirpath%（将特定文件上传到C2）

命令：x0000sm

附带字段：

extra = ls（获取短信息列表）

extra = sendSMS; to = %number%; sms = %message%（向另一个号码发送新的消息）

命令：x0000cl（获取通话记录）

命令：x0000cn（获取通讯录）

命令：x0000mc

附带字段：

sec = %seconds%（使用麦克风录制seconds变量中定义的秒数的音频并上传至C2）

命令：x0000lm（获取设备位置）

基本上，恶意软件具有以下功能：

1、摄像头管理（列出设备并窃取屏幕截图）；

2、文件管理（列举文件并将其上传到C2）；

3、短信管理（获取短信列表或发送短信）；

4、获取通话记录；

5、获取通讯录；

6、麦克风管理；

7、位置管理（追踪设备位置）。

我们分析的RAT与原始的RAT略有不同。其中包括攻击者添加的、用于窃取数据的新功能，同时删减了一些原来的功能，比如从相机中窃取图片。

攻击者添加了以下命令：

x000upd – 从“path”字段中指定的URL下载新的APK。

x000adm – 自动下载工具，在我们分析的版本中不包含此功能，但在其他样本中可用。

此外，攻击者还改进了其音频监听的功能，增加了删除包含特定内容的文本消息的命令。

命令：x000upd

附加字段：

path = %url%（从path变量中指定的URL下载一个新的APK文件）

命令：x000adm（在我们分析的样本中没有实现这一命令，其他样本使用该命令启动一个名为“autodownloader”的类）

命令：x0000mc

附加字段：

extra = au; sec = %seconds%（录制音频x秒钟，然后将结果上传至C2，持续时间在sec变量中指定）

extra = mu（停止录音，将录制内容上传到C2）

extra = muS（开始连续录音，录音文件以MP3格式存储在/.System/Records/目录下）

命令：x0000fm

附加字段：

extra = ls; path = %dirpath%（获取path变量中定义的目录下的文件列表）

extra = dl; path = %filepath%（上传特定文件到hxxp://212.8.240[.]221:80/server/upload.php）

命令：sms

附加字段：

extra = ls（获取短信息列表）

extra = sendSMS; to = %number%; sms = %message%（给特定号码%number%发送新消息%message%）

extra = deleteSMS; to = ; sms = %message%（删除包含%message%内容的短信息，其中to的值被忽略）

命令：x0000cl（获取通话记录）

命令：x0000cn（获取通讯录）

命令：x0000lm（获取设备位置）

其中，“autodownloader”是用于执行以下操作的方法：

1、上传联系人列表；

2、上传短信列表；

3、上传存储在以下目录中的文件：

/.System/Records/

/Download/

/DCIM/Camera/

/Documents/

/WhatsApp/Media/WhatsApp Images/

/WhatsApp/Media/WhatsApp Documents/

攻击者使用上述方法自动收集联系人和短信。此外，该方法还会收集以下内容：

使用“x0000mc”命令创建并存储在/.System/Records/中的音频文件；

通过WhatsApp共享的下载文件、照片、图像、文档；

设备上存储的其他文档。

原始的AhMyth和Transparent Tribe修改版本之间的另一个区别是获取C2地址的方法。原始版本将C2服务器存储为直接嵌入代码的字符串，而修改后的版本则使用不同的方法。它嵌入了另一个以Base64编码的URL，该URL用于获取配置文件，在配置文件中包含真实的C2地址。

在我们的示例中，URL如下：

hxxp://tryanotherhorse[.]com/config.txt

其中包含如下内容；

212.8.240.221:5987

http://www.tryanotherhorse.com

第一行是实际的C2，似乎是一个在荷兰托管的服务器。

修改后的版本通过不同的URL方案进行通信，其中还包括更多信息：

原始URL格式：http://%server%:%port?model=%val%&manf=%val%&release=%val%&id=%val%

修改版URL格式：http://%server%:%port?mac=%val%&battery=%val%&model=%val%&manf=%val%&release=%val%&id=%val%

三、COVID-19追踪应用程序

我们发现证据表明，Transparent Tribe还利用疫情追踪应用程序分发木马。我们找到了一个仿冒Aarogya Setu的APK文件，而Aarogya Setu是印度政府电子和信息技术部下属的国家信息中心开发的COVID-19追踪移动应用程序，允许用户查看印度基本卫生服务信息。

我们发现的应用程序尝试连接到相同的恶意URL以获取C2 IP地址：

hxxp://tryanotherhorse[.]com/config.txt

它使用与前面所述相同的URL方案，并嵌入以下APK软件包：

apk CF71BA878434605A3506203829C63B9D

apk 627AA2F8A8FC2787B783E64C8C57B0ED

apk 62FAD3AC69DB0E8E541EFA2F479618CE

apk A912E5967261656457FD076986BB327C

apk 3EB36A9853C9C68524DBE8C44734EC35

apk 931435CB8A5B2542F8E5F29FD369E010

值得关注的是，在4月底，印度军队发出警告，声称巴基斯坦相关机构设计了类似于Aarogya Setu的恶意应用程序以入侵印度军方人员的手机。

据一些印度新闻网站称，这些应用程序是由巴基斯坦情报人员发送到印度军方人员所在的WhatsApp群组的。文章还提到，这些应用程序后续安装了其他软件包：

· face.apk

· imo.apk

· normal.apk

· trueC.apk

· snap.apk

· viber.apk

基于公开信息，我们认为攻击者可能通过WhatsApp、短信息、网络钓鱼电子邮件或社交媒体的方式发送恶意链接，从而传播恶意应用程序。

四、ObliqueRAT的关联分析

ObliqueRAT是另一个恶意程序，Cisco Talos曾在2月发表一篇文章对其进行分析。之所以将该恶意程序归因于Transparent Tribe，是因为其中某些样本是通过恶意文档分发的，这些文档使用了用于分发Crimson RAT的恶意宏。

在Talos的分析文章中，描述了两个ObliqueRAT变种，一种通过恶意文档作为感染媒介进行分发，另一种名为“Variant # 0”，通过Dropper进行分发。

4a25e48b8cf515f4cdd6711a69ccc875429dcc32007adb133fb25d63e53e2ac6

遗憾的是，根据Talos，该Dropper目前的初始感染方式暂时未知。

到现在，我们还没有完整的感染链，但是我们可以从另一个角度去分析，因为sharemydrives[.]com还托管了另一个文件。

卡巴斯基威胁情报门户中的信息：

wifeexchange.exe样本是另一个Dropper，它伪装成色情视频。

该可执行文件使用与Windows多媒体文件相同的图标。

Dropper图标：

执行后，该进程将尝试在文件映像中查找特定的标记（“*#@”），然后投放并打开以下文件：

· frame.exe – 4a25e48b8cf515f4cdd6711a69ccc875429dcc32007adb133fb25d63e53e2ac6

· movie.mp4

Frame.exe是Talos分析的Dropper，而movie.mp4是一个较小的色情视频片段。

五、总结

Transparent Tribe成员正在尝试添加新工具以扩展其恶意活动并感染更多的移动设备。他们还开发了新的自定义.NET工具，例如ObliqueRAT。正如在上篇报告中所描述的，该恶意组织不太会放慢速度，我们也将继续监测他们的活动。

六、威胁指标

下面的威胁指标是不完整的。如果你想了解有关APT的更多信息以及完整的威胁指标列表，可以选择成为卡巴斯基威胁情报报告的客户。

15DA10765B7BECFCCA3325A91D90DB37 – Special Benefits.docx

48476DA4403243B342A166D8A6BE7A3F – 7All_Selected_list.xls

B3F8EEE133AE385D9C7655AAE033CA3E – Criteria of Army Officers.doc

D7D6889BFA96724F7B3F951BC06E8C02 – wifeexchange.exe

0294F46D0E8CB5377F97B49EA3593C25 – Android Dropper – Desi-porn.apk

5F563A38E3B98A7BC6C65555D0AD5CFD – Android Dropper – Aarogya Setu.apk

A20FC273A49C3B882845AC8D6CC5BEAC – Android RAT – face.apk

53CD72147B0EF6BF6E64D266BF3CCAFE – Android RAT – imo.apk

BAE69F2CE9F002A11238DCF29101C14F – Android RAT – normal.apk

B8006E986453A6F25FD94DB6B7114AC2 – Android RAT – snap.apk

4556CCECBF24B2E3E07D3856F42C7072 – Android RAT – trueC.apk

6C3308CD8A060327D841626A677A0549 – Android RAT – viber.apk

CF71BA878434605A3506203829C63B9D – Android RAT – face.apk

627AA2F8A8FC2787B783E64C8C57B0ED – Android RAT – imo.apk

62FAD3AC69DB0E8E541EFA2F479618CE – Android RAT – normal.apk

A912E5967261656457FD076986BB327C – Android RAT – snap.apk

3EB36A9853C9C68524DBE8C44734EC35 – Android RAT – trueC.apk

931435CB8A5B2542F8E5F29FD369E010 – Android RAT – viber.apk

hxxp://sharingmymedia[.]com/files/Criteria-of-Army-Officers.doc

hxxp://sharingmymedia[.]com/files/7All-Selected-list.xls

hxxp://sharemydrives[.]com/files/Laptop/wifeexchange.exe

hxxp://sharemydrives[.]com/files/Mobile/Desi-Porn.apk

hxxp://tryanotherhorse[.]com/config.txt – APK URL

212.8.240[.]221:5987 – Android RAT C2

hxxp://212.8.240[.]221:80/server/upload.php – Android RAT用于上传文件的URL

参考及来源：https://securelist.com/transparent-tribe-part-2/98233/