网络安全主题诱饵,配合新型后门WinClouds肆虐南亚地区

admin
admin
admin
138674
文章
114
评论
2020年10月15日10:12:57评论154 views字数 2280阅读7分36秒阅读模式

概述

近日,奇安信病毒响应中心在日常样本分析过程中发现了一款新型的后门木马,用于针对巴基斯坦的网络攻击,基于PDB文件,我们将该型木马命名为:WinCloudsRat,经过推测本次攻击活动可能与南亚某大国有关。

WinClouds Rat通过恶意宏文档或者带有漏洞的RTF文档进行投递,且诱饵内容与流行商贸信类型,启用宏后会弹出Data Format Error的提示框来迷惑用户,该手法与我们之前发布的报告《提菩行动:来自南亚APT组织“魔罗桫”的报复性定向攻击》中使用的手法类似。新型木马WinClouds免杀效果较好,功能较为轻便,具有文件管理、命令执行等常用功能。

通过奇安信大数据平台监测,国内访问量较少,但是不排除攻击者今后会对国内进行手法相似的攻击,故我们负责任的披露了此次攻击活动。


诱饵文档分析

本次共捕获三个诱饵文档、分别为Doc宏文档、xls宏文档、RTF漏洞利用文档,且文档上传地均为巴基斯坦。


宏文档

文件名

MD5

类型

Records.xls

2a63a3149c2f1415914f7ad7c1e729a9

宏文档
免杀效果非常好,VT报毒情况如下:

网络安全主题诱饵,配合新型后门WinClouds肆虐南亚地区

文档内容如下:

网络安全主题诱饵,配合新型后门WinClouds肆虐南亚地区

商贸信样式的内容,点击启用宏后会弹出“Data Format Error!”的提示框,迷惑用户

网络安全主题诱饵,配合新型后门WinClouds肆虐南亚地区

宏代码较为简单,主要功能为创建任务计划,定时调用msiexec执行远程Msi程序

网络安全主题诱饵,配合新型后门WinClouds肆虐南亚地区

URL:supportinfochannel.com/mntuxjl/2b1509sp/winupdte.msi

值得注意是,命令行经过了‘^’字符的随机混淆,通过关联我们找到了另一个宏样本

文件名

MD5

类型

Instruction for Prevention.doc

bc29194c89300ac38adbeed1d40b9080

宏文档

文档内容如下:

网络安全主题诱饵,配合新型后门WinClouds肆虐南亚地区

启用宏后会显示网络安全预防措施相关的文档内容

网络安全主题诱饵,配合新型后门WinClouds肆虐南亚地区

宏代码功能与上述类似,创建计划任务执行远程MSI文件,命令行同样经过‘^’字符的随机混淆

网络安全主题诱饵,配合新型后门WinClouds肆虐南亚地区

URL: fdcx32hostlaunchsvc.com/WrdM/1b8w10/mgtwrvc.msi


RTF样本

文件名

MD5

类型

Ufone Report.rtf

56e05fcb520b3bf0d0d861dc3e31b821

RTF

样本为11882漏洞的RTF文件,根据以往经验,此类文件在鱼叉攻击流程中都是通过带有密码的压缩包来进行投递的。

Ufone是Pak Telecom Mobile Limited的缩写,为巴基斯坦移动运营商。在分析过程中我们发现该样本进行漏洞利用的公式编辑器结构与Bitter APT组织投放的RTF文件类似,可能是通过同一套工具生成而来。

网络安全主题诱饵,配合新型后门WinClouds肆虐南亚地区

但是这些证据并不能百分之百证明本次攻击活动与Bitter APT组织有关,我们只提供一个溯源思路供友商参考。RTF中执行的命令行同样被‘^’字符随机混淆,请求的URL:supportinfochannel.com/Anltf/blk1/winupdte.msi


WinClouds Rat分析

文件名

MD5

类型

winupdte.msi

4985270d94c5c966f069720a1bca36ed

MSI文件

在非静默执行MSI时可以看到样本伪装成Windows Defenders的安装程序

网络安全主题诱饵,配合新型后门WinClouds肆虐南亚地区

释放名为C:IntelHDGraphicsLogsintelgraphics.exe和runwinhost.vbs两个恶意程序,runwinhost.vbs主要用于实现持久化操作

网络安全主题诱饵,配合新型后门WinClouds肆虐南亚地区

在startup目录下释放lnk文件,link文件指向移动后的WinClouds Rat。

WinClouds由.net编写,PDB如下:

G:NewRATNEw_cpypasClouds2.0CloudsobjReleasewinClouds2.0.pdb

WinClouds代码结构如下:

网络安全主题诱饵,配合新型后门WinClouds肆虐南亚地区

配置文件如下

网络安全主题诱饵,配合新型后门WinClouds肆虐南亚地区

通过sha256.Decrypt函数解密出C2并连接。

网络安全主题诱饵,配合新型后门WinClouds肆虐南亚地区

域名:firetoolextapp.net

会先收集本机信息:

网络安全主题诱饵,配合新型后门WinClouds肆虐南亚地区

通过Message执行各个功能,具体功能如下

网络安全主题诱饵,配合新型后门WinClouds肆虐南亚地区

文件管理

网络安全主题诱饵,配合新型后门WinClouds肆虐南亚地区

命令执行

网络安全主题诱饵,配合新型后门WinClouds肆虐南亚地区


总结

2020年以来,疫情肆虐全球,同时网络空间的攻击活动也越发频繁,近期,南亚形势备受关注,而具有国家背景的黑客组织近期也活动频繁。

奇安信病毒响应中心提醒广大用户,切勿打开社交媒体分享的来历不明的链接,不点击执行未知来源的邮件附件,不运行夸张的标题的未知文件,不安装非正规途径来源的APP做到及时备份重要文件,更新安装补丁

若需运行,安装来历不明的应用,可先通过奇安信威胁情报文件深度分析平台(https://sandbox.ti.qianxin.com/sandbox/page)进行简单判别。目前已支持包括Windows、安卓平台在内的多种格式文件深度分析。

网络安全主题诱饵,配合新型后门WinClouds肆虐南亚地区


IOC

MD5

2a63a3149c2f1415914f7ad7c1e729a9

bc29194c89300ac38adbeed1d40b9080

56e05fcb520b3bf0d0d861dc3e31b821

4985270d94c5c966f069720a1bca36ed

C2:

supportinfochannel.com/mntuxjl/2b1509sp/winupdte.msi

fdcx32hostlaunchsvc.com/WrdM/1b8w10/mgtwrvc.msi

supportinfochannel.com/Anltf/blk1/winupdte.msi

firetoolextapp.net


本文始发于微信公众号(奇安信威胁情报中心):网络安全主题诱饵,配合新型后门WinClouds肆虐南亚地区

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2020年10月15日10:12:57
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   网络安全主题诱饵,配合新型后门WinClouds肆虐南亚地区https://cn-sec.com/archives/158132.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息