疑似摩诃草组织利用WarHawk后门变种Spyder窥伺多国

根据Spyder后门早期样本使用的数字签名和以此关联到的Remcos木马样本，我们更倾向于认为背后的攻击团伙是摩诃草。此外我们由攻击者使用的一个IP发现了另一款用C#编写的轻量级后门。

上述样本均以Word、Excel、PDF等文档图标进行伪装。按照样本大小、创建时间和代码相似性，可以分为原始版（4月样本）和新版（6月样本）两类，新版相比原始版的代码进行了部分改动。结合样本名称、VT上传地和样本中的配置信息，Spyder后门的攻击目标包括中国、巴基斯坦、尼泊尔警察局、孟加拉国空军。

6月攻击样本几乎一样，包括C2信息，仅部分配置数据不同。以下面样本为例进行分析。

解密得到的数据部分如下所示，包括后门agent代号（配置数据中最开始的4字节，数值为“3”）、互斥量名称和C2通信URL。

除了从配置数据中获得关键字符串，后门还常用如下异或的方式解密所需字符串。

调用CreateMutexA创建互斥量之后，后门开始收集感染设备相关信息，收集的信息以及获取方式分别如下：

向用于C2通信的URL（"hxxp://plainboardssixty.com/drive/bottom.php"）发送POST请求，回传信息为Machine GUID和配置数据中的邮箱名。如果响应为"1"，则直接进入休眠状态。

将当前文件复制为用户"C:Users[user_name]AppDataRoaming"目录下的DllHostcache文件，创建一系列计划任务，运行时间为第二天指定时间。

回传之前收集的信息。

之后与C2进行多次交互，下载后续载荷并运行，交互过程如下。

此次响应消息为JSON字符串，包含name和pass两个字段，分别对应压缩包名称和解压密码。

后门指令详细说明如下。

1.  配置数据中的互斥量、profile和email的名称不同；

2. 循环开始时从hxxp://plainboardssixty.com/drive/chilli.php下载文件的保存名称为gameinput.exe；

3. 指令"2"和"3"释放文件保存名称分别为"Microsoft.Web.PageInspector.exe"和"DocumentFormat.OpenXml.exe"，保存在"AppDataLocal"的"Microsoft.Web"子目录下。

4月的原始版样本与6月的新版样本之间的差异不大，主要不同之处在以下几个方面：

(1) 配置用的关键字符串在初始化函数中异或解密，而不是像新版样本从资源区解密得到；

(2) 在创建一系列计划任务和回传收集的信息之前，没有与C2交互并根据响应选择是否休眠的操作；

(3) 与C2通信的循环开始时，没有从另一个额外的URL下载载荷并执行；

(4) 虽然两个版本的样本回传信息的格式一致，但是原始版本中的profile只是代号，mail没有邮箱名，不像新版中具有明确的指向。

4月样本的配置数据如下所示。

Spyder与Zscaler披露的WarHawk后门^[2]存在一些相似之处，但后门指令对应的操作有较大差别。

(1) 向C2发送POST请求的函数相似，且使用的User Agent相同。

(2) 收集的设备信息相似，并且均以hwid（即Machine GUID）作为C2通信中的受害者标识。

(3) 两者的C2指令均以数字字符区分不同操作，且下发的C2指令均存在JSON格式的字符串。

两种后门的差别体现在后门指令的分发形式和具体功能上。WarHawk后门在指令循环中依次调用实现每种指令功能的函数，各个函数首先询问C2是否进行该操作，然后根据C2服务器的回复选择执行或者跳过。下图为WarHawk后门的相关代码。

WarHawk后门支持的功能包括下载并执行后续载荷、命令执行、文件信息收集回传、下载文件。而Spyder后门的功能集中在下载并执行后续载荷。

Spyder后门早期样本（MD5: eb9068161baa5842b40d5565130526b9）带有的数字签名"Integrated Plotting Solutions Limited"也被摩诃草的其他样本使用过。

此外，根据另一个Spyder后门样本（MD5: 87d94635372b874f18acb3af7c340357）使用的数字签名"HILLFOOT DEVELOPMENTS (UK) LTD."关联到一个Remcos木马样本。

然后解密出Remcos木马的PE文件数据，内存加载执行。

而摩诃草组织在此前的攻击活动中也常用Remcos木马。综合以上线索，我们认为Spyder后门攻击活动背后的团伙很可能是摩诃草。

上述Remcos木马样本的C2为192[.]169.7.142:80。

关联到另一个样本与该IP通信，为C#编写的轻量级后门。

Config数据如下，与C2服务器通信的URL格式为"hxxps://192.169.7.142:4546/search?q=search[<host_name>"。

Main_Load函数中调用Fetch和Reply方法实现简单的后门功能。

Fetch方法通过GET请求从C2服务器获取指令数据，然后对获取数据进行处理，包括逆序、GZ解压、消除字符串"XXPADDINGXXPADDINGXXPADDINGXX"。创建cmd.exe进程，代码页设置为437，执行上述处理后的指令数据。

Reply方法将cmd.exe进程执行命令的结果处理后，通过POST请求发送给C2服务器。处理过程为添加字符串"XXPADDINGXXPADDINGXXPADDINGXX"、GZ压缩、逆序。

该轻量后门功能极其简单，很可能是在攻击过程中结合其他恶意软件使用。

更进一步，我们发现该C#后门还有其他样本也上传到VT，实现代码略有不同。

配置数据中C2服务器为内网IP，意味着该样本可能是测试版本。

若需运行，安装来历不明的应用，可先通过奇安信威胁情报文件深度分析平台（https://sandbox.ti.qianxin.com/sandbox/page）进行判别。目前已支持包括Windows、安卓平台在内的多种格式文件深度分析。

目前，基于奇安信威胁情报中心的威胁情报数据的全线产品，包括奇安信威胁情报平台（TIP）、天擎、天眼高级威胁检测系统、奇安信NGSOC、奇安信态势感知等，都已经支持对此类攻击的精确检测。

(Spyder)

eb9068161baa5842b40d5565130526b9

87d94635372b874f18acb3af7c340357

1fa3f364bcd02433bc0f4d3113714f16

1f599f9ab4ce3da3c2b47b76d9f88850

53b3a018d1a4d935ea7dd7431374caf1

1f4b225813616fbb087ae211e9805baf

(Remcos)

acbae6919c9ce41f45ce0d1a3f3fedd4

(C#后门)

e3b37459489a863351d855e594df93bf

4a25a52244f3360b0fffd0d752833bf1

C&C

plainboardssixty.com

gclouddrives.com

alibababackupcloud.com

cloudplatfromservice.one

192[.]169.7.142:80

192[.]169.7.142:4546

URL

hxxp://plainboardssixty.com/drive/

hxxp://gclouddrives.com/spyder/

hxxp://alibababackupcloud.com/spyder/

hxxp://cloudplatfromservice.one/cpidr/

hxxps://192.169.7.142:4546/search?q=search[

[2].https://www.zscaler.com/blogs/security-research/warhawk-new-backdoor-arsenal-sidewinder-apt-group-0