APT-C-56(透明部落)利用OLE对象部署CrimsonRAT木马的攻击活动分析

admin 2023年12月7日20:41:48评论36 views字数 4634阅读15分26秒阅读模式
APT-C-56
  透明部落

APT-C-56(透明部落)(Transparent Tribe)又名APT36、ProjectM、C-Major,是一个具有南亚背景的APT组织,其主要针对印度等周边国家发动网络攻击,善于运用社会工程学进行鱼叉攻击向目标用户投递带宏的doc、ppam和xls等类型诱饵文档,并且还开发出了属于自己的专属木马CrimsonRAT等工具,此外透明部落组织还被发现与SideCopy组织存在基础设施重叠。

360高级威胁研究院捕获到了一批针对印度国防、金融、大学等单位的攻击样本。当受害者打开这些诱饵文档后,恶意文件将会从自身嵌入的OLE(Object Linking and Embedding)对象中释放出恶意载荷,该载荷为透明部落组织专属的CrimsonRAT远控程序。需要说明的是,该组织前期攻击中喜欢将恶意载荷数据直接嵌入到宏代码中,而最近几轮攻击中偏向通过OLE对象释放恶意载荷,本篇文章主要分析利用OLE对象释放载荷的情况。

 一、攻击活动分析  

1.载荷投递分析   

本次捕获的样本由印度地区上传,并且样本伪装内容围绕印度相关新闻为话题,从而侧面也可以判断出此轮攻击目标为印度,并采用鱼叉式投递,相关样本信息如下:

MD5

文件名

0ad121b4eb1ef9c491181c5ab8fe1ed7

SANJY-2023 Security Measure.ppam

d67c9c9d0e94f04cfe67637922b61e05

docx.zip

44c494a30f83f92295c8351b86a2507a

docksx.zip

34d580fb24ea1747b822f02ad3bd2d87

my personal photos.ppam

20cb5cecfe93c56c9ad3455f41c20e37

Export of Defence Product-05.ppam

8d8311afbc81c2bb319cd692460b1632

M1-Financial-Accounting.docm

部分诱饵载荷如下所示:
诱饵1:印度英迪拉甘地国立开放大学的作业成绩评定

APT-C-56(透明部落)利用OLE对象部署CrimsonRAT木马的攻击活动分析

诱饵2:会计原则 

APT-C-56(透明部落)利用OLE对象部署CrimsonRAT木马的攻击活动分析

诱饵3:国防产品出口

APT-C-56(透明部落)利用OLE对象部署CrimsonRAT木马的攻击活动分析

2.恶意载荷分析

本次捕获的样本攻击流程基本一致,都是使用宏代码解压自身嵌入的OLE对象得到CrimsonRAT远控木马然后执行,从而开启窃密行动。以样本(0ad121b4eb1ef9c491181c5ab8fe1ed7)为例进行分析说明,其嵌入的OLE对象如下所示:

APT-C-56(透明部落)利用OLE对象部署CrimsonRAT木马的攻击活动分析

样本打开时会诱骗受害启用宏代码:    

APT-C-56(透明部落)利用OLE对象部署CrimsonRAT木马的攻击活动分析

宏代码首先判断%USERPROFILE%目录下Ofcx_[secode](当前秒数)文件夹是否存在,若不存在则创建。接着将嵌入对象oleObject1.bin复制到创建目录下并改名为docos.zip,然后解压该压缩包文件释放出oleObject1.bin和oleObject2.bin两个文件。然后判断是否存在.NET v3.5环境,若存在则将解压后的oleObject1.bin改名为idtvivrs vdao.exe并执行,否则改名oleObject2.bin执行。最后将嵌入对象oleObject3.bin作为pptx文件打开显示诱饵文档。

APT-C-56(透明部落)利用OLE对象部署CrimsonRAT木马的攻击活动分析

3.攻击组件分析  

解压后的两个文件均为透明部落组织专属的CrimsonRAT远控类型木马,以解压后的oleObject1.bin为例进行分析说明,其信息如下:

MD5

c93cb6bb245e90c1b7df9f3c55734887

文件大小

15.39 MB (16136192字节)

文件名

idtvivrs vdao.exe

编译时间

2023-06-06 03:07:20 UTC

样本初始化执行时首先将自身当前路径添加为注册表自启动,可以看到攻击者其采用“_”符进行字符串拼接以规避部分杀毒软件的静态查杀。

APT-C-56(透明部落)利用OLE对象部署CrimsonRAT木马的攻击活动分析

接着向66.154.103.101:9108发起连接,若失败则选择下个端口继续连接。 

APT-C-56(透明部落)利用OLE对象部署CrimsonRAT木马的攻击活动分析

连接成功后,与服务器进行交互,相关控制指令如下所示:

指令

描述

thy5umb

读取图像文件的信息(文件名、创建日期和文件大小)

scy5rsz

设置截屏大小

gey5tavs

获取进程ID

scy5uren

scy5ren

scyr5en

scyu5ren

判断标志位决定是否屏幕截屏

pry5ocl

获取进程列表

puy5tsrt

设置自启

doy5wf

文件上传

cdy5crgn

csy5crgn

csy5dcrgn

直接截屏

diy5rs

获取磁盘信息

fiy5lsz

获取文件属性信息

iny5fo

获取系统信息(系统版本,主机名,用户名等)

sty5ops

停止截屏

cny5ls

设置标志位

liy5stf

获取指定目录的文件信息

fly5es

列出指定目录下文件

afy5ile

窃取文件

udy5lt

上传并执行文件

fiy5le

窃取文件

ruy5nf

执行指定文件

dey5lt

删除文件

doy5wr

文件上传

fly5dr

获取指定目录的所有子目录

 二、关联分析 

我们在今年早期时期也捕获到了透明部落组织使用另一种嵌入OLE对象的方式释放CrimsonRAT远控的恶意样本,该样本无宏代码,需要与用户交互来释放木马。样本也由印度地区上传,可见透明部落组织持续发起针对印度的攻击,样本信息如下:

MD5

db05d76ff9a9d3f582bd4278221f244a

文件大小

232.07 KB (237636字节)

文件名

assignment.docx

恶意样本在自身中嵌入了一个oleObject1文件夹,其中[1]Ole10Native文件携带了Crimson远控程序(不需要解压缩),当受害者打开文档点击诱饵加载对象时,就会将嵌入的OLE对象释放到%TMPE%目录并保存为Microsoft Update.exe,然后执行,从而实现窃密功能。    

APT-C-56(透明部落)利用OLE对象部署CrimsonRAT木马的攻击活动分析

APT-C-56(透明部落)利用OLE对象部署CrimsonRAT木马的攻击活动分析

释放的程序信息如下:

MD5

e40e0a71efd051374be1663e08f0dbd8

文件大小

247.5 KB (253440字节)

文件名

Microsoft Update.exe

恶意程序执行时,首先判断当前计算机名称,若既不是“G551JW”又不是“DESKTOP-B83U7C5”,则在系统启动目录StartUp下创建exc.txt文件,并写入当前时间,猜测以此来作为最新感染标志。攻击者在这里判断两个计算机名,应该前期也确定“G551JW”或“DESKTOP-B83U7C5”的主机已受到攻击。

APT-C-56(透明部落)利用OLE对象部署CrimsonRAT木马的攻击活动分析

APT-C-56(透明部落)利用OLE对象部署CrimsonRAT木马的攻击活动分析

后续功能与前面分析的CrimsonRAT大致相同,具体分析不再详细叙述。此外,该样本还采用了HASH算法对控制指令进行计算校验,这样做的本意是避免明文指令的泄露,但是在实际指令比对时又直接采用了明文的方式,显然这是开发不完全或者设计逻辑缺陷导致的。无独有偶,在今年同时期我们也捕获到了SideCopy组织使用相同处理方式的载荷,我们认为这并不是某种巧合,恰恰相反可以由此说明透明部落与SideCopy组织具有某种联系。

APT-C-56(透明部落)利用OLE对象部署CrimsonRAT木马的攻击活动分析

APT-C-56(透明部落)利用OLE对象部署CrimsonRAT木马的攻击活动分析

 三、归属研判  

根据宏代码的相似性、释放的CrimsonRAT专属木马,并结合攻击者使用的诱饵文档内容以及样本上传地址,很明显符合APT-C-56(透明部落)的攻击活动。本次捕获的样本宏代码较之前增加了对.Net环境的判断,并根据环境差异释放不同的CrimsonRAT载荷,这样避免了之前版本中用户没有.NET环境运行不成功的情况。
以前样本宏代码如下图所示:

APT-C-56(透明部落)利用OLE对象部署CrimsonRAT木马的攻击活动分析

本次样本宏代码增加了.NET版本的判断,如下图所示:    

APT-C-56(透明部落)利用OLE对象部署CrimsonRAT木马的攻击活动分析

此外,CrimsonRAT木马指令功能基本类似,只是指令名称有一些差别,主要集中在指令名称前几个字符有变动,如指令“fly5dr”为获取指定目录的所有子目录,之前版本中该功能的指令名称为“fladr”,其他功能指令名称也类似变动前几个字符。    


总结

今年以来,我们已经发现多起透明部落组织针对印度的网络攻击行动,该组织持续不断地开发Crimson RAT来改进他们的武器库,用于执行信息窃取活动和对敏感目标的监视,并且近期多个样本都采用了OLE对象来释放RAT,不再执着于将载荷数据捆绑至宏代码中。
因此在这里提醒用户加强安全意识,切勿执行未知样本或点击来历不明的链接等操作。这些行为可能导致系统在没有任何防范的情况下被攻陷,从而导致机密文件和重要情报的泄漏。    
360聚能过去20年实战经验及能力推出360安全云,目前,360安全云已实现对此类威胁的全面检出,全力守护千行百业数字安全。

附录 IOC

MD5:
c488bb5818ce22e0af73e9db3ad6980f
34d580fb24ea1747b822f02ad3bd2d87
d67c9c9d0e94f04cfe67637922b61e05
44c494a30f83f92295c8351b86a2507a
0ad121b4eb1ef9c491181c5ab8fe1ed7
20cb5cecfe93c56c9ad3455f41c20e37
dd6b3f716e791f25a845dfee7ae96da6
8d8311afbc81c2bb319cd692460b1632
b5a709d521fb1f152ee6a293ec2991db
9ee59ab1fa03dfcb45cc705bc900c657
f1d0687821736fdfba7975d9f570f3ff
9ca04de899947dc06c5f0bbe677b75d8
b63fd1d2717071eca5b95db0bda74f26
d72f7a7742ef69a7148981383e094ee3
c93cb6bb245e90c1b7df9f3c55734887    
8cc34c5f5b6ae6af649a8525ab662cbb
a7a41943cc9a012fc872a2a6a1564034
0d333678d0328cbd9750f342784e48f7
ff2f1edb6acabf1cf3d4896d49b94231
e55e497ceadd037254e847187b6996da
db05d76ff9a9d3f582bd4278221f244a
e40e0a71efd051374be1663e08f0dbd8     
C&C:
104.168.48.21:{7516,12267,18197,25821,26442}
185.187.235.186:{ 8149,14198,18818,26781,24224}
173.232.44.69:{ 9149,15198,17818,27781,29224}
66.154.103.101:{ 9108,15197,18968,28784,38103}
64.188.21.102:{ 7516,12267,18197,25821,26442}
151.106.19.20:{ 12197,16867,24784,8248,23123}
richa-sharma.ddns.net






360高级威胁研究院

360高级威胁研究院是360数字安全集团的核心能力支持部门,由360资深安全专家组成,专注于高级威胁的发现、防御、处置和研究,曾在全球范围内率先捕获双杀、双星、噩梦公式等多起业界知名的0day在野攻击,独家披露多个国家级APT组织的高级行动,赢得业内外的广泛认可,为360保障国家网络安全提供有力支撑。

原文始发于微信公众号(360威胁情报中心):APT-C-56(透明部落)利用OLE对象部署CrimsonRAT木马的攻击活动分析

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年12月7日20:41:48
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   APT-C-56(透明部落)利用OLE对象部署CrimsonRAT木马的攻击活动分析https://cn-sec.com/archives/2277529.html

发表评论

匿名网友 填写信息