概述
2024年02月02日,绿盟科技伏影实验室依托全球威胁狩猎系统发现APT组织TransparentTribe针对印度政府部门的鱼叉式钓鱼邮件攻击。本次事件发生时间临近印度今年4-5月举行的总统换届选举,诱饵文件又与“总统奖”有关,或许与即将到来的总统选举有一定联系。
本次事件中TransparentTribe组织利用邮件投递名称为“Recommendation for the award of President's.docm”的钓鱼文档。恶意文件被压缩隐藏在该文档中,运行后会执行嵌入的VBA脚本提取文件中的恶意程序并运行。本次攻击中使用的最终载荷为CrimsonRAT远控程序,是TransparentTribe攻击组织的常用木马。该Rat具备收集系统信息、下载运行文件、窃取敏感信息等功能。具有极大的危害性。
一
组织信息
TransparentTribe 组织中文名为:透明部落;又称ProjectM、APT 36,是一个来自巴基斯坦的APT攻击组织。主要针对印度、哈萨克斯坦、及阿富汗等国进行攻击。
该组织的主要目标是:
-
国防
-
军事
-
大使馆
-
政府
其活动最早可以追溯到2012年。近期常用的攻击方式是通过钓鱼邮件投递恶意docm、xlam文档,利用文档中的VBA脚本释放恶意程序。以达到窃取用户信息的目的。
二
诱饵信息
本次事件中TransparentTribe 组织使用的诱饵文件是一个名称为“Recommendation for the award of President's.docm”(关于颁发"总统奖"的建议.docm)的文档。
文件内容有关“印度政府内务部第一警司”发送给印度多个政府部门的文件,文件盗用了印度政府于2023年10月17日发出的官方文件,主要讨论了2024年共和国日颁发总统杰出服务勋章和功绩服务勋章的推荐事宜,因此可以确认本次攻击者的攻击目标为印度政府部门。
图1 钓鱼邮件执行后运行的诱饵文件
2023年11月出现的历史钓鱼邮件,同样使用包含恶意VBA脚本的诱饵文档,该文档文件名为“Monthly Report MAP.xlam”。执行后会提示启用宏,如果用户点击启用就会执行VBA脚本,继而执行后续恶意操作;同时也会弹出正常的Excel文件,用来掩盖恶意操作。
图2 钓鱼邮件执行后运行的诱饵文件1
图3 钓鱼邮件执行后运行的诱饵文件2
图4 钓鱼邮件执行后运行的诱饵文件3
可以看出该组织近期在构建诱饵内容时倾向于盗用政府部门发布的官方文档,采用针对性很强的内容。比如政府公文、表格等内容。以缩小攻击范围,针对特定的攻击目标。
三
攻击技术分析
与之前该组织通过,下载器执行远程链接获取后续程序不同。我们观测到该组织近期活动更倾向于将最终载荷隐藏于诱饵文档中。
本次钓鱼文件名称为“Recommendation for the award of President's.docm”。
该钓鱼文件打开后执行以下的攻击流程:
-
执行恶意VBA脚本;
-
脚本将解压当前文件,将文件存入下载目录下的文件中;
-
脚本解压缩文档,提取其中的 wordmediaimage1.png文件;
-
脚本将image1.png的扩展名改为.zip,并解压缩它,提取其中的image1.exe文件;
-
脚本将image1.exe重命名为 itmvroidovs.scr后运行,该文件为最终载荷CrimsonRAT;
-
脚本将wordmediaimage2.png的扩展名改为.docx并运行,作为诱饵文件混淆被攻击者视线。
图5 Recommendation for the award of President's.docm文件执行恶意VBA脚本
四
CrimsonRAT分析
CrimsonRAT是TransparentTribe 主要使用的木马程序,其主要功能为获取系统信息,截屏获取、收集受害主机进程、驱动器信息等功能。同时支持下载,运行文件,窃取敏感信息等。
结合诱饵创建时间与官方报告发布时间,该时间戳大概率为真实时间,由此判断本次事件是近期的TransparentTribe 发动的攻击事件。
图6 诱饵文件的作者与创建时间
图7 最终载荷木马的时间戳
本次攻击事件中使用了时间戳为2023年12月16日的CrimsonRAT木马程序,与2023年10月12日的版本区别不大,主要的变化为修改了混淆用字符“_”在字符串中的位置,以逃避检测:
图8 部分字符串混淆更改右侧为新版
TransparentTribe 在2023年11月曾使用版本号为“S.F.0.3”的CrimsonRAT,但本次活动中出现的CrimsonRAT增加了版本号混淆,将版本号混淆成“A._E.0._6”,使用这种方式规避检测:
图9 CrimsonRAT版本号右侧为新版
10月12日发现的版本与之前发现的版本有一定区别,对大量重点字符串增加了混淆用字符串“_”,直到最近发现的版本都是通过这种字符串混淆方式进行的:
图10 2023年10月版本对比更早的版本
五
归因攻击者
伏影实验室在本次APT事件中发现以下归因项:
攻击者使用的恶意样本为CrimsonRAT,该样本是TransparentTribe常使用的木马之一;
本次事件中攻击者使用的攻击流程与VBA脚本符合TransparentTribe近期攻击链特征与编码习惯;
本次捕获的钓鱼文档由印度上传,符合TransparentTribe的常见攻击目标;
因此,伏影实验室将本次攻击事件的攻击者归因为TransparentTribe 组织。
六
IOC
|
值 |
备注 |
|
a21c2b37effe3195665ec5597afa329f |
Recommendation for the award of President's.docm |
|
f5380e7a6e15a0ef27e6f31fcc29ed4d |
itmvroidovs.exe |
|
41d801d96c9e27c5ca6c4678ffa2d7e2 |
Monthly Report MAP.xlam |
|
mus09.duckdns.org |
C2 |
|
64.188.21.202:6826 |
C2 |
|
64.188.21.202:18828 |
C2 |
|
64.188.21.202:22821 |
C2 |
|
64.188.21.202:28120 |
C2 |
|
164.68.122.64:11128 |
C2 |
|
164.68.122.64:18187 |
C2 |
|
164.68.122.64:19986 |
C2 |
|
164.68.122.64:27684 |
C2 |
|
164.68.122.64:25123 |
C2 |
关于绿盟科技伏影实验室
研究目标包括Botnet、APT高级威胁,DDoS对抗,WEB对抗,流行服务系统脆弱利用威胁、身份认证威胁,数字资产威胁,黑色产业威胁及新兴威胁。通过掌控现网威胁来识别风险,缓解威胁伤害,为威胁对抗提供决策支撑。
绿盟威胁情报中心
绿盟威胁情报中心(NSFOCUS Threat Intelligence center, NTI)是绿盟科技为落实智慧安全3.0战略,促进网络空间安全生态建设和威胁情报应用,增强客户攻防对抗能力而组建的专业性安全研究组织。其依托公司专业的安全团队和强大的安全研究能力,对全球网络安全威胁和态势进行持续观察和分析,以威胁情报的生产、运营、应用等能力及关键技术作为核心研究内容,推出了绿盟威胁情报平台以及一系列集成威胁情报的新一代安全产品,为用户提供可操作的情报数据、专业的情报服务和高效的威胁防护能力,帮助用户更好地了解和应对各类网络威胁。(绿盟威胁情报中心官网:https://nti.nsfocus.com/)
原文始发于微信公众号(绿盟科技威胁情报):TransparentTribe针对印度政府部门的鱼叉式钓鱼邮件攻击
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论