ESET研究人员观察到,从2023年开始,泰国政府机构发起了几场运动。这些攻击利用了之前由其他研究人员归因于中国的高级持续性威胁(APT)组织Mustang Panda的组件的改进版本,以及后来的一套新工具,这些工具滥用Pastebin,Dropbox,OneDrive和GitHub等服务提供商在受感染的计算机上执行命令并泄露敏感文档。
根据我们的调查结果,我们决定将此活动集群作为单独威胁参与者的工作进行跟踪。字符串[Bb] eclampus在该小组的工具代码中多次出现,启发我们将其命名为CeranaKeeper;这是养蜂人和蜜蜂物种Apis Cerana或亚洲蜜蜂之间的文字游戏。
摘要:
-ESET研究人员发现了一个新的与中国结盟的威胁行为者CeranaKeeper,目标是泰国的政府机构。它的一些工具以前被其他研究人员归因于野马熊猫。
-该组织不断更新其后门以逃避检测,并使其方法多样化,以帮助大量数据泄露。
-CeranaKeeper滥用Dropbox和OneDrive等流行的合法云和文件共享服务来实现自定义后门和提取工具。
-该小组使用GitHub的pull request和issue comment功能来创建一个隐形的反向shell,利用GitHub作为C C服务器,GitHub是一个流行的在线代码共享和协作平台。
CeranaKeeper至少自2022年初以来一直活跃,主要针对泰国、缅甸、菲律宾、日本和台湾等亚洲国家的政府实体;我们认为这符合中国的利益。该组织对数据的不懈搜寻是值得注意的,其攻击者部署了一系列广泛的工具,旨在从受损网络中提取尽可能多的信息。在我们分析的操作中,该组织将受损的机器变成了更新服务器,设计了一种新技术,使用GitHub的pull request和issue comment功能来创建一个隐形的反向shell,并在收集整个文件树时部署了一次性收获组件。
我们在2024年5月发布的ESET APT活动报告Q4 2023-Q1 2024中简要介绍了CeranaKeeper。在这篇博文中,我们描述了CeranaKeeper部署的这些以前未记录的自定义工具,并分享了我们关于此威胁参与者操作的更多发现。
虽然CeranaKeeper的一些活动以前被Talos、趋势科技和Palo Alto NetworksUnit 42归因于Mustang Panda(又名Earth Preta或Stately Taurus),但我们决定将此活动集群作为CeranaKeeper的工作进行跟踪。我们认为CeranaKeeper使用了一个名为定制stagers(或TONESHEL)的公开文档工具集,严重依赖于侧加载技术,并使用特定的命令序列从受损网络中窃取文件。此外,我们认为政治诱饵和PlugX组件的使用是MustangPanda的工作。尽管他们的活动有一些相似之处(类似的侧面加载目标,存档格式),但我们观察到两组之间存在明显的组织和技术差异,例如他们的工具集,基础设施,运营实践和活动的差异。我们还注意到两组完成类似任务的方式存在差异。
在运营中,CeranaKeeper部署了TONEINS、TONESHEL和PUBLOAD组件,这些组件是该集团独有的。该组织在攻击中表现出了创造力和适应性,例如使用上述组件的改进版本和滥用Pastebin,Dropbox,OneDrive和GitHub等服务的新工具。我们在工具集帮助大规模渗透一节中描述了这些工具。
此外,该小组在其代码中留下了一些元数据,为我们提供了对其开发过程的深入了解,进一步巩固了我们对两个小组的分离以及我们对CeranaKeeper的归属。这两个威胁行为者可能依赖于同一个第三方,例如部署阶段使用的工具供应商,这在与中国结盟的组织中并不罕见,或者有一定程度的信息共享,这可以解释我们观察到的联系。在我们看来,这是一个更可能的解释,而不是一个单一的威胁行为者维护两套完全独立的工具,基础设施,运营实践和活动。
攻击行为:
同一网络中的受危害机器
CeranaKeeper在我们分析的案例中使用的入侵向量尚未找到。当该组织在2023年年中在泰国政府机构的网络中获得立足点时,一台受感染的机器对局域网中的域控制器服务器进行了暴力攻击。
在获得特权访问权限后,攻击者安装了TONESHEL后门,部署了一个工具来转储凭据,并使用合法的Avast驱动程序和自定义应用程序来禁用计算机上的安全产品。从这台受损的服务器上,他们使用远程管理控制台在网络中的其他计算机上部署和执行后门程序。此外,CeranaKeeper使用受损的服务器存储TONESHEL的更新,将其转变为更新服务器。
该小组在整个网络中部署了一个新的BAT脚本,通过利用域控制器获得域管理员权限,将其范围扩展到同一域中的其他机器。这使CeranaKeeper能够进入下一个运营阶段,并实现最终目标:大规模数据采集。
帮助大规模撤离的工具集
在部署了他们的TONESHELL后门并进行了一些横向移动后,攻击者似乎发现并选择了一些有足够兴趣的受损计算机来部署以前未记录的自定义工具。这些支持工具不仅被用来便利文件向公共存储服务的泄露,而且还充当替代后门。我们描述的后门和渗透工具只部署到高度针对性的机器上。
WavyExpiller:一个滥用Dropbox和PixelDrain的Python上传者
我们在2023年6月发现的一系列未知组件中的第一个是WavyExfiller,这是一个使用PyInstaller捆绑到可执行文件中的Python包,也是Unit 42描述的渗透方法的直接Python实现。我们将此组件命名为WavyExfiller,因为本地文件的.wav扩展名包含用于识别和压缩准备导出的文档的搜索掩码。PyInstaller捆绑的可执行文件名为SearchApp.exe(SHA-256:E7 B6164 B6 EC 7 B7552 C93713403507 B531 F625 A8 C64 D36 B60 D 660 D 66 E82646696)。
该模块有三个主要功能:从Pastebin页面(一种用于存储和共享纯文本数据的在线服务)中检索加密的Dropbox令牌,为用户目录中的文档创建受密码保护的存档,并将这些存档上传到Dropbox。
在2023年10月,我们观察到一个变种(SHA-256:451 EE 465675 E674 CEBE 3C 42 ED 41356 AE 2C 972703 E1 DC 7800 A187426 A6 B34 EFDC),以oneDrive.exe的名称存储。尽管它的名字,这个版本使用文件共享服务PixelDrain来泄露存档文件。就像上面提到的SearchApp.exe一样,这个变体检查C驱动器,其中通常包含操作系统,安装的程序和本地用户的文档。此外,oneDrive.exe尝试从映射驱动器(如果有)收集文件,范围从字母D到N(L除外),如图1所示,这些驱动器可能代表连接的外部存储设备,如USB和硬盘驱动器,办公室环境中的网络驱动器或由特定软件创建的虚拟驱动器。这表明CeranaKeeper加强了其贪婪程度,并试图获取其他潜在或已知的信息来源。然而,目前还不清楚渗出操作是否成功,因为通过暴露的API无法检查PixelDrain上上传的文件。
图1.从驱动器列表中遍历和收集文件
Dropbox Flop:一个滥用Dropbox的Python后门
在2023年10月,大约在我们发现PixelDrain变体的同时,我们发现了一个新的Pyrocast捆绑的可执行文件,它具有SHA-256哈希DAFAD 19900 FFF 383 C2790 E017 C958 A1 E92 E84 F7 BB 159 A2 A7136923 B715 A4 C94 F。CeranaKeeper似乎是基于一个名为Dropflop的公开项目创建的,这是一个具有上传和下载功能的反向shell。编译后的Python文件名为dropboxflop.pyc。后门检索加密的Dropbox令牌,并依赖于远程Dropbox存储库中的文件在机器上执行命令。它在本地创建一个唯一的文件夹,并通过每15秒更新一次名为lasttime的远程文件来生成“心跳”。它还检查一个名为tasks的文件,如果找到,将下载并解析为JSON文件。有两种类型的任务实现:命令执行和文件上传。一旦完成,后门通过更新文件输出的内容来发送结果。
OneDoor:滥用OneDrive的C++后门
在部署Python后门DropboxFlop几天后,CeranaKeeper返回了一个静态链接的C/C++后门,我们将其命名为OneDoor。示例(SHA-256:3F 81 D1 E70 D9 EE 39 C83 B582 AC 3BCC 1CDFE 038 F5 DA 31331 CDBCD 4FF 1A 2D 15 BB 7 C8)命名为OneDrive.exe。该文件模仿来自Microsoft的合法可执行文件,如图2中的属性视图所示。
图2. OneDoor文件属性
OneDoor的行为方式与Dropbox Flop后门类似,但使用Microsoft Graph API的OneDrive REST API来接收命令和导出文件。
OneDoor创建一个日志文件,并尝试访问一个名为“Roll.ini”的文件。如果不存在,OneDoor将使用硬编码缓冲区。文件或缓冲区以密钥和初始化向量开始,用于在CBC模式下使用AES-128解密其余数据。明文包含一个URL,恶意软件在HTTP GET请求中使用该URL。响应包含OneDrive令牌,该令牌用于对Microsoft OneDrive的后续请求。
OneDoor还检索一个名为approot的文件夹的ID,该文件夹用于存储应用程序数据。
与error.ini文件类似,恶意软件会尝试访问名为errors.log的文件。如果文件不存在,则使用硬编码缓冲区。文件或缓冲区的内容被解密;明文数据包含1024位RSA公钥。生成密钥IV对,使用RSA加密,并上传到远程approot文件夹。此对用于加密和解密数据。
最后,恶意软件从位于OneDrive,E和F上的两个文件夹中检索文件列表。为每个列表启动一个线程,下载并解密文件。存储在E文件夹下的文件包含要执行的命令,而存储在F文件夹下的文件包含要上传的文件列表。这些操作的结果将被加密并存储在第三个OneDrive文件夹D中。然后,原始文件将从OneDrive中删除。
BingoShell:滥用GitHub的Python后门
我们在2024年2月观察了该组织的exfiltration工具集的最新样本,并将其命名为BingoShell,因为它创建的GitHubpull request(PR)的标题中使用了字符串bingo#。分析的样本(SHA-256:24 E12 B8 B1255 DF 4 E6619 ED 1A 6AE 1C 75 B17341 EEF 7418450 E661 B74 B144570017)是一个名为Update.exe的文件,该文件使用Microsoft Office徽标作为其图标,如图3所示。根据其PE编译时间戳,显然它是在2024年1月下旬建造的。
图3. BingoShell后门模仿Microsoft Office应用程序
BingoShell是一个用Python编写的后门程序,它使用GitHub来控制受感染的机器。一旦运行,它使用硬编码的令牌来访问私有GitHub存储库。根据主分支的初始提交,仓库可能是在2024年1月24日创建的。BingoShell在存储库中创建一个新的分支和一个相应的pull请求。后门读取新创建的PR上的注释,以接收在受损机器上执行的命令,如图4所示。
图4.代码检索存储在问题注释中的命令
这展示了一种利用GitHub作为命令和控制(C C)服务器的新隐蔽技术,显示了攻击者的复杂性,他们通过关闭拉取请求并从存储库中删除注释来清理自己。
BingoShell在私有GitHub存储库上创建的每个新分支都应该代表对受损机器的访问。因为我们发现了25个关闭的pull请求(如图5所示),我们可以推断CeranaKeeper通过BingoShell访问了25台受损的机器。
图5.枚举拉取请求
结论
对泰国政府的攻击背后的威胁行为者CeranaKeeper似乎特别无情,因为该组织使用的大量工具和技术一直在快速发展。操作员根据操作需要编写和重写工具集,并迅速做出反应以避免被检测到。该小组的目标是收集尽可能多的文件,并为此开发特定组件。CeranaKeeper使用云和文件共享服务进行渗透,并且可能依赖于这样一个事实,即这些流行服务的流量大多看起来是合法的,并且在被识别时更难阻止。
在整个研究过程中,我们能够在以前记录的工具集和新工具集与一个常见的威胁参与者之间建立强有力的联系。通过对战术、技术和程序(TTP)、代码和基础设施差异的审查,我们认为有必要将CeranaKeeper和MustangPanda作为两个独立的实体进行跟踪。然而,这两个与中国结盟的组织可能会出于共同利益或通过同一个第三方共享信息和工具子集。
我们调查的有针对性的活动让我们深入了解了CeranaKeeper的运营情况,随着该组织对敏感数据的持续追求,未来的活动可能会揭示更多信息。
原文始发于微信公众号(像梦又似花):介绍一个变种感染程序行为:CeranaKeeper
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论