肚脑虫（APT-Q-38）利用PDF文档诱饵的攻击活动分析

诱饵PDF文档故意模糊内容，并通过伪造的提示信息告诉受害者，如果想查看文档内容，需要点击“下载”联网获取。一旦受害者按照指示点击PDF中的指定区域，则会触发网络访问，链接最终会重定向到下载恶意PPT的网页。

将该样本上传到奇安信情报沙箱分析后，沙箱基于智能的恶意行为综合判断给出了10分的恶意评分。

行为异常部分显示样本的一些可疑行为，包括向totalservices[.]info发送POST请求，释放名为djkggosj.bat的BAT文件，并用cmd.exe执行。

样本为EXE，但使用PDF图标，显然攻击者想以此作为伪装。此外，样本的文件元数据使用游戏程序相关信息，并携带名为"Ebo Sky Tech Inc"的数字签名。

沙箱运行结果的主机行为部分可以看到样本进程派生cmd.exe子进程执行BAT文件，而BAT文件存放在样本创建的FROX目录中。样本进程的释放文件列表和删除文件列表均出现该BAT文件，表明BAT文件在执行后会被删除。

网络行为显示样本与远程服务器totalservices[.]info产生HTTPS通信，发送POST请求。

样本中出现大量01字符串，这些字符串实际由原始字符串中每个字符的ASCII码二进制形式组成。

以这种方式编码的字符串其中一部分是用于异或解密的key，这些key被用来还原样本导入的API名称等字符串。

样本首先创建"%LocalAppdata%\TEMP\FROX\"目录，在该目录中释放djkggosj.bat。BAT文件中的代码设置名为PerformTaskMaintain的计划任务，实现样本自身的持久化。

然后创建互斥量"08808"，并收集设备信息，包括：CPU型号、操作系统产品名称和build number、用户名、主机名、CPU的ProcessorID、安装的软件列表。

收集的信息经过AES加密和Base64编码处理，拼接到"batac="之后，作为POST请求的数据，发送到"hxxps://totalservices.info/WxporesjaTexopManor/ptomekasresdkolertys"

恶意软件根据C2服务器的响应决定是否下载后续载荷。后续载荷名称为socker.dll，与标识受害者ID的字符串（由用户名、主机名、ProcessorID组成）拼接并加密后，作为POST请求"data"字段的数据。下载后续的URL为"hxxps://totalservices.info/vrptpvabkokamekastra/N1/SA"。

下载的DLL保存为"%LocalAppdata%\moshtmlclip\socker.dll"，释放另一个BAT文件"%LocalAppdata%\Temp\FROX\sfs.bat"创建计划任务用于启动socker.dll。计划任务名称为MicrosoftVelocity，执行socker.dll的导出函数"?ejjwed@@YAHXZ"。

由于暂未捕获到socker.dll，目前无法对后续载荷功能展开进一步的分析。

以样本Assets 2024.pdf（MD5：eb5d23a6a200016ba9b2d0085e58b586）为例，其中包含的下载PPT的链接为"hxxps://sharetobijoy.buzz/2024/filez/uploadz/invite25.php?id=19112"。

PPT中的恶意宏根据是否为64位系统执行不同shellcode。

Shellcode为肚脑虫常用的两阶段下载器，以32位shellcode为例，第一阶段shellcode从"hxxp://diffgrinder.info/PNubW5l8DVqKlNbo/zFsDitREUBbsbeB815VkWnKpuXN4bhXUg3MFC7txkrV5beqf.png"获取后续，解密后作为第二阶段shellcode执行。

第二阶段shellcode再从"hxxp://diffgrinder.info/PNubW5l8DVqKlNbo/zFsDitREUBbsbeB815VkWnKpuXN4bhXUg3MFC7txkrV5beqf.mp3"下载后续，将其保存为"%temp%\meaBRlIGkgtELpU\ksHWqKqg.dll"。然后写入"4D 5A 90 00"四字节修复DOS头，接着将该DLL加载进内存中，调用其导出函数"LOPP"。

ksHWqKqg.dll（MD5：2c2176d9a74851dd30525a87bf0794ca）具有LOPP和VelocitySpeed两个导出函数，DLL功能与上面描述的直接伪装为PDF的EXE程序恶意行为一致。

(1) LOPP

该函数主要负责持久化操作。释放cross.bat文件，创建PerformTaskMaintain计划任务，执行"%temp%\FROX\PLAIN.dll"的导出函数VelocitySpeed，并将DLL文件自身复制为"%temp%\FROX\PLAIN.dll"。

(2) VelocitySpeed

该函数负责与C&C服务器的交互并获取后续载荷。收集感染设备的信息（CPU型号、操作系统产品名称和build number、用户名、主机名、CPU的ProcessorID、安装的软件列表），加密后发送到C&C服务器。AES加密使用的IV和key如下所示，与EXE样本一致。

服务器响应如果符合条件，则继续从C&C服务器获取后续载荷socker.dll，保存为"%LocalAppdata%\moshtmlclip\socker.dll"，释放sfs.dat创建计划任务，用于启动socker.dll。

伪装为PDF的EXE与PLAIN.dll两者在代码和恶意行为上几乎一模一样，而EXE中还保留了"PLAIN.dll"的01编码，并且EXE的编译时间和数字签名时间在PLAIN.dll投入攻击活动之后。因此可以认为该EXE由PLAIN.dll改写而来，攻击者直接用EXE伪装为PDF，可能是简化攻击流程、改变攻击手法的一种尝试。

若需运行或安装来历不明的应用，可先通过奇安信威胁情报文件深度分析平台（https://sandbox.ti.qianxin.com/sandbox/page）进行判别。目前已支持包括Windows、安卓平台在内的多种格式文件深度分析。

目前，基于奇安信威胁情报中心的威胁情报数据的全线产品，包括奇安信威胁情报平台（TIP）、天擎、天眼高级威胁检测系统、奇安信NGSOC、奇安信态势感知等，都已经支持对此类攻击的精确检测。

(EXE)

893561ff6d17f1e95897b894dde29a2a

(PDF)

eb5d23a6a200016ba9b2d0085e58b586

5af77f4a63089011563bd3fcd02d56e0

(PPT)

0f4f32b97c7bde0824b0fd27fe3ec4b0

d3ff126dc3e69d7f2d660a504b499cc4

a0dbb4f8dbc5df628f03d60ed4a79d29

(DLL)

bcc0f690f330be4321365f6fd1330d95

2c2176d9a74851dd30525a87bf0794ca

bdc40a26cd02e33e5b83a9573125793e

8e91d5ab926daca6f4db41ba8a918ffd

fa6cd1543db5156e7063db87b3241f26

df2ef826d0a398772f2373cd7303d58b

C&C

bijoyshare.buzz

sharetobijoy.buzz

diffgrinder.info

totalservices.info

theoyservices.info

URL

hxxps://bijoyshare.buzz/2024/filez/uploads/invite25.php?id=10515

hxxps://sharetobijoy.buzz/2024/filez/uploadz/invite25.php?id=19112

hxxp://diffgrinder.info/PNubW5l8DVqKlNbo/zFsDitREUBbsbeB815VkWnKpuXN4bhXUg3MFC7txkrV5beqf.{ico|png|mp3|mp4}

hxxp://diffgrinder.info/4us2rZQSxKVHgbyW/iAILc6MjCh4QEXTJWmKyY8r4DaoKRwkQ3yjlf0evOOO9vIdh.{ico|png|mp3|mp4}

hxxps://totalservices.info/WxporesjaTexopManor/ptomekasresdkolertys

hxxps://totalservices.info/WxporesjaTexopManor/vrptpvabkokamekastra/N1/SA

hxxps://theoyservices.info/WxporesjaTexopManor/ptomekasresdkolertys

hxxps://theoyservices.info/WxporesjaTexopManor/vrptpvabkokamekastra/N1/SA