概述
2024 年中旬我们发现了南亚方向编号为 UTG-Q-011 的攻击集合,尽管该集合后续插件与 CNC 相差过大,但是其后门与 CNC 组织所使用的代码库相同,最终将 UTG-Q-011 当作 CNC 的子集来进行研究,本文最后会对其进行披露。
本文仅作为安全研究,我们不关注初始样本载荷,主要披露 CNC 组织未公开的插件和间谍目的,天擎可以对其所有后门和插件进行查杀,我们建议科研、高校等客户启用云查功能来发现未知威胁。
插件介绍
远程命令执行后门
攻击者设计了两种只用来执行 CMD 命令的插件,文件名一般为 windowassistance.exe、HuaweiHiSuiteService64.exe、mscleanup64.exe、konlinesetupupdate_xa.exe。
类型一
从 github 上读取指令信息。
https://raw.githubusercontent.com/kkrightjack/controlid/main/feed.json,获取的数据包有两种格式,一种为 juiop-drt! 开头。
另一种为 tuiju-opu! 开头。
CMD 结果上传到攻击者的 C2 服务器上。。
类型二
通过第三方 ssl 库实现与远程服务器进行通信,用来执行 CMD 命令。
该类型最新版的插件会先获取本机的信息拼接到 user_agent 后向 C2 的 443 端口发送 post 请求。
然后回连 C2 的 4545 端口实现 CMD 交互。
Github API 特马
木马名被命名为 windowsfilters.exe,通过 Github API 替代境外 VPS 实现对目标机器的远程控制,启动后首先会收集设备 uuid 和用户名,加密后写入 C:UsersAdministratorAppDataLocalMicrosoftWindowsINetCookies.WebDecodedCache 文件中。
之后会通过 github api 请求 /repos/SalmonQt/Webdriver/contents/Ameroyt2dstg.txt 文件。
请求后返回的内容如下:
根据返回内容 content 字段 base64 解密,该文件内容为受害者列表,判断自身是否在列表上,如果没有则将自身上传到列表。
之后会同样使用 github api 获取文件 Filgwru5va.txt 的内容作为指令。
该文件返回的内容如下:
其中指令为 content 字段的 base64 解密,是一个 json 结构,如下:
其中第一部分是受害机器的 uuid,会检测当前设备的 uuid 和其是否一致,如果一致才执行第二部分的命令,指令功能包含获取指定文件夹内容列表,当前屏幕截图,CMD 命令执行等远控常见功能。
U盘传播插件
文件名为 YoudaoGui.exe, 首先会访问 www.163.com 来检测网络是否可用。
之后会根据木马自身所在的路径选择执行逻辑:
1. 在 appdataroaming 文件夹下
如果木马在 appdataroaming 文件夹下,它会进行传播逻辑,首先循环检测受害者设备是否挂载了新的驱动器(比如插入了U盘)。
检测该驱动器是否存在名叫“私人.png.exe”的文件,如果没有则将自身复制为“私人.png.exe”到新驱动器中,实现传播功能。
在复制完毕后会将复制的结果回传到 C2:https://185.140.12.224/licenseAdministrator/discover.xml,之后会遍历新驱动器下的文件,将遍历到的后缀为 doc 和 ppt 的文件复制到 appdataroamingAdbRc 文件夹下。
2. 木马不在 appdataroaming 文件夹下
根据第一种情况的逻辑,木马如果不在 appdataroaming 文件夹下则是作为 “私人.png” 文件启动的,木马会首先从自身资源中加载一张图片用于伪装。
用于伪装的图片如下:
之后会从 C2:https://185.140.12.224/.vendor/git/srclog 获取第二阶段木马 srclogsys.exe,将获取到的木马放在 AppDataRoaming 文件夹下。
获取成功后会为其创建计划任务。
然后会获取设备进程信息,将其作为标识上传到 C2:https://185.140.12.224/logindex.php?q=ascii,从 url 的内容来看这一步的目的是从控制端上线该设备。
上线后创建 cmd 进程启动 srclogsys.exe。
最后进入远控逻辑,通过不断获取 github 恶意账户 kkrightjack 下发的内容作为命令并通过 cmd 执行。
键盘记录插件
文件名为 sogou_pinyinupdater.exe, 将受害者的击键记录明文保存在 C:UsersAdministratorAppDataLocalSogouPinyinInput.suggestions_kaomoji中。
文件窃密插件
CNC 在窃密插件的设计上有多种解决方案,每次偷数据时的插件逻辑都不相同,其中还存在针对特定目标定制化的窃密插件。
类型一
文件名为 tericerit.exe,窃密插件中硬编码了受害终端中的目标目录:
主要功能将路径下所有的文件列表写入到同目录下的 ext 文件中,然后会将目录及其子目录下的 doc 文档拷贝到 zD1Leno51 目录下并加密打包。
之后通过 SFTP 协议上传到 C2 服务器上,远程服务器收到文件后会立即传走并销毁,并且对登录上来的用户设置了受限的权限。
类型二
文件名为 filecoauthx86.exe,创建计划任务 VerifiedPublisherCertCheck。
如果自身不在C盘目录下,则会遍历所在盘符的所有文件:
同时检查是否存在 backuplog_2024.txt,如果不存在则启动下载者逻辑,下载上述远程命令执行后门-类型二(MScleanup64.exe),下载该 payload 的目的应该是将收集的文件偷走。
类型三
在这种情况下攻击者会下发名为 aliyun_updater64.exe(收集文件)和 CacheStore.exe(传输文件)。
其中 aliyun_updater64.exe 会先被执行,首先会判断指定目录 C:UsersAdministratorAppDataLocalMicrosoftWindowsCaches 是否存在 CacheStore.exe
如果有则直接创建 CacheStore.exe 进程,参数为一个固定文件夹路径 C:UsersAdministratorAppDataLocalMicrosoftWindowsCaches{3DA71D5A-20CC-432F-A115-DFE92379E91F}.3.ver0xY
之后会访问 https://aliyunconsole.com/alcloud/dgyx-4121-Firnsnxywfytw,下载 cversions.dgyx-4121-Firnsnxywfytw.db 到 C:UsersAdministratorAppDataLocalMicrosoftWindowsCaches 文件夹下。
内容为攻击者预设的路径,会收集该路径下的文件,首先读取 cversions.dgyx-4121-Firnsnxywfytw.db。
根据读取到的路径遍历搜索文件。
搜索到的文件会对后缀进行比较,只收集指定后缀并且内容大于 40960 的文件。
指定的后缀如下,通过 BASE64 编码解析得到。
如果文件符合要求,则将其复制到 Caches{3DA71D5A-20CC-432F-A115-DFE92379E91F}.3.ver0xkNGCDCY^XK^EX 文件夹下。
最后会访问 URL https://aliyunconsole.com/product/VectorRetrievalService/dashvector 获取 CacheStore.exe 并启动。
CacheStore.exe 是个上传文件的插件,功能是将命令行参数作为指定的文件夹路径,将文件夹下的文件上传到 C2:2.58.15.28:8090。
制霸印度洋的决心
|
文件或目录 |
|
XXXXX内波水体运输/ |
|
五四评比/ |
|
海洋封存XXXXXXX地质因素研究/ |
|
transient responses-20240911.docx |
|
下半年XXXX项目节点考核项目验收相关重点问题会议pptXX版本.docx |
|
XXXX-液压启闭机故障诊断与健康管理系统技术协作项目XXXXXXXXXXXX.docx |
|
XXX海实验室关于组织申报2024年XXXXXXXXXXXXX项目计划的通知.doc |
|
XX小车和配套模型加工-设计说明书XXXXXX.docx |
|
reviewform.doc |
|
中国海洋牧场行业XXXXXXX:海洋新兴产业XXXXXXXX.doc |
|
XXXX-final-safety science-title page (XXXXXXXX).docx |
|
海洋碳封存XXXXX研究.docx |
|
海洋地球XXX论文质量XXX.pdf |
|
工作汇报0816-XXX.pptx |
|
…… |
尽管 win 平台上都是一些结论性的科研文档,不包含生产数据。但这些文件仍可以当作境外情报组织刺探我国项目进展和技术方向的重要参考依据。通过对这些文档的分析,他们可以推测我国科研团队的技术实力、资源配置以及未来的战略布局。
正如我们之前在 Operation Veles[1]中提到的:科研生产数据如源代码、各阶段实验数据一般都存储在linux服务器集群中,UTG-Q-008 靠着多年的积累和海量的网络资源才能窃取成功,对于其他组织来讲绝非易事。密级更高的科研项目完全封闭在隔离网中,但是全世界能够穿透网闸等设备的APT组织屈指可数,安全厂商又缺乏这部分的视野,所以未来很长一段时间内在科教领域的APT对抗仍然会聚焦于win平台
UTG-Q-011
两个同源的下载者释放了两种特马,VT 上0查杀:
通过 SSL 协议与 C2 通讯,接收信息。
并将接收到的信息作为指令,执行相应功能,其指令对应功能如下:
case 0:创建指定的进程
case 1:更改自身工作目录
case 2:结束连接并退出木马
case 4:读取指定文件内容
case 5:结束现有连接并连接到下发的新C2
case 6:无功能
case 7:收集指定文件
首先会创建 C:UsersAdministratorAppDataLocalmsedgeCache 文件夹
该功能预计接收一个由三段内容组合而成的命令,每段内容被括号包裹,命令的格式由其创建的正则表达式进行匹配
其收集文件的方式为将指定的文件添加到 msedgeCache 文件夹下的压缩包中,根据其功能推断命令的三个部分内容为:要生成的压缩包名称、要添加到压缩包的文件、压缩包密码。
添加压缩包功能由 Chilkat 库实现:
第二个特马逻辑上与 CNC 组织的远程命令执行后门类似,只用来执行cmd命令,使用了相同的第三方 ssl 库文件。
如果没有命令执行,则下发心跳包 ddd。
UTG-Q-011 后续下发的主要为开源插件窃取浏览器数据,与 CNC 组织的复杂插件并无重叠。
总结
IOC
C2:
aliyunconsole.com
45.86.162.79:443
185.140.12.224:443
2.58.15.28:8090
sftp:
45.86.162.125:52736
185.243.112.79:52736
MD5:
5c0d12de7c0dd7979ca5db3cad72688a
c5ed8776b63b698697fa6b22303bda2a
cfcd28199e448f35efe37c06c5da5565
d1737521c7c34c8a939e2eb3ec8ba53b
d7b8d909bfa3114abb3fa1c51875a084
e817f716f88bf628414659e3e6183aeb
bb2ca4f8eb95053dd450d58b335919c1
UTG-Q-011
MD5:
e65c3eeee6ba96ab7b72929ab53635a7
f3680b43abf218a16e58d991e54a6eee
54794189acbbfaf658bc5fd40b9a38dd
a2dd9a2fbb80a1b39c10c31870d7275f
0c23562c6208b080ac0b698215529a62
C2:
https://66.85.26.161:443/csgdyhfywhefdj/gdydfhasc/chsgdjc.pdf
https://66.85.26.161:443/csgdyhfywhefdj/gdydfhasc/qgtopl.exe
https://192.52.166.252/cgyusdft/whfgujfg/calc.exe
https://192.52.166.252/cgyusdft/whfgujfg/tt.pdf
45.56.162.111:443
23.152.0.99:443
参考链接
点击阅读原文至ALPHA 8.0
即刻助力威胁研判
原文始发于微信公众号(奇安信威胁情报中心):Operation sea elephant:彷徨在印度洋上的垂死海象
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论