Labyrinth Chollima APT 攻击模拟

admin
admin
admin
138646
文章
114
评论
2025年3月10日10:25:33评论4 views字数 1961阅读6分32秒阅读模式

这是 (Labyrinth Chollima) APT 组织针对能源公司和航空航天业受害者的攻击模拟,攻击活动在 2024 年 6 月之前就已活跃,攻击链首先依赖合法的职位描述内容,针对美国关键基础设施垂直行业的受害者。职位描述以受密码保护的 ZIP 存档形式发送给受害者,其中包含加密的 PDF 文件和开源 PDF 查看器应用程序的修改版本,我依靠 Mandiant 来找出进行此模拟的详细信息:https://cloud.google.com/blog/topics/threat-intelligence/unc2970-backdoor-trojanized-pdf-reader/?linkId=10998021

Labyrinth Chollima APT 攻击模拟Labyrinth Chollima APT 攻击模拟

根据周围环境,用户被指示使用基于开源项目 SumatraPDF 的封闭式木马 PDF 查看器程序打开 PDF 文件。

SumatraPDF 是一款开源文档查看应用程序,能够查看多种文档文件格式,例如 PDF、XPS 和 CHM 等。其源代码是公开的。如果您需要了解有关 SumatraPDF 的更多信息:https://github.com/sumatrapdfreader/sumatrapdf

当以这种方式访问时,DLL 文件将由 SumatraPDF.exe 可执行文件加载,包括代表感染链第一阶段的木马化 libmupdf.dll 文件。此文件负责解密 BAE_Vice President of Business Development.pdf 的内容,从而允许显示职位描述文档,并将名为 MISTPEN 的有效负载加载到内存中。Mandiant 发现 SumatraPDF 的后续版本(3.4.3 之后)实施了对策,以防止加载此 DLL 的修改版本。

Labyrinth Chollima APT 攻击模拟Labyrinth Chollima APT 攻击模拟

1.创建职位描述PDF文件,用于发送鱼叉式网络钓鱼。

2. 使用 Shellter 在 Sumatra pdf.exe 中注入 DLL,我将通过网络钓鱼活动中使用的 pdf 文件在攻击中使用该 DLL。

3. 在后台运行(SumatraPDF.exe)的同时执行PDF文件。此可执行文件包含DLL有效负载,我将通过它建立反向连接。

4.在目标机器上执行时,等待后门的传入连接以进行数据泄露。

5. 执行存储在文件中的加密有效负载,并通过 BURNBOOK 启动器将其写入磁盘

第一阶段(分娩技术)

由于这里的攻击者想要针对在能源公司和航空航天工业工作的受害者,因此攻击首先依靠合法的职位描述内容来针对在美国就业的受害者,现在我将创建一个 pdf 文件,其中包含与实际攻击者在其网络钓鱼活动中使用的相同网络钓鱼消息。

Labyrinth Chollima APT 攻击模拟Labyrinth Chollima APT 攻击模拟

第二阶段(植入技术)

现在我需要下载3.4.3版本之前的SumatraPDF程序,因此我选择了3.4.1版本,因为3.4.3之后的SumatraPDF实施了对策,以防止加载此DLL的修改版本。

uptodown 下载旧版本:https://sumatra-pdf-portable.en.uptodown.com/windows/download/62634650

Labyrinth Chollima APT 攻击模拟Labyrinth Chollima APT 攻击模拟

之后,我将使用 Shellter 在 Sumatra pdf.exe 中注入 DLL,并通过网络钓鱼活动中使用的 pdf 文件使用该 DLL 进行攻击。

Labyrinth Chollima APT 攻击模拟Labyrinth Chollima APT 攻击模拟

将恶意DLL注入(SumatraPDF.exe)后,我会将其与ZIP压缩包中的非恶意文件(job description.pdf)捆绑在一起。当用户打开ZIP文件时,它将触发注入的(SumatraPDF.exe)在后台执行,从而建立反向连接。

Labyrinth Chollima APT 攻击模拟Labyrinth Chollima APT 攻击模拟

在之前对俄罗斯 APT 的模拟中,我使用了类似的方法,但使用的是图像文件而不是 PDF。我现在将复制相同的方法,但不选择图标。

Labyrinth Chollima APT 攻击模拟Labyrinth Chollima APT 攻击模拟

第三阶段(执行技术)

现在,当我打开 ZIP 文件时,它会执行 PDF 文件,同时在后台运行(SumatraPDF.exe)。此可执行文件包含 DLL 有效负载,我将通过它建立反向连接。

Labyrinth Chollima APT 攻击模拟Labyrinth Chollima APT 攻击模拟

第四阶段(Backdoor Listener)

在模拟这次攻击时,我使用了在 BEAR-C2 中发现的第六个 C2 配置文件。

https://github.com/S3N4T0R-0X0/BEAR

当在目标机器上执行时,此 C2 配置文件等待来自后门的传入连接。

Labyrinth Chollima APT 攻击模拟Labyrinth Chollima APT 攻击模拟

第五阶段(DLL后门)

BURNBOOK 是一个用 C 编写的启动器,能够执行存储在文件中的加密有效负载并将其写入磁盘。此文件是 SumatraPDF.exe 二进制文件使用的合法 DLL 文件的修改版本。该 DLL 包含恶意代码,当用户使用提供的 SumatraPDF.exe 文件打开 PDF 诱饵 (BAE_Vice President of Business Development.pdf) 时会触发该恶意代码。

Labyrinth Chollima APT 攻击模拟Labyrinth Chollima APT 攻击模拟

BURNBOOK 包含一个网络连接检查,如果无法访问 google[.]com,则该检查会阻止被木马感染的阅读器显示解密的 PDF 诱饵。

Labyrinth Chollima APT 攻击模拟Labyrinth Chollima APT 攻击模拟

原文始发于微信公众号(安全狗的自我修养):Labyrinth Chollima APT 攻击模拟

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年3月10日10:25:33
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Labyrinth Chollima APT 攻击模拟https://cn-sec.com/archives/3820767.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息