APT-C-51(#APT35)组织,又名#CharmingKitten、Phosphorus、Newscaster等,自 2012 年以来该组织一直很活跃,攻击策略多样。该组织的行动通常集中在对英国、美国和以色列等国家的网络袭击上,其活动动机既包括政治因素,也涵盖经济利益。该组织的主要目标群体包括人权活动家、媒体机构以及学术界成员。
近期360高级威胁研究院捕获到了该组织针对中东的攻击行动,攻击组织通过恶意lnk下发后续恶意组件,然后层层加载最终实现#PowerLess木马 的部署,从而完成窃密活动。
一、攻击活动分析
1.攻击流程分析
本轮攻击中,APT-C-51组织利用LNK文件诱导受害者点击,一旦被执行,会释放伪装文档并打开,以此来迷惑用户。此外还会释放多个恶意DLL以及加密数据文件,并执行相应DLL,然后通过层层解密并最终加载PowerLess脚本, 从而开启窃密行动。具体流程图如下:
2.载荷投递分析
近期,我们捕获到了APT-C-51针对中东地区的攻击样本,该样本是一个名为“Biography of Mr.leehu hacohn.lnk”的LNK文件,具体信息如下:
MD5 |
a52c8eacf3dbdcf0f49268a27a44636b |
文件名称 |
Biography of Mr.leehu hacohn.lnk |
文件大小 |
1.19 MB (1,251,204 字节) |
“osf.zip”压缩包包含了多个DLL文件,其中“Wow.dll”,“new.dll”和“Min.dll”是本次攻击所用到的恶意载荷,“gclib”是加密过的下一阶段载荷,其他文件都是程序运行所依赖的正常文件。
3.恶意载荷分析
LNK文件最终通过regsvr执行Wow.dll文件,Wow.dll文件信息如下。
MD5 |
92d497053600374b10003aa40ae8e5d8 |
文件名称 |
Wow.dll |
文件大小 |
428 KB (438,784 字节) |
Timestamp |
2025-01-29 19:01:38 |
Wow.dll被严重混淆,存在大量的无关代码,用来阻碍分析人员分析,从IDA反编译结果以及Graph overview都可以看出存在大量垃圾代码块。此外,通过该样本混淆后免杀效果也很好,截至目前,在VT上只有一家引擎报毒。
当去除部分无关代码之后,代码块瞬间变小,代码逻辑也变得比较清晰,下图是去除混淆后的反编译结果以及Graph overview展示页面。
Wow.dll首先会检测是否存在安全软件,以及是否存在安全工具进程。如果存在,就会通过Patch的方式绕过AMSI以及ETW机制。以便后续执行Powershell脚本。
随后读取gclib文件,并依次通过base64,以及AES算法解密得到下一阶段载荷所需要的powershell脚本,其中,AES解密秘钥为“{}nj45kdada0slfk”。
最后,将解密得到的powershell脚本作为参数传入,并内存加载执行同级目录下的“new.dll”文件,程序入口点位于Pins类的RunParScript方法,此外过程中如果出现错误信息,会将错误信息发送至https://api.telegram.org/bot755****/SendMessage。
new.dll文件的信息如下:
MD5 |
62fbf0622586324f7177da466d036b8f |
文件名称 |
new.dll |
文件大小 |
552 KB (565,248 字节) |
解密得到的powershell脚本,再依次通过替换,Base64编码,以及AES解密(秘钥为“0123654789mkiujn”)之后,得到本次攻击最终的powershell载荷。
4.攻击组件分析
经过分析,最终加载的powershell组件为PowerLess木马,其版本号为“3.3.4”,相关配置和通信C2如下所示。
其执行时首先设置自启,接着向与Telegram通信的APIKEY:755009***和CHATID:-1002486927678发送当前用户名,以此通知上线。
接着获取基本信息包括计算机名、用户名、操作系统、安装路径、IP地址、计算机制造商和安装杀毒软件信息发送给服务器,等待服务器响应执行向相应功能,服务器指令如下所示:
指令 |
功能 |
file_list |
获取文件或目录信息 |
Command |
命令执行 |
Shot |
屏幕截屏 |
sound |
音频窃取 |
Browser |
浏览器信息窃取器 |
klg |
插件执行 |
Download |
文件下载 |
Upload |
文件上传 |
update |
更新配置 |
F_Upload |
失败重传 |
此外,Min.dll在执行过程中修改了 AMSIscanBuffer 和 ETWEventWrite API,从而绕过检测机制,确保恶意脚本的顺利执行,并防止扫描结果被记录或上报。
二、关联分析
早几个月前我们也捕获到了该组织的攻击测试样本,样本也是采用lnk下发诱饵pdf和恶意组件,其执行流程和本次类似,不同在于测试样本并未打包几个系统dll,故在某些环境下,该样本可能无法正常执行,如下所示。
同样,对gclib解密得到PowerLess木马,其版本为“3.3.0”,通信C2为starmanblind.ddns.net,功能和本次攻击样本基本一致,具体不再叙述。
和测试样本相比,本次攻击使用了最新的“3.3.4”版本,并且增加了自启动和向Telegram发送消息的上线通知,此外还在多处代码上增加了try…catch结构来增加代码的健壮性,这也可以看出攻击者在不断升级攻击组件。
三、归属研判
根据对APT-C-51组织近期攻击事件的深入分析,发现该组织具有较为鲜明技术特征,具体总结如下:
1)本次攻击的最终组件PowerLess和加载流程与该组织的以前攻击行动基本一致[1],都采用了Base64 和AES算法进行解密加载,并且解密密钥都为“0123654789mkiujn”。另外,从数据文件中解密出powershell脚本的AES解密密钥“{}nj45kdada0slfk”与之前攻击相同[2], 并且随后都采用.net程序加载powershell。
2)C++的PE文件混淆方式类似,都包含大量无用代码,此外,过程中都用到了一些逃避技术,如HOOK AMSIscanBuffer 和 ETWEventWrite API。
3)PowerLess组件和以前样本均存在错误拼写现象,并且有相同错误点把“stoped”拼错,如下所示。
4)恶意组件的最终通信C2是“.info”格式的域名,符合该组织的以往攻击习惯,并且通过对测试样本中的通信C2(starmanblind.ddns.net)进行解析得到的IP(54.39.143.112)再反查发现其中一个域名defaultbluemarker.info也被有关威胁情报归属到APT-C-51组织[3]。
综上分析,并结合其攻击目标为中东地区,符合该组织以往的攻击目的,因此本次攻击可归属于APT-C-51组织。
在本次详尽的攻击分析中,我们揭秘了APT-C-51组织利用钓鱼文件一步步部署PowerLess木马的全过程,在执行过程中,恶意组件通过加入大量无效代码来干扰分析,同时展现出较强的免杀能力,使其具备显著的抗检测性,最终通过层层加载达到窃取用户信息的目的。因此在这里提醒相关企业和个人加强安全意识,无论何种操作系统,切勿执行未知样本。这些行为可能导致系统在没有任何防范的情况下被攻陷,从而导致机密文件和重要情报的泄漏。
另外,本文披露的相关恶意代码、C&C只是APT-C-51组织近期攻击过程中使用的攻击武器,该组织不会因为一次攻击行动的暴露而停止活动,反而会持续更新其载荷,后期我们也将持续关注该组织的攻击活动。
MD5:
193f5ac21d6b562507f0973c6b02614d
a52c8eacf3dbdcf0f49268a27a44636b
d04be225aae86085a44a387a1c63a0ff
a8d21e3ed6cd650e4ee7cdf4b207f55e
62fbf0622586324f7177da466d036b8f
92d497053600374b10003aa40ae8e5d8
a2522c16248868ad666c746baf428e41
7933d42357c48359d5656b5d14d41c1f
6a8664cb87c1804c5330790071697132
C&C:
lastfilterfile[.]info
starmanblind[.]ddns.net
cloudtransferfile[.]info
185.153.197[.]236
[1]https://www.cybereason.com/blog/research/PowerLess-trojan-iranian-apt-phosphorus-adds-new-powershell-backdoor-for-espionage
[2]https://research.checkpoint.com/2023/educated-manticore-iran-aligned-threat-actor-targeting-israel-via-improved-arsenal-of-tools/
[3]https://www.volexity.com/blog/2024/02/13/charmingcypress-innovating-persistence/
原文始发于微信公众号(360威胁情报中心):APT-C-51(APT35)组织最新攻击活动分析
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论