一、攻击活动分析 

1.攻击流程分析

本轮攻击中，APT-C-51组织利用LNK文件诱导受害者点击，一旦被执行，会释放伪装文档并打开，以此来迷惑用户。此外还会释放多个恶意DLL以及加密数据文件，并执行相应DLL，然后通过层层解密并最终加载PowerLess脚本， 从而开启窃密行动。具体流程图如下：

2.载荷投递分析

近期，我们捕获到了APT-C-51针对中东地区的攻击样本，该样本是一个名为“Biography of Mr.leehu hacohn.lnk”的LNK文件，具体信息如下：

“osf.zip”压缩包包含了多个DLL文件，其中“Wow.dll”，“new.dll”和“Min.dll”是本次攻击所用到的恶意载荷，“gclib”是加密过的下一阶段载荷，其他文件都是程序运行所依赖的正常文件。

3.恶意载荷分析

LNK文件最终通过regsvr执行Wow.dll文件，Wow.dll文件信息如下。

Wow.dll被严重混淆，存在大量的无关代码，用来阻碍分析人员分析，从IDA反编译结果以及Graph overview都可以看出存在大量垃圾代码块。此外，通过该样本混淆后免杀效果也很好，截至目前，在VT上只有一家引擎报毒。

当去除部分无关代码之后，代码块瞬间变小，代码逻辑也变得比较清晰，下图是去除混淆后的反编译结果以及Graph overview展示页面。

Wow.dll首先会检测是否存在安全软件，以及是否存在安全工具进程。如果存在，就会通过Patch的方式绕过AMSI以及ETW机制。以便后续执行Powershell脚本。

随后读取gclib文件，并依次通过base64，以及AES算法解密得到下一阶段载荷所需要的powershell脚本，其中，AES解密秘钥为“{}nj45kdada0slfk”。

最后，将解密得到的powershell脚本作为参数传入，并内存加载执行同级目录下的“new.dll”文件，程序入口点位于Pins类的RunParScript方法,此外过程中如果出现错误信息，会将错误信息发送至https://api.telegram.org/bot755****/SendMessage。

new.dll文件的信息如下：

解密得到的powershell脚本，再依次通过替换，Base64编码，以及AES解密（秘钥为“0123654789mkiujn”）之后，得到本次攻击最终的powershell载荷。

4.攻击组件分析

经过分析，最终加载的powershell组件为PowerLess木马，其版本号为“3.3.4”，相关配置和通信C2如下所示。

其执行时首先设置自启，接着向与Telegram通信的APIKEY:755009***和CHATID:-1002486927678发送当前用户名，以此通知上线。

接着获取基本信息包括计算机名、用户名、操作系统、安装路径、IP地址、计算机制造商和安装杀毒软件信息发送给服务器，等待服务器响应执行向相应功能，服务器指令如下所示：

此外，Min.dll在执行过程中修改了 AMSIscanBuffer 和 ETWEventWrite API，从而绕过检测机制，确保恶意脚本的顺利执行，并防止扫描结果被记录或上报。

 二、关联分析 

早几个月前我们也捕获到了该组织的攻击测试样本，样本也是采用lnk下发诱饵pdf和恶意组件，其执行流程和本次类似，不同在于测试样本并未打包几个系统dll，故在某些环境下，该样本可能无法正常执行，如下所示。

同样，对gclib解密得到PowerLess木马，其版本为“3.3.0”，通信C2为starmanblind.ddns.net，功能和本次攻击样本基本一致，具体不再叙述。

和测试样本相比，本次攻击使用了最新的“3.3.4”版本，并且增加了自启动和向Telegram发送消息的上线通知，此外还在多处代码上增加了try…catch结构来增加代码的健壮性，这也可以看出攻击者在不断升级攻击组件。

 三、归属研判 

 根据对APT-C-51组织近期攻击事件的深入分析，发现该组织具有较为鲜明技术特征，具体总结如下：

1）本次攻击的最终组件PowerLess和加载流程与该组织的以前攻击行动基本一致^[1]，都采用了Base64 和AES算法进行解密加载，并且解密密钥都为“0123654789mkiujn”。另外，从数据文件中解密出powershell脚本的AES解密密钥“{}nj45kdada0slfk”与之前攻击相同^[2]， 并且随后都采用.net程序加载powershell。

2）C++的PE文件混淆方式类似，都包含大量无用代码，此外，过程中都用到了一些逃避技术，如HOOK AMSIscanBuffer 和 ETWEventWrite API。

3）PowerLess组件和以前样本均存在错误拼写现象，并且有相同错误点把“stoped”拼错，如下所示。

4）恶意组件的最终通信C2是“.info”格式的域名，符合该组织的以往攻击习惯，并且通过对测试样本中的通信C2(starmanblind.ddns.net)进行解析得到的IP（54.39.143.112）再反查发现其中一个域名defaultbluemarker.info也被有关威胁情报归属到APT-C-51组织^[3]。

综上分析，并结合其攻击目标为中东地区，符合该组织以往的攻击目的，因此本次攻击可归属于APT-C-51组织。

MD5:

193f5ac21d6b562507f0973c6b02614d

a52c8eacf3dbdcf0f49268a27a44636b

d04be225aae86085a44a387a1c63a0ff

a8d21e3ed6cd650e4ee7cdf4b207f55e

62fbf0622586324f7177da466d036b8f

92d497053600374b10003aa40ae8e5d8

a2522c16248868ad666c746baf428e41

7933d42357c48359d5656b5d14d41c1f

6a8664cb87c1804c5330790071697132

C&C：

lastfilterfile[.]info

starmanblind[.]ddns.net

cloudtransferfile[.]info

185.153.197[.]236

[1]https://www.cybereason.com/blog/research/PowerLess-trojan-iranian-apt-phosphorus-adds-new-powershell-backdoor-for-espionage

[2]https://research.checkpoint.com/2023/educated-manticore-iran-aligned-threat-actor-targeting-israel-via-improved-arsenal-of-tools/

[3]https://www.volexity.com/blog/2024/02/13/charmingcypress-innovating-persistence/

原文始发于微信公众号（360威胁情报中心）：APT-C-51（APT35）组织最新攻击活动分析