APT-C-51(APT35)组织最新攻击活动分析

admin 2025年5月7日22:37:07评论1 views字数 4537阅读15分7秒阅读模式
APT-C-51
APT35

APT-C-51(#APT35)组织,又名#CharmingKitten、Phosphorus、Newscaster等,自 2012 年以来该组织一直很活跃,攻击策略多样。组织的行动通常集中在对英国、美国和以色列等国家的网络袭击上,其活动动机既包括政治因素,也涵盖经济利益。该组织的主要目标群体包括人权活动家、媒体机构以及学术界成

近期360高级威胁研究院捕获到了该组织针对中东的攻击行动,攻击组织通过恶意lnk下发后续恶意组件,然后层层加载最终实现#PowerLess木马 的部署,从而完成窃密活动。

 一、攻击活动分析 

1.攻击流程分析

本轮攻击中,APT-C-51组织利用LNK文件诱导受害者点击,一旦被执行,会释放伪装文档并打开,以此来迷惑用户。此外还会释放多个恶意DLL以及加密数据文件,并执行相应DLL,然后通过层层解密并最终加载PowerLess脚本, 从而开启窃密行动。具体流程图如下:

APT-C-51(APT35)组织最新攻击活动分析

2.载荷投递分析

近期,我们捕获到了APT-C-51针对中东地区的攻击样本,该样本是一个名为“Biography of Mr.leehu hacohn.lnk”的LNK文件,具体信息如下:

MD5

a52c8eacf3dbdcf0f49268a27a44636b

文件名称

Biography of Mr.leehu   hacohn.lnk

文件大小

1.19 MB (1,251,204 字节)

该LNK文件所携带的命令行参数如下,一旦LNK文件被执行,就会读取自身数据,释放一个名为“Biography of Mr.leehu hacohn.pdf”的PDF文件,和一个名为“osf.zip”的压缩包,将其解压之后,通过regsvr命令注册wow.dll从而执行恶意代码。
APT-C-51(APT35)组织最新攻击活动分析
APT-C-51(APT35)组织最新攻击活动分析

“osf.zip”压缩包包含了多个DLL文件,其中“Wow.dll”,“new.dll”和“Min.dll”是本次攻击所用到的恶意载荷,“gclib”是加密过的下一阶段载荷,其他文件都是程序运行所依赖的正常文件。

APT-C-51(APT35)组织最新攻击活动分析

3.恶意载荷分析

LNK文件最终通过regsvr执行Wow.dll文件,Wow.dll文件信息如下。

MD5

92d497053600374b10003aa40ae8e5d8

文件名称

Wow.dll

文件大小

428 KB (438,784 字节)

Timestamp

2025-01-29 19:01:38

Wow.dll是C/C++编译的DLL文件,该文件主要功能是进行环境检测,随后通过内存加载的方式执行下一阶段的载荷文件。

Wow.dll被严重混淆,存在大量的无关代码,用来阻碍分析人员分析,从IDA反编译结果以及Graph overview都可以看出存在大量垃圾代码块。此外,通过该样本混淆后免杀效果也很好,截至目前,在VT上只有一家引擎报毒。

APT-C-51(APT35)组织最新攻击活动分析
APT-C-51(APT35)组织最新攻击活动分析

当去除部分无关代码之后,代码块瞬间变小,代码逻辑也变得比较清晰,下图是去除混淆后的反编译结果以及Graph overview展示页面。

APT-C-51(APT35)组织最新攻击活动分析
APT-C-51(APT35)组织最新攻击活动分析

Wow.dll首先会检测是否存在安全软件,以及是否存在安全工具进程。如果存在,就会通过Patch的方式绕过AMSI以及ETW机制。以便后续执行Powershell脚本。

APT-C-51(APT35)组织最新攻击活动分析

随后读取gclib文件,并依次通过base64,以及AES算法解密得到下一阶段载荷所需要的powershell脚本,其中,AES解密秘钥为“{}nj45kdada0slfk”。

APT-C-51(APT35)组织最新攻击活动分析
APT-C-51(APT35)组织最新攻击活动分析

最后,将解密得到的powershell脚本作为参数传入,并内存加载执行同级目录下的“new.dll”文件,程序入口点位于Pins类的RunParScript方法,此外过程中如果出现错误信息,会将错误信息发送至https://api.telegram.org/bot755****/SendMessage。

APT-C-51(APT35)组织最新攻击活动分析

new.dll文件的信息如下:

MD5

62fbf0622586324f7177da466d036b8f

文件名称

new.dll

文件大小

552 KB (565,248 字节)

new.dll是一个C#攻击组件,其主要功能就是执行传入的powershell脚本。
APT-C-51(APT35)组织最新攻击活动分析

解密得到的powershell脚本,再依次通过替换,Base64编码,以及AES解密(秘钥为“0123654789mkiujn”)之后,得到本次攻击最终的powershell载荷。

APT-C-51(APT35)组织最新攻击活动分析

4.攻击组件分析

经过分析,最终加载的powershell组件为PowerLess木马,其版本号为“3.3.4”,相关配置和通信C2如下所示。

APT-C-51(APT35)组织最新攻击活动分析

其执行时首先设置自启,接着向与Telegram通信的APIKEY:755009***和CHATID:-1002486927678发送当前用户名,以此通知上线。

APT-C-51(APT35)组织最新攻击活动分析

接着获取基本信息包括计算机名、用户名、操作系统、安装路径、IP地址、计算机制造商和安装杀毒软件信息发送给服务器,等待服务器响应执行向相应功能,服务器指令如下所示:

指令

功能

file_list

获取文件或目录信息

Command

命令执行

Shot

屏幕截屏

sound

音频窃取

Browser

浏览器信息窃取器

klg

插件执行

Download

文件下载

Upload

文件上传

update

更新配置

F_Upload

失败重传

需要说明的是音频窃取和插件执行功能都是调用Min.dll完成的,以音频窃取为例其具体做法如下:先判断“LOCALAPPDATAMicrosoft Conf”目录下是否存在Applause.wav文件,若存在则,加密传走,如不存在则下载一个VR.zip并将其解压得到VR文件,利用rundll加载Min.dll的Milo导出函数,并传入参数VR执行,Milo函数解密数据加载脚本实现窃取和插件执行功能。
APT-C-51(APT35)组织最新攻击活动分析

此外,Min.dll在执行过程中修改了 AMSIscanBuffer 和 ETWEventWrite API,从而绕过检测机制,确保恶意脚本的顺利执行,并防止扫描结果被记录或上报。

APT-C-51(APT35)组织最新攻击活动分析

 二、关联分析 

早几个月前我们也捕获到了该组织的攻击测试样本,样本也是采用lnk下发诱饵pdf和恶意组件,其执行流程和本次类似,不同在于测试样本并未打包几个系统dll,故在某些环境下,该样本可能无法正常执行,如下所示。

APT-C-51(APT35)组织最新攻击活动分析

同样,对gclib解密得到PowerLess木马,其版本为“3.3.0”,通信C2为starmanblind.ddns.net,功能和本次攻击样本基本一致,具体不再叙述。

和测试样本相比,本次攻击使用了最新的“3.3.4”版本,并且增加了自启动和向Telegram发送消息的上线通知,此外还在多处代码上增加了try…catch结构来增加代码的健壮性,这也可以看出攻击者在不断升级攻击组件。

 三、归属研判 

 根据对APT-C-51组织近期攻击事件的深入分析,发现该组织具有较为鲜明技术特征,具体总结如下:

1)本次攻击的最终组件PowerLess和加载流程与该组织的以前攻击行动基本一致[1],都采用了Base64 和AES算法进行解密加载,并且解密密钥都为“0123654789mkiujn”。另外,从数据文件中解密出powershell脚本的AES解密密钥“{}nj45kdada0slfk”与之前攻击相同[2], 并且随后都采用.net程序加载powershell。

2)C++的PE文件混淆方式类似,都包含大量无用代码,此外,过程中都用到了一些逃避技术,如HOOK AMSIscanBuffer 和 ETWEventWrite API。

3)PowerLess组件和以前样本均存在错误拼写现象,并且有相同错误点把“stoped”拼错,如下所示。

APT-C-51(APT35)组织最新攻击活动分析

4)恶意组件的最终通信C2是“.info”格式的域名,符合该组织的以往攻击习惯,并且通过对测试样本中的通信C2(starmanblind.ddns.net)进行解析得到的IP(54.39.143.112)再反查发现其中一个域名defaultbluemarker.info也被有关威胁情报归属到APT-C-51组织[3]

综上分析,并结合其攻击目标为中东地区,符合该组织以往的攻击目的,因此本次攻击可归属于APT-C-51组织

总结

在本次详尽的攻击分析中,我们揭秘了APT-C-51组织利用钓鱼文件一步步部署PowerLess木马的全过程,在执行过程中,恶意组件通过加入大量无效代码来干扰分析,同时展现出较强的免杀能力,使其具备显著的抗检测性,最终通过层层加载达到窃取用户信息的目的。因此在这里提醒相关企业和个人加强安全意识,无论何种操作系统,切勿执行未知样本。这些行为可能导致系统在没有任何防范的情况下被攻陷,从而导致机密文件和重要情报的泄漏。

另外,本文披露的相关恶意代码、C&C只是APT-C-51组织近期攻击过程中使用的攻击武器,该组织不会因为一次攻击行动的暴露而停止活动,反而会持续更新其载荷,后期我们也将持续关注该组织的攻击活动。

附录 IOC

MD5:

193f5ac21d6b562507f0973c6b02614d

a52c8eacf3dbdcf0f49268a27a44636b

d04be225aae86085a44a387a1c63a0ff

a8d21e3ed6cd650e4ee7cdf4b207f55e

62fbf0622586324f7177da466d036b8f

92d497053600374b10003aa40ae8e5d8

a2522c16248868ad666c746baf428e41

7933d42357c48359d5656b5d14d41c1f

6a8664cb87c1804c5330790071697132

C&C:

lastfilterfile[.]info

starmanblind[.]ddns.net

cloudtransferfile[.]info

185.153.197[.]236

附录 IOC

[1]https://www.cybereason.com/blog/research/PowerLess-trojan-iranian-apt-phosphorus-adds-new-powershell-backdoor-for-espionage

[2]https://research.checkpoint.com/2023/educated-manticore-iran-aligned-threat-actor-targeting-israel-via-improved-arsenal-of-tools/

[3]https://www.volexity.com/blog/2024/02/13/charmingcypress-innovating-persistence/

团队介绍
TEAM INTRODUCTION
360高级威胁研究院
360高级威胁研究院是360数字安全集团的核心能力支持部门,由360资深安全专家组成,专注于高级威胁的发现、防御、处置和研究,曾在全球范围内率先捕获双杀、双星、噩梦公式等多起业界知名的0day在野攻击,独家披露多个国家级APT组织的高级行动,赢得业内外的广泛认可,为360保障国家网络安全提供有力支撑。

原文始发于微信公众号(360威胁情报中心):APT-C-51(APT35)组织最新攻击活动分析

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年5月7日22:37:07
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   APT-C-51(APT35)组织最新攻击活动分析https://cn-sec.com/archives/4039027.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息