一
概述
绿盟科技伏影实验室依托全球威胁狩猎系统发现APT组织TransparentTribe针对阿富汗监狱管理局的鱼叉式钓鱼邮件攻击活动。
本次活动中TransparentTribe组织利用邮件投递名称为“opa.zip”的压缩文件,文件名称指向阿富汗监狱管理局(opa.gov.af)。该压缩文件解压后,是包含多个图片,PDF文件,Excel文档等文件组成的诱饵文件集。恶意文件被压缩隐藏在其中一个文档中,运行后会执行嵌入的VBA脚本,以提取文件中的恶意程序并运行。
本次攻击中使用的最终载荷为CrimsonRAT远程控制程序,是TransparentTribe攻击组织的常用木马。该RAT具备收集系统信息、下载运行文件、窃取敏感信息等功能。具有极大的危害性。
二
组织信息
TransparentTribe 组织中文名为:透明部落,又称ProjectM、APT36,是一个来自巴基斯坦的APT攻击组织,主要针对印度、哈萨克斯坦、及阿富汗等国进行攻击。
该组织的主要目标是:
-
国防
-
军事
-
大使馆
-
政府
其活动最早可以追溯到2012年,近期常用的攻击方式是通过钓鱼邮件投递恶意docm、xlam文档,利用文档中的VBA脚本释放恶意程序,以达到窃取用户信息的目的。
三
诱饵信息
在本次事件里,TransparentTribe 组织所发送的钓鱼邮件附件是一个名为 opa.zip 的压缩文件(其中 “opa” 是阿富汗监狱管理局的缩写)。将该压缩文件解压后,会发现其中包含大量的诱饵文件,这些文件主要以图片、PDF 以及 Excel 文档的形式呈现。
近期,该组织在构建诱饵内容时,更倾向于选用政府部门发布的官方文档,并且所采用的内容针对性极强。在本次事件中,攻击者所使用的诱饵依旧符合该组织构建诱饵文件的一贯习惯。
这些诱饵内容大多是与阿富汗监狱管理局相关人员的照片以及文档。
图 3.1 邮件附件中的文件
文件中包含一些官方声明,其中多个声明涉及阿富汗监狱管理局,下图为其中一个媒体邀请函。该公告的主要内容是邀请新闻媒体报道女性囚犯毕业典礼,提供了活动地点、时间及联系人信息,并提醒媒体人员注意进入监狱的路线调整。由此我们推测攻击者的攻击目标为阿富汗监狱管理局及相关人员。
图 3.2 攻击者使用的诱饵文件
初始攻击载荷为xlam文件。当用户点击该文件,执行后运行VBA脚本,加载后续攻击载荷,运行伪造的诱饵文件。
诱饵文件中仅有红色的“file opening error!!! Remved this file open another file”(文件打开错误!!!请移除此文件并打开另一个文件)的字符串信息。原文中的“Remved”可能是拼写错误,应为“Remove”(移除)。因为该文件同路径下有很多安全且显示内容正常的Excel文档,因此增强了用户对该文件的信任,同时又诱使用户删除该恶意文档,以掩盖攻击痕迹。
图 3.3 攻击者使用的诱饵文件
四
攻击技术分析
4.1 攻击流程分析
攻击者以名为164f7996b586499ba1ebdb8e10f5581e012025.xlam的Excel加载宏文件作为初始攻击载体。当用户启用该文档的宏功能后,系统将触发预设的攻击链执行流程。
-
执行文件中的恶意VBA脚本,功能是在用户目录创建动态文件夹(如C:Users用户名Exl-30,30为当前秒数)。
-
将当前工作簿复制为docs.zip解压ZIP文件到目标目录。
-
检测系统中是否存在指定的 .NET Framework 3.5 目录,判断.NET Framework的版本。
-
选择加载不同.NET版本的恶意程序。(xlembeddings路径下oleObject1.bin解压后为两个版本的程序)当系统中有.NET Framework 3.5目录则修改oleObject1.bin文件名为jivarthr edis.exe,修改后执行jivarthr edis.exe,该文件为最终载荷CrimsonRAT。
-
将xlembeddingsoleObject3.bin的扩展名改为.xlsx并运行,作为诱饵文件混淆被攻击者视线。
图 4.1 xlam文件执行恶意VBA脚本
4.2 攻击脚本变动
攻击者本次攻击脚本与以往不同的有两点:
1. 此次攻击者会依据系统中 .NET Framework 的版本来选择执行不同的程序。
具体而言,攻击者会先判断系统中 .NET Framework 的版本,然后据此选择执行对应版本编译的最终载荷。这样做的目的在于确保恶意程序能够在目标系统上正常运行,避免因缺少必要依赖而导致攻击失败。
攻击脚本会借助 Environ$("systemroot") 语句来获取系统根目录(一般情况下为 C:Windows),随后检查 C:WindowsMicrosoft.NETFrameworkv3.5 目录是否存在。若该目录不存在,攻击脚本会将 file_num 设置为 2,以此表明系统未安装 .NET Framework 3.5。
图 4.2 检测系统.NET库版本
2.攻击者随机生成文件存储路径下的文件夹名称。
存储路径是用户目录下的Exl-加当前秒数的文件夹。比如,Environ$("USERPROFILE")会得到类似C:Users用户名,然后加上Exl-38这样的目录,其中38是当前秒数。用来生成文件夹名称,避免重复的同时隐藏自身,防止被静态检测到恶意路径。
图 4.3 根据时间随机生成的文件夹
五
CrimsonRAT分析
5.1 基本信息
CrimsonRAT 作为 TransparentTribe 组织频繁使用的远程访问木马(RAT),主要发挥收集系统信息、截取屏幕画面、获取进程与驱动器信息的作用。此外,它还具备下载并运行文件的功能,能够窃取各类敏感数据。
本次攻击中攻击者使用的CrimsonRAT 版本号:
图 5.1 CrimsonRAT 版本号
5.2 网络通信
运行程序之后,程序会尝试连接至 C2。倘若连接失败,则会按照顺序依次连接端口表中的各个端口。一旦连接成功,服务器便会自动下发指令,用于获取受感染主机的相关信息以及 RAT 版本信息,以此来获取本机的基础信息,其中涵盖计算机名称、计算机用户名称、编号、执行文件所在位置等内容。
随后,程序会对所接收到的功能指令加以修改,具体是在字符串的第三个位置插入字符 “6”,最后完成数据内容的替换。
图 5.2 接收并解析数据运行相应功能
5.3 功能说明
下面对该木马程序的功能进行的列表说明。
表 5.1 指令功能表
CMD指令 |
功能 |
-pu6ytsrt -pu6tsrt |
设置注册表持久化 |
-ge6ytavs -ge6tavs |
获取当前所有进程信息 |
-do6ywf -do6wf |
将下载的文件保存到对应位置 |
-cs6ycrgn -cs6crgn |
截屏并上传到C2 |
-th6yumb -th6umb |
获取指定图片 |
-pr6yocl -pr6ocl |
获取当前所有进程信息 |
-sc6yrsz -sc6rsz |
获取C2要求截图分辨率 |
-fi6ylsz -fi6lsz |
获取指定文件属性信息 |
-st6yops -st6ops |
停止截图 |
-cn6yls -cn6ls |
设置操作标志位 |
-de6ylt -de6lt |
删除指定文件 |
-af6yile -af6ile |
检测是否存在指定路径文件,并回传文件内容 |
-sc6yren -sc6ren |
开始截屏并回传 |
-fl6ydr -fl6dr |
遍历指定目录下的文件 |
-in6yfo -in6fo |
执行指定路径的文件 |
-ru6ynf -ru6nf |
执行指定路径的文件 |
-fi6yle -fi6le |
获取指定文件内容 |
-li6ystf -li6stf |
在指定目录下搜索具有指定扩展名的文件 |
六
归因攻击者
伏影实验室在本次APT事件中发现以下归因项:
-
攻击者使用的恶意样本为CrimsonRAT,该样本是TransparentTribe常使用的木马之一;
-
本次事件中攻击者使用的攻击流程与VBA脚本符合TransparentTribe近期攻击链特征与编码习惯;
-
本次事件的攻击目标为阿富汗,符合TransparentTribe的常见攻击目标;
因此,伏影实验室将本次攻击事件的攻击者归因为TransparentTribe 组织。
附录 IOC
值 |
备注 |
164f7996b586499ba1ebdb8e10f5581e |
包含恶意宏的文件 |
4520676983fcc20cfc4ca5be1e2a7566f3491ffb |
jivarthr edis.exe |
209.127.18.107: 6859 |
C2 |
209.127.18.107: 8718 |
C2 |
209.127.18.107: 15493 |
C2 |
209.127.18.107: 22861 |
C2 |
209.127.18.107: 26184 |
C2 |
关于绿盟科技伏影实验室
专注于安全威胁监测与对抗技术的研究,涵盖APT高级威胁、Botnet、DDoS对抗、流行服务漏洞利用、黑灰产业链威胁及数字资产等新兴领域。
研究目标是掌握现有网络威胁,识别并追踪新型威胁,精准溯源与反制威胁,降低风险影响,为威胁对抗提供有力决策支持。
采用前沿技术探索与实战对抗相结合的研究模式,协助国家单位破获APT攻击案件数起,全球率先发现8个新型APT攻击组织,处置40多起涉我APT攻击事件,为国家重大网络安保做出突出贡献。
绿盟威胁情报中心
绿盟威胁情报中心(NSFOCUS Threat Intelligence center, NTI)是绿盟科技为落实智慧安全3.0战略,促进网络空间安全生态建设和威胁情报应用,增强客户攻防对抗能力而组建的专业性安全研究组织。其依托公司专业的安全团队和强大的安全研究能力,对全球网络安全威胁和态势进行持续观察和分析,以威胁情报的生产、运营、应用等能力及关键技术作为核心研究内容,推出了绿盟威胁情报平台以及一系列集成威胁情报的新一代安全产品,为用户提供可操作的情报数据、专业的情报服务和高效的威胁防护能力,帮助用户更好地了解和应对各类网络威胁。(绿盟威胁情报中心官网:https://nti.nsfocus.com/)
原文始发于微信公众号(绿盟科技威胁情报):TransparentTribe针对阿富汗监狱管理局的鱼叉式钓鱼邮件攻击
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论