团伙背景
摩诃草,又名 Patchwork、白象、Hangover、Dropping Elephant 等,奇安信内部跟踪编号 APT-Q-36。该组织被普遍认为具有南亚地区背景,其最早攻击活动可追溯到 2009 年 11 月,已持续活跃 10 余年。该组织主要针对亚洲地区的国家进行网络间谍活动,攻击目标包括政府、军事、电力、工业、科研教育、外交和经济等领域的组织机构。
肚脑虫,又名 Donot,奇安信内部跟踪编号 APT-Q-38。该组织主要针对巴基斯坦、孟加拉国、斯里兰卡等南亚地区国家,对政府机构、国防军事、外交部门以及商务领域重要人士实施网络间谍活动,窃取敏感信息。肚脑虫组织具有 Windows 与 Android 双平台攻击能力,在以往攻击活动中经常通过携带 Office 漏洞或者恶意宏文档的鱼叉邮件和安卓 APK 传播恶意代码。
事件概述
奇安信威胁情报中心在 2 月底披露过肚脑虫组织的攻击活动[1],此后对相关攻击活动持续追踪,发现肚脑虫组织曾使用域名 couldmailauth.com 托管恶意软件。近期我们捕获到另一批以 couldmailauth.com 为 C&C 服务器的样本,此类样本为摩诃草组织的 Spyder 下载器,并且其中一个样本带有与肚脑虫样本相同的数字签名。以上信息表明了这两个南亚地区 APT 组织之间的潜在关联。
详细分析
肚脑虫相关样本
肚脑虫组织相关样本信息如下:
|
MD5 |
文件名 |
说明 |
|
e39413d9a67acbc5df2d8b8c0a170f4b |
ltr-2024055.ppt |
带VBA宏,下载DLL |
|
8157be7acc05f719dc125d677133ca40 |
Reghjok_64.dll |
下载的DLL |
恶意 PPT 的下载链接为 "hxxps://viperdenx.info/2025/filezz/uploadz/ltr-2024055.ppt"。PPT 中 VBA 宏的主要功能是从 "hxxp://couldmailauth.com/zhq93e8hsj93793892378hhxhb/Reghjok_64.dll" 下载后续 DLL,保存为 "%LocalAppdata%\SysIconTray.dll",然后调用 rundll32.dll 运行导出函数 bostRebert。
DLL 连接的 C&C 服务器为 totalservices.info,功能与之前报告[1]中披露的样本 PLAIN.dll 相同。
摩诃草Spyder下载器
近期发现的 Spyder 下载器样本如下:
|
序号 |
MD5 |
编译时间 |
文件大小 |
C&C |
|
1 |
c13dfd03cbdd66c0d6d53eb55ba9d551 |
2025-02-04 19:22:09 UTC |
3.80 MB (3988992字节) |
apps-house.com |
|
2 |
2f1c58c7214471c28283b9e161ceed1c |
2025-02-15 00:23:23 UTC |
80.99 MB (84926048字节) |
couldmailauth.com |
|
3 |
f8e30dad9130bbc04164dda4f31a1b23 |
2025-02-15 00:23:23 UTC |
17.38 MB (18219008字节) |
couldmailauth.com |
|
4 |
4dfbc90129c9700bab397a59e0640648 |
2025-02-15 00:23:23 UTC |
6.81 MB (7143424字节) |
couldmailauth.com |
|
5 |
6cf72a23f23f2f35106ed9db63df3474 |
2025-03-24 11:50:12 UTC |
3.50 MB (3672064字节) |
apps-house.com |
其中序号 2~4 的样本的核心数据完全一致,不过均在原始的可执行文件最后(即 .reloc段 末尾)追加不同数量的零字节使文件磁盘大小膨胀,且序号 2 样本还添加了数字签名。
以序号 2 样本(MD5:2f1c58c7214471c28283b9e161ceed1c)为例进行分析。样本以 PPT 图标作为伪装,数字签名的签名者为 "Ebo Sky Tech Inc",签名时间为 2025 年 2 月 16 日 07:52:57 UTC。
部分配置数据字符串(如 C&C 服务器的域名和 URL)通过异或解密恢复。
创建互斥量后,重映射多个系统 DLL 的 .text 段,设置多个只触发一次(在第二天固定时刻)的计划任务,指向 "%LocalAppdata%\TREATE.exe",并将自身复制为 "%LocalAppdata%\TREATE.exe"。
样本与 C2 服务器的通信数据放在 POST 请求首部的自定义字段("xfz")中,数据为经过 Base64 编码的 JSON 字符串,Base64 编码后还会对部分字符进行替换处理。
样本向 C2 服务器的 "/gxL5EumWANH46T3tjskyFB/pencil.php" 发送的 JSON 字符串包含两部分固定的内容,分别是:"jhon"(感染设备的 Machine GUID)和 "sweep"(样本配置数据中的字符串 "0.0.0.1",可能是版本号)。
向 "/gxL5EumWANH46T3tjskyFB/pencil.php" 发送请求主要有两个作用:(1)是否收集设备信息,以及(2)获取关于后续组件压缩包的信息。
收集设备信息
样本根据第一次请求 C2 服务器 "/gxL5EumWANH46T3tjskyFB/pencil.php" 的响应判断是否需要收集设备信息并回传,如果响应为 "1",则执行信息收集操作,否则跳过该步骤。
收集信息前先使用 curl 向 api.github.com 发送伪装流量。
收集的信息添加为 JSON 字符串中的 cargo 字段。
收集的各类信息如下:
|
字段名称 |
保存数据 |
|
spaceship |
主机名 |
|
lockmode |
用户名 |
|
tune |
操作系统版本 |
|
trunk |
样本配置数据中的字符串("ZXF") |
|
spool |
安装的杀毒软件信息 |
下载后续组件
之后样本进入获取后续组件的循环过程。每次循环先向 api.github.com 发送伪装流量,然后请求 C2 服务器 "/gxL5EumWANH46T3tjskyFB/pencil.php"。如果响应为 "0",或响应数据长度不大于 5,则直接休眠等待下一次循环。
当响应数据符合要求时,样本从中提取关于压缩包的信息,用于下载后续组件。在响应数据中提取信息的字段有如下 3 个:
|
字段名称 |
说明 |
|
anon |
代码中未使用 |
|
hand |
下载压缩包的名称(字符串) |
|
shake |
解密压缩包的密码(字符串) |
样本将 hand 字段内容拼接到 "/gxL5EumWANH46T3tjskyFB/download.php?mname=" 之后,向 C2 服务器发起请求,下载包含后续组件的 ZIP 压缩包。
下载的 ZIP 压缩包暂存于 %LocalAppdata% 目录,将其中的 exe 释放到 COMMON_DOCUMENTS 目录(即 "C:\Users\Public\Documents"),然后调用 CreateProcessW 执行。
溯源关联
本次发现的 Spyder 样本在代码和功能方面与摩诃草之前使用的 Spyder 下载器[2]变化不大:
(1)具有一样的配置数据结构;
(2)向相同的 api.github.com 链接发起访问,从而伪装网络通信流量;
(3)均重新映射多个系统 DLL 的 .text 段,设置多个只触发一次的计划任务,并且与 C&C 服务器的通信方式几乎一致。
相比去年的样本,Spyder 下载器最大的改动体现在关键字符串经过异或加密,不再以明文形式存放在代码中。
摩诃草 Spyder 样本(MD5:2f1c58c7214471c28283b9e161ceed1c)使用的数字签名在肚脑虫的攻击样本(MD5:893561ff6d17f1e95897b894dde29a2a)中也出现过,不过签名时间更早,为 2025 年 1 月 28 日 10:19:27 UTC。
从 couldmailauth.com 下载后续 DLL 的肚脑虫 PPT 宏样本(MD5:e39413d9a67acbc5df2d8b8c0a170f4b)创建时间为 2025-02-13 15:42:47 UTC,也与利用该域名的 Spyder 样本编译时间相近(2025-02-15 00:23:23 UTC)。以上信息说明摩诃草和肚脑虫在资源层面存在一定程度的共享,或者两者在同一批攻击活动中进行了合作。
总结
南亚地区的多个 APT 组织之间原本就有一些关联,此次发现的分别归属于肚脑虫和摩诃草两个组织的攻击样本使用了相同的数字签名和网络基础设施,导致这种情况的原因可能是两个组织背后存在相同的资源提供者,也可能是两者在某个层级更高的组织的协调下统一开展行动。
防护建议
奇安信威胁情报中心提醒广大用户,谨防钓鱼攻击,切勿打开社交媒体分享的来历不明的链接,不点击执行未知来源的邮件附件,不运行标题夸张的未知文件,不安装非正规途径来源的APP。做到及时备份重要文件,更新安装补丁。
若需运行,安装来历不明的应用,可先通过奇安信威胁情报文件深度分析平台(https://sandbox.ti.qianxin.com/sandbox/page)进行判别。目前已支持包括Windows、安卓平台在内的多种格式文件深度分析。
目前,基于奇安信威胁情报中心的威胁情报数据的全线产品,包括奇安信威胁情报平台(TIP)、天擎、天眼高级威胁检测系统、奇安信NGSOC、奇安信态势感知等,都已经支持对此类攻击的精确检测。
IOC
MD5
(肚脑虫)
e39413d9a67acbc5df2d8b8c0a170f4b
8157be7acc05f719dc125d677133ca40
(摩诃草)
c13dfd03cbdd66c0d6d53eb55ba9d551
2f1c58c7214471c28283b9e161ceed1c
f8e30dad9130bbc04164dda4f31a1b23
4dfbc90129c9700bab397a59e0640648
6cf72a23f23f2f35106ed9db63df3474
C&C
couldmailauth.com (肚脑虫、摩诃草)
viperdenx.info (肚脑虫)
apps-house.com (摩诃草)
URL
(肚脑虫)
hxxps://viperdenx.info/2025/filezz/uploadz/ltr-2024055.ppt
hxxp://couldmailauth.com/zhq93e8hsj93793892378hhxhb/Reghjok_64.dll
(摩诃草)
hxxp://couldmailauth.com/gxL5EumWANH46T3tjskyFB/pencil.php
hxxp://couldmailauth.com/gxL5EumWANH46T3tjskyFB/download.php?mname=
hxxp://apps-house.com/gandalf/cane.php
hxxp://apps-house.com/gandalf/download.php?mname=
参考链接
[1].https://ti.qianxin.com/blog/articles/analysis-of-the-attack-activity-of-the-apt-q-38-using-pdf-document-decoys-cn/
[2].https://ti.qianxin.com/blog/articles/analysis-of-new-variants-and-components-of-patchwork-spyder-downloader-cn/
点击阅读原文至ALPHA 8.0
即刻助力威胁研判
原文始发于微信公众号(奇安信威胁情报中心):物尽其用,摩诃草攻击武器复用肚脑虫基础设施
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论