南亚地区APT组织2020年度攻击活动回顾（上）

目录

一、攻击活动分析（上篇）

1.概述

2.攻击入口

3.代码执行

4.持久化

5.任务活动

6.通讯分析

二、具体行动解析 

1.APT-C-48 CNC

2.APT-C-09 摩诃草

-----------------------------

3.APT-C-08 蔓灵花（下篇）

4.APT-C-24 响尾蛇

5.APT-C-35 肚脑虫

6.针对移动端的攻击

三、组织体系及运作分析

1.攻击活动与地缘政治局势

2.蔓灵花与肚脑虫关联

3.摩诃草与肚脑虫关联

4.各组织间存在资产共享

四、展望与启示 

 摘要 

回顾2020年间，来自于南亚地区的APT组织一直处于十分活跃的状态，其重点攻击目标依旧是东亚和南亚地区国家，360高级威胁研究院对2020年度所捕获的南亚地区APT组织的攻击进行统计，得到如下攻击趋势图：          

其主要攻击事件时间表如下：

我们观测到的相关组织受害者数量的比例分布如下：

01

攻击活动分析

1. 概述

2. 攻击入口

南亚地区相关组织的主要攻击手段仍旧是通过鱼叉邮件来诱导用户执行各种类的恶意载荷。在2020年间，我们监控并捕获到的初始攻击载荷共有上百个。从整体分析来看，其涉及的题材丰富多样，紧跟时事热点，且目标针对性极强。据此我们推断其背后有专门针对目标国家相关领域时事新闻的情报分析，同时以此来指导其进行网络攻击活动。

下述为部分典型案例详细描述：

• CNC组织在今年初借新冠肺炎疫情在我国爆发，仿造疫情排查进行攻击。样本的时间戳为1月28号。而我国在1月23号武汉封城，随即在全国范围内开展大规模的排查工作。

• 利用巴基斯坦抗击新冠疫情相关题材的案例。

• 利用相关领域的会议公告和邀请等进行攻击，这也从侧面反映了其针对目标国家相关领域做了大量的开源情报收集分析工作。

例一：利用某大学开办南亚相关研讨会，其相关攻击最早发现在11月中旬，攻击对象为科研学者。该研讨会涉及南亚热点问题等。

例二：6月中旬发现，针对国内某高校疫情期间评选优秀教师。

例三：利用国家XX局举办的第二届“XXXX”能源合作伙伴关系论坛相关邀请函，攻击事件最早发现于11月上旬。

例四：利用XXXX成立75周年立场文件，相关新闻9月初公开发布后，不到一周即被攻击者利用。

值得注意的是，例一二三中的文档并未在相关公共渠道公开，而是通过邮件在相关群体内针对性发布传递。结合今年蔓灵花组织大规模仿冒相关单位邮箱门户网站进行钓鱼来窃取用户的账户和密码、收集邮件信息的攻击活动，我们推断南亚地区APT组织已经控制了大量的相关单位邮箱账户和密码，并以此为基础收集了大量的相关情报。

 

3. 代码执行

在获取代码执行入口方面，其使用的方法主要为以下：

• 通过伪装图标或文件名的EXE、LNK、CHM或HTA等文件，诱导受害者直接双击执行；

相比于早期南亚地区APT组织直接投递EXE这类“粗暴”的方法，当前投递绝大多数是以压缩包的方式进行，并且有很大比例的压缩包携带密码。攻击者通过在钓鱼邮件中携带压缩包附件或者下载链接，并给出解压密码，诱导受害者下载压缩包解压后执行。部分通过伪装文档图标的EXE还会打开同解压目录下的文档，来进一步欺骗受害者。

例一：响尾蛇组织在攻击活动中投递的压缩包示例：

例二：蔓灵花组织在攻击活动中投递的压缩包示例：

• 利用恶意Office文档；

今年我们监测到的南亚地区APT组织使用的恶意Office文档共计近百个，具体使用的方法包括Office漏洞、诱导宏执行和远程模板注入。使用的Office漏洞主要涉及CVE 2017-11882，CVE 2018-0798，CVE 2017-0261、CVE 2017-0199等，均为N Day漏洞，对应的利用技术分布统计如下：

• 其他漏洞

同样我们也发现了使用其他漏洞的案例，CNC使用过Flash漏洞CVE 2018-15982以及响尾蛇使用的IE远程代码执行漏洞CVE 2020-0674。

而在后阶段代码执行过程中，不少组织使用了LotL和DLL侧加载的攻击手法。如响尾蛇使mshta远程加载hta文件，蔓灵花在下半年使用msiexec.exe加载msi文件，肚脑虫使用rundll32.exe调用恶意样本中的特定函数。或是恶意样本中，使用wmic获取设备信息，certutil.exe、bitadmin.exe下载远程程序等。

DLL侧加载中，如蔓灵花组织会通过微软官方媒体播放器vlc.exe调用libvlc.dll、响尾蛇使用EFS REKEY向导程序rekeywiz.exe调用duser.dll、摩诃草使用虚拟机VMwareCplLauacher.exe调用vmtools.dll等

对于肚脑虫和蔓灵花这两个组织，其常会通过Downloader程序来分发后续的功能组件。在需要执行某一特定功能的时候，通过向驻留在目标设备上的Downloader下发指定功能模块并执行的方式，来减少其攻击活动被杀毒软件发现并拦截的可能。另一方面也可以通过深入分析Downloader上传的设备信息来判断受害者价值，从而减少安全分析人员获取后续功能组件的可能。

4. 持久化

在持久化阶段，其使用的技术手段较为常规。与往年类似，本年度的南亚地区APT组织的活动中主要使用了以下方式：

1. 注册表启动项HKCUSoftwareMicrosoftWindowsCurrentVersionRun，向此注册表下添加相关恶意组件路径以实现持久化。

2. 任务计划周期性执行程序或者命令。其中对于创建计划任务，其使用的手法主要包括以下两种：

   a) 通过COM组件TaskScheduler创建计划任务。

   b) 通过CMD执行命令行启动Schtasks.exe创建计划任务。

3. 启动项文件夹，向%Appdata%MicrosoftWindowsStart MenuProgramsStartup目录下创建指向恶意组件的快捷方式。

5. 任务活动

从任务目标进行分析，其主要目的依旧为窃取敏感信息。围绕此涉及主要的功能实现主要为设备信息搜集，文件信息搜集，文件上传下载，键盘消息记录，屏幕截取等。

为了达成以上目的，除了其自己开发的远控程序外，南亚地区APT组织也使用了开源远程木马程序，但是与之前不同的是，今年我们首次观测到了其使用了商业远控BOZOKRAT和WarzoneRAT，并且有相关证据表明其与NSO公司存在联系。

下图为WarZoneRAT 远控的官网部分内容，可见除RAT外，其还售卖其他攻击工具包。

但值得注意的是，在今年6月和11月间，我们捕获并发现了蔓灵花组织两次较集中使用钓鱼邮件加仿冒邮件门户网站来窃取受害者单位邮箱账户密码的攻击活动，但是其只涉及了账户密码窃取，并未投递相关恶意代码。窃取并利用合法邮箱账户是南亚地区APT组织的一个重要特性，我们在后续章节中展开更加深入的分析。

6. 通讯分析

在2020年度，摩诃草组织依旧使用了Github和Feed43这类公用平台下发C&C地址信息。其类似行为最早可以追溯到2016年。

同样存在类似行为的还有肚脑虫，在其第三阶段的Downloader中，通过从谷歌文档上获取加密数据的方式，对连接的远程服务器进行更新。而这也是肚脑虫从yty框架起就一直延用至今的行为方式。

但从整体上看，在网络通讯方面，各组织还是使用了如HTTP、HTTPS等标准协议。而响尾蛇组织，它在第二阶段的攻击中，会利用伪装成正常的 Web 请求，建立通信隧道，最终建立 Socks5 代理实现与服务器连接。

02

具体行动解析

1. APT-C-48 CNC

CNC是于2019年中新出现的攻击行动小组。因为先前情报不足，所以在前几次报告中我们将其归类于摩诃草组织。但随着研究的逐步深入，我们发现其使用的后门程序，攻击过程中的TTPs与摩诃草组织存在较明显的区别，因此我们将其独立命名为一个新的行动小组。因其使用的远程控制木马的PDB包含了“cnc_client”的字样，所以将该小组命名为CNC。

该组织在去年主要瞄准我国科研行业、政府机构等进行攻击。而今年在疫情爆发初期，其利用肺炎疫情相关题材作为诱饵文档对我国医疗等行业进行了攻击。 

申请表格.xlsm

某城市旅行信息收集申请表.xlsm

XX部指令.docx

今年年初，我们捕获到相应攻击并第一时间预警客户，并率先公开披露提醒各重点单位部门提防相关攻击。各大单位平台也发布相关预警通告。而随后CNC小组在今年也未有较大的活动。

攻击过程总结：

CNC小组在今年主要使用的攻击流程有以下三种：

1. 通过投递鱼叉邮件，诱使受害用户运行恶意Excel文档，通过恶意宏下载后门程序。

在XLSM文档中通过如下的宏来调用scrobj.dll，远程加载sct文件。

该sct文件为js脚本，会从服务器下载CnC_Clinet系列后门程序到受害设备上并执行。

2. 投递Word文档，通过Shell.Explorer.1 OLE下载对应恶意程序。诱导用户点击后，其会访问链接恶意链接，下载恶意程序CnC_ClinetRAT。

3. 仿冒新闻网站，利用浏览器Flash漏洞进行攻击。

其大体攻击流程如上图，通过向目标投递带有仿冒网站连接的邮件，诱使目标访问链接，之后会加载一段JS脚本，该脚本的主要作用为判断Flash版本号并加载漏洞Flash；随后页面会跳转到正常的原始新闻页面，欺骗受害者。Flash漏洞执行成功后，则会在目标%temp%目录下释放执行CnC_Client系列后门程序。

主要恶意程序分析:

CnC_ClientRAT在运行后，会复制自身到路径指定路径，并通过COM组件TaskScheduler的ITaskService接口创建计划任务，实现持久化。

通过COM组件WBEM Locator从WMI获取设备GUID，写入当前路径的“uuid.txt”。

       随后设置交互域名，与服务器进行交互，其交互分为三步：

第一步：向“https://94.140.125.177/cnc/register”发送设备UUID。格式为："host_identifier":"用户UUID"；

第二步：向服务器发送持久化确认信息。格式为：{"host_identifier":"用户UUID","persistence_added":"Yes"}；

第三步：向"https://94.140.125.177/cnc/tasks/request"发送命令请求，数据格式为："host_identifier":"用户UUID"。

根据返回的指令数据，执行对应的操作。

指令	功能
shell	向指定服务器提供远程shell
upload_file	通过ftp上传指定文件
upload_folder	通过ftp上传指定文件夹
download_file	从指定URL下载文件到指定目录
screenshot	发送屏幕截图
默认指令	执行指定cmd命令，并将输出结果发送至服务器

在不同版本的CnC_Client中，URL路径可能存在变化，但大体流程不变

除了CnC_Client以外，CNC小组还使用pyinstaller封装的Python脚本用于窃取国内主流浏览器（如Chrome，360浏览器，UC浏览器，QQ浏览器等）保存的相关网站账户密码信息。

此外，还有Go语言编写的木马程序。

其功能指令对应如下：

指令	功能
back	重新连接服务器
exit	结束当前程序
upload	下载文件到指定目录
openurl	打开指定url
screenshot	发送屏幕截图
download	上传指定文件
keylogger start	创建进程用于记录按键消息
keylogger show	将keylogger start中记录的键盘消息发送至服务器。
zip_multiple	从服务器获取路径和正则，将匹配到的文件进行压缩并上传到服务器
persistence enable	通过写入注册表实现持久化
persistence_status	获取持久化状态，并发送持久化的log文件到服务器
persistence disable	通过bat脚本完成自删除

该攻击团队虽然与摩诃草一样均会使用Github作为载荷的分发平台，但其两者之间差异较大。

CNC组织主要使用的编程语言除了C++，还有Go语言，Python。其中C++程序程序与Go语言程序均为64位，而摩诃草组织绝大多数为32位。

从CNC使用的Github账号的活跃度可以看到，该组织最早18年开始出现，主要活跃时间在2019年。

       而同一时期摩诃草主要使用的恶意样本类型为BADNEWS和QuasarRAT，其中摩诃草惯用的代码特征如通过ShowWindow来隐藏窗口，或通过printf或者是多次大数计算来代替Sleep完成延时功能等行为在CNC的代码上均未得到体现。

       摩诃草部分典型代码如下：

鉴于其使用的恶意代码工具以及TTPs存在明显差别，因此我们把CNC划分一个独立的行动小组。

2. APT-C-09 摩诃草（PatchWork）

摩诃草组织（APT-C-09），又称HangOver、VICEROY TIGER、The Dropping Elephant、Patchwork，是一个来自于南亚地区的境外APT组织，该组织已持续活跃了11年，主要针对东亚和南亚地区国家等进行网络间谍活动，其中以窃取敏感信息为主。

       与其他南亚地区APT组织类似，摩诃草同样擅长使用社会工程学，通过时事热点制造诱饵文档对目标人物进行攻击。

攻击过程总结：

摩诃草在今年使用的攻击流程如下：

1. 带有CVE-2017-0261漏洞的文档：

其使用了EPS漏洞文档，打开文档后，EPS脚本过滤器fltldr.exe就会渲染其中的恶意EPS脚本从而执行恶意代码，释放后门程序和伪装文档到指定路径，并打开。

从文档中抽取的部分EPS脚本代码

2. 带有恶意宏的文档

该类样本将恶意程序的数据使用Base64编码后，放到宏代码内。在文档打开后，通过文档内容诱使用户启用宏代码，释放恶意程序和伪装文档到指定路径，并打开。

值得一提的是，该类样本在宏内部对字符进行Base64解码的时候，会使用Chr()函数返回指定字符串的Hex值。但会因为操作系统字节码不同的原因，导致其宏代码无法在中文环境正常运行。其中，十二月份我们发现的Donot关联的Word样本也存在同样的问题，我们认为其两者间可能存在一定关联。更详细在组织背景分析章节。

主要恶意程序分析：

摩诃草在今年使用的后门程序主要有两种：BADNEWS和商业远控Bozok RAT。但两者均不是直接落地运行，而是先通过恶意程序对设备环境进行监测，提权后创建傀儡进程，将远控程序注入到傀儡进程，加载运行。

在Injector内，会遍历进程，判断杀软信息。

若没有监测到杀软程序，则提升自身权限。随后从资源获取数据进行解密，创建自身傀儡进程，将解密后的数据注入到傀儡进程执行。

复制自身到指定路径，在启动目录下创建快捷方式指向该路径，完成持久化步骤。

在后门程序BADNEWS中，会创建互斥体，从feed43.com或Github获取数据，并解密得到服务器信息。

Hook键盘消息，将键盘消息格式化之后写入文件“TPX498.dat”，收集文档信息，写入文件“edg499.dat”；收集特定后缀名文档，写入%TEMP%

收集设备信息与服务器进行交互，其指令对应功能如下：

指令	功能
1	退出
8	上传键盘记录文件TPX498.dat
23	上传屏幕捕捉文件TPX499.dat，并删除
13	创建管道来执行cmd命令，并写入文件AdbFle.tmp并上传
4	上传收集到到文档文件记录文件edg499.dat，然后启动自身，接着退出
5	上传指定文件
33	下载文件并启动

摩诃草使用的后门程序还有商业远控BOZOKRAT。从代码上可以看到，其使用的版本为1.4.1。

从捕获到的摩诃草诱饵文档数目进行分析，其在2020年间攻击的主要目标依旧是南亚地区周边国家，但是相比往年，其针对我国的攻击活动略有下降。

摩诃草最终运行的远控程序还是以BADNEWS为主。但相比以往直接将BADNEWS等后门程序释放到指定路径完成落地不同，在今年，摩诃草更多的是通过外层程序在对杀软程序进行检测并提权后创建傀儡程序运行，以逃避杀毒软件查杀。

此外，在今年首次发现摩诃草使用了商用木马Bozok RAT，一款轻量级但功能丰富的远控木马。使用开源或商业木马程序给代码层面的分析溯源带来了一定困难。

（上篇报告已结束，敬请期待下篇）

团队介绍

TEAM INTRODUCTION

360高级威胁研究院

360高级威胁研究院是360政企安全集团的核心能力支持部门，由360资深安全专家组成，专注于高级威胁的发现、防御、处置和研究，曾在全球范围内率先捕获双杀、双星、噩梦公式等多起业界知名的0day在野攻击，独家披露多个国家级APT组织的高级行动，赢得业内外的广泛认可，为360保障国家网络安全提供有力支撑。

本文始发于微信公众号（360威胁情报中心）：南亚地区APT组织2020年度攻击活动回顾（上）