透明部落(Transparent Tribe)别名APT36、ProjectM、C-Major,是一个具有南亚背景的APT组织,其长期针对周边国家和地区(特别是印度)的政治、军事进行定向攻击活动,其开发有自己的专属木马CrimsonRAT,还曾被发现广泛传播USB蠕虫。TransparentTribe也曾经对Donot的恶意文档宏代码进行模仿,两者高度相似。之前透明部落也曾经模仿响尾蛇组织进行攻击。其一直针对印度的政府、公共部门、各行各业包括但不限于医疗、电力、金融、制造业等进行攻击和信息窥探。
近日360高级威胁研究分析中心在日常情报挖掘中发现并捕获到了透明部落攻击印度的文档,恶意文档最终释放CrimsonRAT。
与此同时,我们还监控到了疑似Gorgon Group利用Netwire对印度的攻击行动,该组织由疑似巴基斯坦或与巴基斯坦有其他联系的成员组成。该组织一直有针对性的攻击英国、西班牙、俄罗斯和美国。Gorgon也曾经被怀疑与Transparent Tribe有关联,并可能负责Aggah活动。
恶意文档
此次捕获到的恶意文档被打开的时候,其内部的宏代码就应该开始自动运行。在ALLUSERSPROFILE目录下伪装成HDM Media相关程序,从恶意文档的指定结构中读取隐藏的数据并写入文件中,可以看出APT36利用简单的字符串拼接技术,对exe字符进行拆解,以躲避杀毒引擎的静态查杀。
启动释放的恶意PE程序,同时进一步读取内部隐藏的正常文本文档数据,释放到wordxdoc.docx,最后打开这个文档伪装迷惑用户。
Dropper
释放的PE文件是一个.Net的Dropper程序。首先判断Templates目录下是否存在zip文件,如果不存在将读取资源节并将其中的数据写入文件,如果存在则删除后重新写入。
判断目录下是否有以.ford为后缀的文件,如果有,直接创建进行启动文件。没有指定后缀文件则直接进入后续释放流程。
随后在ProgramData目录下,判断系统版本并释放下一阶段RAT后门。
RAT
释放的RAT后门是透明部落一直维护和使用的CrimsonRAT。最后创建进程启动RAT。
|
指令 |
控制码 |
|
枚举进程 |
getavs |
|
上传gif |
thumb |
|
枚举进程 |
procl |
|
设置自启动 |
putsrt |
|
下载文件 |
dowf |
|
设置截屏 |
scrsz |
|
获取文件属性 |
filsz |
|
查看截图 |
cdcrgn |
|
cscrgn |
|
|
csdcrgn |
|
|
停止截屏 |
stops |
|
桌面截图 |
scren |
|
获取磁盘信息 |
dirs |
|
参数初始化 |
cnls |
|
删除文件 |
delt |
|
获取文件信息 |
afile |
|
删除用户 |
udlt |
|
搜索文件 |
listf |
|
获取用户信息 |
info |
|
执行文件 |
runf |
|
移动文件 |
file |
近期我们捕获了一批针对印度的样本,其最终释放NetwireRAT,NetwireRAT是开源的商业RAT软件,但是也已经被一些APT组织使用,例如 APT33 和 Gorgon,Gorgon Group 是一个由疑似巴基斯坦或与巴基斯坦有其他联系的成员组成。该组织实施了犯罪和有针对性的攻击,包括针对英国、西班牙、俄罗斯和美国的政府组织的活动。Gorgon也曾经被怀疑与Transparent Tribe、APT36有关联,并可能负责Aggah活动。
疑似挂马网页
捕获的样本下载链接是:hxxp://lms.apsdigicamp【.】com/webapps/uploads/acc/cctv-footages/student-termination-and-proof.zip
这个网页可能已经被恶意挂马:
印度陆军公立学校的网站
压缩包
恶意文档
我们首先分析恶意文档,文档打开后是假装文档被密码保护从而诱使用户运行宏代码的图片,一旦用户没有足够的网络安全防护意识,按照说明操作后,隐藏的恶意宏代码就开始在用户后台运行。
-
当文档打开的时候,会自动显示文档内容。
-
当文档更新时候,会从指定CC下载文件并存放到C:\Users\Public\Adobe.exe。
-
当文档关闭时候,利用shell命令运行下载的二进制文件。
Dropper
释放出来的二进制文件图标伪装成Adobe PDF,利用student-cctv-video(private)的文件名称刺激不明真相的人群点击打开,最终运行Dropper。
我们捕获到的版本还可以看到Dropper的PDB信息。
运行后首先弹出对话框,让用户以为自己的组件损坏需要升级,企图以假乱真,此时代码已经开始偷偷运行,这里不知道是否存在bug。这个对话框是不能被关闭的。
首先加载AmsiScanBuffer并企图通过修改内存关闭。
注册自启动。
隐式加载API函数,躲避杀毒引擎的静态查杀。
创建一个新的自身进程。
远程线程注入写入隐藏在PE内部的二进制文件。
RAT
重新写入覆盖的样本是NetwireRAT,其是开源的商业RAT软件,但是也已经被一些APT组织使用,例如 APT33 和 Gorgon。
cb3adae7ac07bfe8e366e0f3197811c8
74fa8961827639d1b481a4eea50863e5
e59bf2ce3fe67ff394023a4fd7ed3968
dbd37b8c044a27ec8008c6489231075f
66.154.103.106:13377
hxxp://lms[.]apsdigicamp[.]com/webapps/uploads/acc/cctv-footages/student-termination-and-proof.zip
77C29D464EFCAE961424AE050453EF11
3C2B45A6D878CC9F30A5DC10ABF400A1
7F1F7C5C4B6B486E5BA9340944036285
360高级威胁研究院
本文始发于微信公众号(360威胁情报中心):APT-C-56(透明部落)近期最新攻击分析与关联疑似Gorgon Group攻击事件分析预警
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论