APT-C-56(透明部落)别名APT36、ProjectM、C-Major,是一个具有南亚背景的APT组织,长期针对周边国家和地区(特别是印度)的政治、军事目标进行定向攻击活动,开发有自己的专属木马CrimsonRAT,还曾被发现广泛传播USB蠕虫。透明部落在2019年下半年一直非常关注阿富汗地区, 在2020年开始再次转为关注印度用户。到了2021年,先是利用疫情相关信息对印度医疗、电力行业进行信息窃取,随后伪装印度国防部会议记录的诱饵文档尝试进行信息窃取。
文档标题为Pay and Allowance Details.xls,MD5: c2a38018cf336685e3c760c614bbf4c3,伪装成工资和津贴支付明细的电子表格,打开xls文件后,利用图片欺骗目标人群。这个文档是使用之前版本的Office文档工具创建的,如果想要查看详细内容,则需点击允许编辑按钮,这个按钮实际上是触发xls内部隐藏的恶意宏代码执行的,内部隐藏的是shell命令,同样调用PowerShell。
最终解码后的PowerShell从C&C连接下载后续载荷。
该组织的这些组件可能还处于开发、测试过程中,我们捕获到的版本还可以看到Dropper的pdb信息,确认与我们之前发布的报告中的shoot行动一致。
另一个文档标题为schedule2021.docx (MD5: 23f5fcb554e6b8d0a935ce0474ee5a8e),从标题可以看出攻击行动时间确认是2021年,同样诱使相关人员点击运行允许启用宏按钮,其内部的宏代码就已经开始自动执行。
内部宏代码包含当文档自动打开时候、关闭时候的不同响应函数。
-
当文档打开的时候,会自动显示文档内容。
-
当文档更新时候,会从指定C&C下载文件并存放到C:UsersPublicAdobe.exe。
-
当文档关闭时候,利用shell命令运行下载的二进制文件。
这与我们之前捕获到的另一起攻击事件《APT-C-56(透明部落)近期最新攻击分析与关联疑似Gorgon Group攻击事件分析预警》中的宏代码完全一致。下载Dropper的域名为hxxp://kavach[.]govrn[.]xyzshedule.exe,C&C网址伪装成印度的相关网站kavach[.]mail.gov, 这个网站是印度政府电子邮件的客户端,之前SideCopy组织曾经使用过hxxp[:]//149[.]248[.]52[.]61/webmail.gov.in/verification/KAVACH。
Dropper与我们之前的分析一致,GOM player版本的dropper采用了同样的代码,首先同样的弹出对话框,让用户以为自己的组件损坏需要升级,然后加载AmsiScanBuffer并企图通过修改内存关闭。
注册GOM Player自启动。
远程线程注入写入隐藏在PE内部的二进制文件。
最终跨进程重新写入覆盖的样本是NetwireRAT,其是开源的商业RAT软件。
数字化时代已至,在强烈依赖信息网络的情况下,我们提醒广大用户、单位应该提升安全防护意识,增强安全基础设施建设,加大安全投入力度,才能更好的防范网络安全攻击。
66.154.112[.]212/GOM.exe
hxxp://kavach[.]govrn[.]xyzshedule.exe
643b11c3f6a6ccc41cfd37544b71c0dc
28dc287cc78e195386dc33564dfe449a
23f5fcb554e6b8d0a935ce0474ee5a8e
f0b43a3f4821a4cf4b514144b496e4d7
c2a38018cf336685e3c760c614bbf4c3
360高级威胁研究院
IOC 病毒名称:Sodinokibi勒索病毒 样本名称:CDHFUN.exe MD5: ea4cae3d6d8150215a4d90593a4c30f2 SHA1: 8dcbcbefaedf5675b170af3fd44db93ad864894e SHA25…
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论