APT-C-48 (CNC)组织是于2019年新出现的组织,由于其使用的远程控制木马的PDB包含了“cnc_client“的字样,所以将该组织命名为CNC,该组织主要攻击对象为我国军工和教育行业。去年年初我国疫情爆发初期,CNC组织通过伪造疫情相关的文档以及钓鱼网站对医疗行业发起攻击。
今年以来我们曾多次捕获该组织持续对我国多所科研机构进行攻击行为。近日,我们捕获到该组织针对我国科研机构的又一起攻击事件。
攻击流程分析:
样本分析:
Taskhost.exe
通过检测后,会复制自身到路径“C:Mediataskhosts.exe“,并通过COM组件” ITaskService”来创建计划任务,实现程序开机自启动。
检测与域名“mail.163.cn“的链接来判断网络连通性。当网络环境正常时,则通过三轮base64对服务器端口进行解密。
通过指令ipconfig获取设备当前适配器信息,将其上传至服务器,并删除该文件。
随后通过创建创建管道向远程服务器提供反向shell。
钓鱼网站
其中“[email protected]“为印度一家人力招聘企业所使用邮箱,且目标用户所处行业领域与我们在《猎天行动》一文中描述的目标范围重合,这两个可能明确导向攻击活动背景的线索无疑是令人心动的。但通过继续对该邮箱以及攻击手法进一步深入分析,我们发现该邮箱所涉及的攻击目标范围较为广泛,涉及多个国家多种行业领域,与APT特征不符。且在其他各方向上并未与CNC组织存在交集。种种迹象表明,这两者也许仅仅只是一个巧合导致的误会。当然我们也不排除可能存在部分APT组织存在向部分黑色产业链购买目标用户的个人信息的可能性。
邮箱“[email protected]“关联的钓鱼邮件中涉及的部分邮箱后缀如下:
|
@troostwijk.ch |
@selux.de |
@steinborn.com |
|
@sartex.com.tn |
@eiffeloptic.cz |
@hmm21.com |
|
@kela.be |
@von-poll.com |
@eltrade.com |
|
@von-poll.com |
@biro-d.cz |
@forteldesign.cz |
|
@ltt.com.pl |
@kbfg.com |
@lgchem.com |
|
@pidilidi.cz |
@kastens-knauer.de |
代码层面上,cnc组织似乎格外青睐于使用COM组件来创建计划任务。
cnc样本代码
《猎天行动》中样本携带的vcpkg开发环境
本次攻击活动与开发环境相关的部分字符串
本次攻击活动携带pdb
本次攻击活动中选择这一文档类型作为载荷恰恰体现了攻击者在载荷上多元化的一种趋势,同样也是攻击者在除了鱼叉邮件、文档文件内容之外的又一种针对性攻击的体现。
MD5:
189e543a95ed791fc5a81a3048128703
5511b7b0b53c67d55019d13aaaf1ed15
URL:
http://194.33.40.177/webdav/taskhost.exe
http://194.33.40.177/webdav/status.txt
IP:
194.33.40.177
PBD:
C:Usersusersourcerepostaskhostx64Releasetaskhost.pdb
360高级威胁研究院
原文始发于微信公众号(360威胁情报中心):APT-C-48(CNC)组织攻击利用pub文件攻击活动分析
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论