APT-C-58(Gorgon Group)组织疑似具有巴基斯坦国家民族背景或与巴基斯坦有联系的国家民族背景。该组织实施了网络犯罪和有针对性的网络攻击,包括针对英国、西班牙、俄罗斯和美国的政府组织的活动。Gorgon也曾经被怀疑与Transparent Tribe、APT 36有关联,并可能负责Aggah活动。
2020年Gorgon以商业买卖为主题对外贸公司进行钓鱼攻击,最终窃取受害人的敏感信息,360高级威胁研究院在历史情报挖掘中发现了此前未被披露的IOC与域名资产。
1.攻击流程
1.1 诱饵文档
从现有披露资料看,全球的外贸人士一直是APT-C-58的攻击目标,其在2020年第二季度利用疫情时期的“口罩”等敏感词汇,将 RTF文档伪装为口罩订单,并利用钓鱼邮件发起攻击。我们发现在同一时间,该组织也在全球外贸论坛中利用发帖链接诱使外贸人士下载同类型漏洞的恶意文档。最终通过恶意链接下载的文档名称是order.docx,文档内容空白。
点击打开文档后会触发CVE-2017-11882漏洞,此时恶意文档执行并释放vbs脚本,调用cmd命令启动cscript程序并启动后续载荷ServerCrypted.vbs。
1.2 VBS脚本
ServerCrypted.vbs里面存储着混淆后的Powershell命令,最终的结果是通过IEX命令执行DownloadString下载 http://www.m9c.net/uploads/15882060892.jpg和http://www.m9c.net/uploads/15882060891.jpg两个文件,利用15882060891.jpg将15882060892.jpg注入到RegAsm.exe中。
1.3 伪装15882060891.JPG的PE文件
下载后的15882060891.jpg文件实际上是Powershell脚本,这个脚本内部隐藏着一个二进制dll文件$M4LS3C4N0N1M31337,最终将二进制dll释放到Public目录,并加载。
加载后的$M4LS3C4N0N1M31337伪装成杀毒软件的rundll加载器。
调用VKIntelVitaliKremez方法将“15882060892.jpg”注入到“RegAsm.exe”中。
1.4 Agent Tesla(15882060892.jpg)
最后阶段,攻击者利用的RAT是Agent Tesla,这是一个商业RAT,主要作用是窃取浏览器、邮件客户端和 FTP 客户端中的凭据等关键信息,还具有键盘记录和剪贴板数据窃取功能,同时会利用smtpClient凭据通过 html 电子邮件附件发送数据。
键盘记录功能如下:
此外Agent Tesla还支持通过ftp上传信息。
通过http回传信息。
2. 关联
通过对APT-C-58组织曾经使用的IP、域名进行分析,与此次攻击使用的www.m9c.net域名一致,在分析中提到的Agent Tesla也是Gorgon惯用的商业RAT;同时,此次攻击的目标也是全球外贸人士,这与其过往的攻击目标相符合。
https://bovientix.com/Order883745.doc
1cc6e550e2e414d143e835b0f5f53f41
360高级威胁研究院
原文始发于微信公众号(360威胁情报中心):APT-C-58(Gorgon Group)攻击预警
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论