推陈出新,蔓灵花组织攻击模块再升级

admin
admin
admin
140350
文章
117
评论
2022年5月5日22:09:28评论84 views字数 2749阅读9分9秒阅读模式
推陈出新,蔓灵花组织攻击模块再升级
1

 概述

近期,微步在线捕获一起蔓灵花组织的攻击活动,并发现一批蔓灵花组织所使用的攻击模块,经过快速分析,得到如下结论:

  • 获取到的多个攻击模块大部分拥有两个版本,一个版本为已知的蔓灵花攻击活动所曝光的模块,一个版本为未知的新版本;

  • 攻击载荷中包含“信息窃取”、“远控”、“键盘记录”多种功能模块;

  • 攻击者在部分攻击模块中的 HTTP 请求中,在 Host 字段中使用国内的地址,绕过部分流量检测的规则;

  • 我们对当前样本提取了 C2,并进行了拓线分析,发现了攻击者背后的当前的其他资产,建议利用内部安全设备直接进行阻断。

2

 事件详情
近期,微步在线通过发现的蔓灵花组织的攻击活动拓线关联出多个与蔓灵花组织有所联系的攻击模块。
本次获取到的攻击模块如下:
推陈出新,蔓灵花组织攻击模块再升级
图 1攻击者的插件
模块名称
模块功能
asmsN、asmsNN、lsapip、sthost、sysmgr、sysmgrNew
信息窃取
iexplorer
键盘记录
mshost、mthost
远控
3

 样本分析

3.1 asmsN、asmsNN

该类模块是蔓灵花组织常用的窃取模块,两模块区别在于有部分添加混淆垃圾代码,主要功能为窃取主机硬盘驱动器中 doc、docx、ppt、pptx、xls、pdf、zip、txt 以及 apk 等类型的文件,同时该窃密木马还会探测主机是否存在光盘驱动器,如果存在,则将光盘驱动器中存在的所有文件也回传至攻击的服务器。

首先进行长时间的休眠,以此对抗沙箱检测。

推陈出新,蔓灵花组织攻击模块再升级
图 2长时间Sleep
木马会在自身所在目录下创建名为 “errore.log”、“error1log.txt” 的文件 ,error1log.txt 文件作用是储存后续收集的文件信息,而 errore.log 文件作用是对自身的操作进行标识。上述文件创建完成后,木马开始收集主机中不在排除路径列表且符合类型的文件信息,包括文件的完整路径以及文件的创建时间戳。同时,当木马探测到主机中存在光盘驱动器时,木马也会收集光盘驱动器中存在的文件。收集信息完成后,木马则会将收集的文件信息以“创建时间戳_文件路径||”的形式写入 error1log.txt。
推陈出新,蔓灵花组织攻击模块再升级
图 3搜集的信息
最后将文件传送回 C2 地址:“23.**.***.*”,并且在与 C2 连接时,会在 HTTP 请求的 Host 字段使用地址:“365trade.com.cn”,以此绕过一些流量检测。
推陈出新,蔓灵花组织攻击模块再升级
图 4回传信息的数据包
在代码上,两个模块的功能基本一致,不过新版本的模块增加了一些判断函数,老版本的木马只会重复执行,而没有判断执行是否成功的代码。
推陈出新,蔓灵花组织攻击模块再升级

图5

3.2 sthost

该模块是一个 .NET 木马,用于从受控主机中窃取文件。木马中使用 AES 对字符串进行加解密,解密出的部分文件路径及 C2 地址如下:
推陈出新,蔓灵花组织攻击模块再升级
图 6解密后的字符串
木马会先发从系统信息到 C2 地址,然后再从磁盘中遍历指定后缀的文件,并将其信息传回 C2 服务器中,其中遍历的后缀包括:
txt
TXT
text
TEXT
pdf
PDF
doc
docx
DOC
DOCX
xls
xlsx
XLS
XLSX
ppt
pptx
PPT
PPTX
accdb
ACCDB
rar
RAR
zip
ZIP
rtf
RTF
apk
APK
ovpn
OVPN
pfx
PFX
neat
NEAT
err
ERR
eln
ELN
ppi
PPI
er9
ER9
azr
AZR



攻击者还写出了一些优先文件夹,其中包含 “desktop”、“Documents” 等文件夹,以及两个特殊文件 “logins.json”、“key3.db”,这两个文件疑似为 FireFox 浏览器保存的用户帐号及密码信息。
推陈出新,蔓灵花组织攻击模块再升级
图 7优先窃取的文件

3.3 mshost、mthost

该模块为同一类的 .NET 远控木马,两个文件的功能、版本、配置信息都相同。从其 pdb 路径中字符串 “cn_stinket_34318” 来看,似乎是针对中国的木马。
推陈出新,蔓灵花组织攻击模块再升级
图 8 PDB路径
该木马为蔓灵花组织所常用的 .NET 远控程序,运行后会首先进行初始化操作,并且从自带的 Version 字段来看目前已经到了7.0版本,而与老版本的功能对比也如图所示:
推陈出新,蔓灵花组织攻击模块再升级
图 9版本号
推陈出新,蔓灵花组织攻击模块再升级
图 10新旧版本功能对比
通过 HEX 解码出 C2 地址“45.**.**.***”,并与C2地址连接进行远控,具体功能包括文件管理(创建文件、删除文件、复制文件)、文件传输、命令执行等。
推陈出新,蔓灵花组织攻击模块再升级
图 11 HEX编码的C2地址

3.4 iexplorer

该模块为蔓灵花组织的键盘记录器,运行后会通过 WindowsHook 执行恶意代码,“C:UsersUserAppDataRoamingMicrosoftWindowsTemplates”下创建新文件,并监控键盘输入,将用户输入的内容记录下来,不过按键内容与记录内容不是一一对应,而是攻击者自己设置的映射关系。
推陈出新,蔓灵花组织攻击模块再升级
图 12键盘记录

3.5 lsapip、sysmgr、sysmgrnew

此类模块功能相同,均为收集文件信息且将搜集的内容回传到 C2 地址,且在建立通信过程中,sysmgr、sysmgrnew 及 asmsN、asmsNN 两类四个模块在  HTTP 包中的 Host 部分使用了国内的地址以此绕过部分流量检测。具体的模块与C2 地址及 Host 地址对应如下:

模块名
C2地址
PCAP包中Host地址
sysmgr
193.***.**.***
svc********.net
sysmgrnew
193.***.**.***
baidu.com
asms
23.**.***.*
365trade.com.cn
asmsNN
23.**.***.*
365trade.com.cn
发送搜集的信息到 C2 地址:
推陈出新,蔓灵花组织攻击模块再升级
图 13发送信息
4

 关联分析
本次发现捕获得多个模块也与蔓灵花组织曾经所使用的模块有所重叠。例如本次发现的 “sysmgr” 是蔓灵花组织常用的文件收集模块,在以往的攻击活动中,该组织下发的该模块又名为 “Lsapip”、“Lsap”、“Lsapcr” 等,该模块的 C2 地址 “svc********.net” 又是曾被多次曝光的蔓灵花组织资产。除了样本的相似性外,在 C2 地址的部分特殊路径中,例如 “RguhsT”、“accept.php” 也与曾曝光过的蔓灵花攻击活动相同。
5

 结论
蔓灵花组织是一个长期活跃的境外组织,从近期发现的攻击活动来看,该组织一直在长期针对中国、孟加拉、尼泊尔等印度周边的亚洲国家进行攻击。

攻击者会以特定企业、单位作为目标,向目标发送邮件或诱饵文档,引诱用户执行恶意代码,并从 C2 控制端对受害主机进行下发后续攻击载荷,其中包括文件执行、信息窃取、键盘记录、远控等多种模块。

推陈出新,蔓灵花组织攻击模块再升级

微步情报局招聘通道

沙箱安全开发(Linux方向)  戳我查看岗位详情

高级应急响应工程师 戳我查看岗位详情


高级渗透测试工程师 戳我查看岗位详情

点击下方名片,关注我们

第一时间为您推送最新威胁情报



阅读原文,可加入粉丝群

原文始发于微信公众号(微步在线研究响应中心):推陈出新,蔓灵花组织攻击模块再升级

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年5月5日22:09:28
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   推陈出新,蔓灵花组织攻击模块再升级https://cn-sec.com/archives/976794.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息