APT-C-56透明部落(Transparent Tribe)別名APT36、ProjectM、C-Major,是一個具有南亞背景的APT組織,其長期針對周邊國家和地區(特別是印度)的政治、軍事進行定向攻擊活動,其開發有自己的專屬木馬CrimsonRAT,還曾被發現廣泛傳播USB蠕蟲。其一直針對印度的政府、公共部門、各行各業包括但不限於醫療、電力、金融、製造業等進行攻擊和信息窺探。
近日,360高級威脅研究院在日常情報挖掘中發現並捕獲到了透明部落攻擊印度國防部的文檔,惡意文檔最終釋放CrimsonRAT。之前透明部落就曾經試圖攻擊印度國防部,此次捕獲的文檔與之前的攻擊文檔從內容到流程基本相同,最後釋放的還是上次的攻擊RAT,僅文檔發生了一點變化,暫時尚不能確定是否僅是測試文檔,還是上次攻擊未被發現披露的IOC。
透明部落近期最新攻擊分析惡意文檔
惡意文檔標題偽裝成數據表格,誘使目標打開。
文檔內部包含宏代碼,一旦用戶疏忽點擊了啟動宏功能,內部隱藏的惡意宏代碼自動運行。
文檔內容偽裝成印度國防部的國防保衛部與秘書處(LS)發出的郵件內容,生成電子郵件更換並需要轉發。可以確定該文檔是針對印度國防部的攻擊文檔:
內部的宏代碼如下:
首先在用戶環境下創建TDlawis目錄;
判斷操作系統系統號分別對應釋放不同的二進制PE文件;
隨後將窗體內隱藏的數據釋放到該目錄下omthrpa壓縮包;
然後對數據進行解密;
程序會通過二進制流的方式寫入zip文件,隨後將zip包進行解壓。最後在路徑下出現RAT並啟動。
RAT
最後創建進程啟動RAT:
控制碼與命令如下:
指令
控制碼
枚舉進程
getavs
上傳gif
thumb
枚舉進程
procl
設置自啟動
putsrt
下載文件
dowf
設置截屏
scrsz
獲取文件屬性
filsz
查看截圖
cdcrgn
cscrgn
csdcrgn
停止截屏
stops
桌面截圖
scren
獲取磁盤信息
dirs
參數初始化
cnls
刪除文件
delt
獲取文件信息
afile
刪除用戶
udlt
搜索文件
listf
獲取用戶信息
info
執行文件
runf
移動文件
file
印巴衝突因為邊境、文化、種族、歷史等原因一直存在,地緣衝突導致的印度相互攻擊。巴基斯坦的透明部落始終對印度的政治、軍事行動頻頻。
167.114.138[.]12
fa6a95df0af45ff6601696678af711b6
aac869f05f219ae6508ad279a97120d1
8a1f4a512fe9edbcc62ba4b1c3e08f0a
22b61967e1f0143efefbcb0e7eb4082e
56bf2ee1f2a39ceb4332e41c51099d8f
360高級威脅研究院
留言列表