APT-C-23(雙尾蠍)又被稱為AridViper 、Micropsia、FrozenCell、Desert Falcon,攻擊範圍主要為中東地區相關國家的教育機構、軍事機構等重要領域,巴勒斯坦教育機構、軍事機構等重要領域,以竊取敏感信息為主的網絡攻擊組織。具備針對Windows與Android雙平台的攻擊能力。從2016年 5月對巴勒斯坦教育機構、軍事機構等重要領域展開了有組織、有計劃、有針對性的長時間不間斷攻擊。
攻擊平台主要包括Windows與Android,Android端後門程序功能主要包括定位、短信攔截、電話錄音等,並且還會收集文檔、圖片、聯繫人、短信等情報信息,PC 端後門程序功能包括收集用戶信息上傳到指定服務器、遠程下載文件以及遠控,後門程序主要偽裝成文檔、播放器、聊天軟件以及一些特定領域常用軟件,通過魚叉或水坑等攻擊方式配合社會工程學手段進行滲透,向特定目標人群進行攻擊。
以前的雙尾蠍樣本大多採用VC 版本、Delphi 版本,很少見到使用公開商業RAT組件進行攻擊,此次發現的樣本可能是該組織進攻方式的演變,也可能是雙尾蠍組織內部出現了新的分支成員所採用的攻擊手法。
我們最早通過一個名為「تسريب-اجتماع-القائد-محمد-دحلان-و-المخابرات-المصريه.pdf(Mohammed Dahlan 指揮官和埃及情報會議 (MoM) 泄漏.pdf)」的文檔,Mohammed Dahlan是巴勒斯坦政治家,曾擔任巴勒斯坦權力機構在加沙的預防性安全部隊的負責人。文檔內容如下圖所示:
通過文檔我們關聯到了雙尾蠍與之前攻擊不太相同的活動,此次攻擊行動直接把商業RAT偽裝成Threema誘使用戶點擊打開,Threema是瑞士開發的一款付費的開源端到端加密即時通訊應用程序。
1.偽裝Threema通訊軟件1.1偽裝Threema圖標
1.2Dropper
自身是一個drooper程序,內部隱藏加密後的PE數據,首先創建互斥體。
通過解密並加載程序集,運行第二層加載器。
1.3Loader
1.4後門組件
最終加載執行的是後門程序QusarRAT,該後門程序被高度混淆。Quasar是使用C#編寫遠程管理工具,由於其開源,功能豐富的特性,經常被黑客用於各種網絡攻擊活動,主要功能如下
獲取目標計算機系統信息
屏幕截圖
瀏覽器數據
鍵盤記錄
植入其他攻擊組件
2.偽裝成windows的server.exe程序2.1加載器
樣本首先提取資源中的數據,異或解密並解壓縮。
將程序自身拷貝到進程中,並將新的程序集netmodule模塊加載到自身進程,附到PE文件後面。
2.2 後門組件
新加載的netmodule模塊為njRAT。
主要功能如下:
監控屏幕
鍵盤記錄
竊取瀏覽器中保存的密碼
文件管理
進程管理
開啟攝像頭
代碼片段:
3.關聯疑似早期程序3.1加載器
進一步我們關聯到一個可能是雙尾蠍組織比較早期的樣本,當惡意樣本運行會彈出提示:「由agile net保護器的試用版本加密,無法在其他機器上運行。」。
樣本也會從資源裡面解密後續的payload。
3.2 後門組件
最終同樣調用njrat。
4.其他偽裝文件4.1偽裝Microsoft、Chrome_Update.exe的njRAT
4.2偽裝word的RemcosRAT
5. 腳本文件分析houdiniRAT
溯源中我們還發現了houdinirat的腳本木馬,這在apt-c-23的以往攻擊中從來沒有見過。
Houdini RAT由個人編寫,國外安全廠商認為作者來自阿爾及利亞,並且通過共享代碼庫發現該RAT與njw0rm和njRAT / LV的作者njq8有聯繫,曾被用於針對國際能源行業的針對性攻擊,其主要功能如下:
執行指定命令
更改惡意軟件配置。例如,動態DNS名稱
從系統中刪除惡意軟件並清除所有快捷方式.lnk
上傳文件
將網站上託管的文件複製到受害者
下載文件
枚舉磁盤信息
枚舉所有文件和目錄
枚舉進程
cmd命令
刪除指定文件或目錄
關閉指定進程
休眠
代碼片段如下圖所示:
中東地區局勢動盪複雜,黑天鵝事件頻發,雙尾蠍APT組織在去年多次以巴勒斯坦選舉熱點信息為誘餌的進行攻擊活動。
偽裝常用軟件麻痹用戶是APT攻擊的重要手段,大多數用戶安全意識不強,很容易被偽裝的軟件所迷惑,在毫無防範的情況下被攻陷,進而泄漏機密文件、重要情報。
360高級威脅研究院
留言列表