APT-C-09(摩訶草)(又稱白象、Patchwork、Dropping Elephant)是一個疑似具有南亞國家背景的APT組織,從2015年至今,該組織一直處於活躍狀態,長期保持着針對巴基斯坦等周邊國家的政府、醫療、軍事、科研等領域的網絡攻擊活動。
該組織善於抓住熱點事件及政府工作會議作為誘餌,並採用魚叉式網絡攻擊手段投遞攻擊載荷,本次捕獲的樣本以「2022年總理賑災基金」和「跨部門研討會 - AML/CFT報名表格」為誘餌,釋放「BADNEWS」最新變種木馬程序進行竊密行動。此外,本次攻擊活動主要以巴基斯坦為攻擊目標,載荷加入了巴基斯坦時區校驗以及更可靠的加密方式,並且ShellCode加入反調試手段。一、攻擊活動分析1.攻擊流程分析本次攻擊中,該組織投遞帶有CVE-2017-11882漏洞的惡意RTF文檔,並攜有偽裝內容,其中兩個文檔的偽裝內容如下圖所示:打開該惡意文檔都會釋放mcods.exe和McVsoCfg.dll兩個PE文件,最後執行mcods.exe以加載McVsoCfg.dll,從而執行惡意功能。2.惡意文檔分析
文件名稱
ContributionStatus.doc
文件大小
1.56 MB(1635712 KB)
MD5
236b62124c862664c4cb179b4b3b844a
惡意文檔內嵌公式編輯器OLE對象,通過觸發公式編輯器組件漏洞(CVE-2017-11882)執行指定的ShellCode,漏洞部分不在詳述。Shellcode首先通過PEB(進程環境塊)的BeingDebugged屬性進行反調試,然後動態獲取LoadLibraryA,CreateFileA等API函數地址,接着在C:\ProgramData\Microsoft\DeviceSync\ 目錄下釋放McVsoCfg.dll和mcods.exe。然後在註冊表HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run路徑下創建一個名為OneDriver、值為C:\ProgramData\Microsoft\DeviceSync\mcods.exe的鍵以實現持久化駐留。最後,通過ShellExecuteEx啟動mcods.exe。3.攻擊組件分析
文件名
mcods.exe
文件大小
607136 字節
MD5
327ab2061b7965f741ac10ffcf4dcc86
本次攻擊使用的是DLL側加載,mcods.exe程序實為McAfee VirusScan文件,執行時會加載惡意的McVsoCfg.dll。其簽名信息為「5Y TECHNOLOGY LIMITED」,目前為止,該證書已經被吊銷。加載的McVsoCfg.dll是BADNEWS變種木馬,該木馬也帶有「5Y TECHNOLOGY LIMITED」簽名信息,其編譯時間為2022-09-02。文件名
McVsoCfg.dll
文件大小
519584 字節
MD5
5fc1d8fa666a60c65d74b6a4dbf10413
該樣本首先判斷時區是否為巴基斯坦標準時區,如不是,則程序不執行主要功能進而退出,可見此次攻擊活動僅限巴基斯坦地區。收集多種系統信息,其中包括進程列表、安裝的應用程序列表、網絡適配器信息、DNS解析緩存信息、服務列表、以及計算機及操作系統信息,並將收集到的信息保存到系統臨時目錄下的RTYgjfdg.sys文件內。隨後向地址51.89.251.8:443/vwnykzjzy2si478c7a2w/terncpx8yr2ufvisgd2j/x8jb9g97kkexor5ihnbq/d91ng62l00hc4vgaxkf.php發起post請求傳輸收集到的信息,並採用AES-CBC-256算法模式加密信息。首先,通過特定的字符串解密算法解密出「POST」和「Content-Type: application/x-www-form-urlencoded」兩個字符串,然後讀取臨時目錄下的RTYgjfdg文件,最後以每段0x4000大小發送。POST內容主要分3個部分,「qadc=」對應的是加密之後的uuid,「ghjk=」對應的是加密之後的命令號,「edcaa=」對應的是加密之後的獲取到的信息內容。其中uuid加密方式是,使用Base64算法編碼,然後AES加密,最後再使用Base64算法將其編碼。其中AES算法中秘鑰Key為「b14ca5898a4e4133bbce2ea2315a191」(31字節,末尾會自動添加0x00),IV向量為「1234567891234567」,下圖是UUID加密數據使用AES解密過程。接着創建線程將鍵盤記錄保存到atapi.sys文件。根據請求返回的結果對其進行解析得到相應指令,來完成後續的攻擊行動,相關指令功能如下。C2指令
功能
1
文件上傳
2
截圖並加密上傳
3
直接退出
4
下載保存為TGJdbkds.exe 並執行
5
讀取ghjgd,並發送
6
鍵盤記錄文件atapi.sys加密並上傳
7
命令執行
8
下載TGJdbkds,並解密
二、技戰法變化1. 本次首次加入了時區校驗,使得攻擊行動更具針對性。2. 與以往相比,本次樣本在URL字段的命名上沒有使用易於理解的字符串,而是使用了模糊不明確的命名方式。3. 獲取的信息較之前樣本略有更新,且本次主要通過Windows命令行進行信息獲取,之前部分信息是根據註冊表獲取信息。4. 攻擊者在本次攻擊中使用了AES-CBC-256算法對數據進行加密,前期攻擊中也使用過AES-CBC-128、RC4等不同算法,可以看到該組織在數據加密算法上一直在下功夫。
APT-C-09(摩訶草)組織從2013年被披露後,從未停止相關攻擊活動,長期針對巴基斯坦等周邊國家進行攻擊,並且攻擊目標和目的也都未發生改變,這也體現出幕後組織意志的堅定性,此次攻擊樣本加入時區校驗,更說明攻擊行動具有針對性。此外,本文披露的相關惡意代碼、C&C只是摩訶草組織部分攻擊過程中使用的最新武器,該組織不會因為一次攻擊行動的暴露而停止活動,反而會持續更新其載荷,後期我們也將持續關注該組織的攻擊武器。236b62124c862664c4cb179b4b3b844a5fc1d8fa666a60c65d74b6a4dbf1041343e2a8601a4f70897d73353c4908f22453dd49f39b0f8d41756edc2787473b67
360高級威脅研究院是360政企安全集團的核心能力支持部門,由360資深安全專家組成,專注於高級威脅的發現、防禦、處置和研究,曾在全球範圍內率先捕獲雙殺、雙星、噩夢公式等多起業界知名的0day在野攻擊,獨家披露多個國家級APT組織的高級行動,贏得業內外的廣泛認可,為360保障國家網絡安全提供有力支撐。
留言列表