透明部落(Transparent Tribe),別名APT36、ProjectM、C-Major,是一個具有南亞背景的APT組織,其長期針對周邊國家和地區(特別是印度)的政治、軍事進行定向攻擊活動,其開發有自己的專屬木馬CrimsonRAT,還曾被發現廣泛傳播USB蠕蟲。在今年年初,透明部落與SideCopy被發現利用相同的基礎設施並使用相同主題針對相似目標進行攻擊,其利用走私情報相關誘餌、偽裝成印度國防部郵件針對印度頻頻發起攻擊。與之相關聯的SideCopy更新了基於Golang的Linux竊密武器。從去年開始一直針對印度的政府、公共部門、各行各業包括但不限於醫療、電力、金融、製造業等保持高強度的信息竊取活動。近期,360高級威脅研究院監測到透明部落利用外貿主題的鏈接進行攻擊活動樣本。樣本偽裝成scr表格文件,並同時釋放持久化組件與RAT對中招用戶持續監控。這次使用的RAT既不是其專屬木馬CrimsonRAT,也不是常用的ObliqueRAT,我們通過持久化組件的特徵相似將這次攻擊與透明部落相關聯。一、攻擊活動分析1. 攻擊流程分析
利用外貿主題的鏈接進行攻擊活動樣本。樣本偽裝成scr表格文件,並同時釋放持久化組件與RAT對中招用戶持續監控。
2. 載荷投遞分析2.1 鏈接通過下載鏈接下載壓縮包文件在特定外貿目標群體中廣泛傳播,文件名稱使用requirement.rar,最終釋放QUANTITY AND SPECIFICATIONS.SCR文件,偽裝成xls表格圖標,引誘用戶啟動文件。
2.2 Dropper偽裝的文檔的二進制樣本從自身釋放一個持久化組件、一個後門組件。
如果釋放lnk持久化組件失敗則會從當前目錄的a.exe和b.exe文件分別讀取文件內容。
將當前文件拷貝複製為keylogger.exe文件並將緩衝區的內容寫入。
如果成功釋放lnk持久化組件,則直接將內部隱藏的RAT文件偽裝成firefox釋放並運行。
2.3 持久化該組件在程序運行開始sleep休眠,躲避沙箱檢測。
獲取用戶環境變量,隨後釋放lnk文件到startmenu目錄來開機啟動。
通過com組件創建lnk文件,偽裝成常用軟件迷惑用戶。
3. 攻擊組件分析這次使用的RAT既不是其專屬木馬CrimsonRAT,也不是常用的ObliqueRAT。
二、技戰法變化1.與之前攻擊行動相關分析1.1 通過調用com組件ishelllink生成lnk文件
圖3
圖4
1.2 設置用戶環境目錄的啟動項來持久化駐留
圖5
圖6為此次攻擊行動中的分析:
圖6
1.3 在程序運行前長時間sleep
下圖為之前披露行動中的分析:
圖7圖8為此次攻擊行動中的分析:
圖8
2.與之前行動差異分析
在之前的行動的使用ObliqueRAT:
此次攻擊中使用了一款簡單的RAT,包含屏幕監控、鍵盤監控、網絡傳輸的功能,我們懷疑是行動中未被發現的組件。
通過持久化組件的特徵代碼相似度判斷這是透明部落的攻擊活動,在之前的攻擊活動中,透明部落使用了一個持久化組件用於駐留,在此次發現的樣本中,我們同樣發現了一個相似的持久化組件,二者的代碼相似度很高。圖9為之前披露行動中的分析:
圖9
圖10
37f8747ec46b0b77e7e8aea44ff86bb0
bb96a94723eb2ed576194d6a15237aeb
3b0d27e32058c9eb22cf30fab72ab75c
acd76d6453f34d241fbe82304eb0b8c6
145.14.145[.]231
http://freeshopers.000webhostapp[.]com/items.php
360高級威脅研究院
360高級威脅研究院是360數字安全集團的核心能力支持部門,由360資深安全專家組成,專注於高級威脅的發現、防禦、處置和研究,曾在全球範圍內率先捕獲雙殺、雙星、噩夢公式等多起業界知名的0day在野攻擊,獨家披露多個國家級APT組織的高級行動,贏得業內外的廣泛認可,為360保障國家網絡安全提供有力支撐。
留言列表