APT-C-35(肚腦蟲),也稱Donot,是一個來自於南亞的境外APT組織,其主要針對巴基斯坦及周邊國家地區的政府機構進行網絡間諜活動,以竊取敏感信息為主。該組織的攻擊活動最早可追溯到2016年,近年來該組織活動頻繁,不斷被數個國內外安全團隊持續追蹤和披露。近期,360高級威脅研究院在日常威脅狩獵中多次發現APT-C-35(肚腦蟲)組織的攻擊活動。在本輪攻擊行動中,該組織依然採用宏文檔作為惡意載體,從自身釋放惡意載荷並執行,通過層層下載的方式加載遠控模塊,從而實現竊密行動,並且整個過程的惡意代碼均帶有數字簽名信息。
一、攻擊活動分析1.攻擊流程分析
該組織近期攻擊流程大致如下所示:
APT-C-35(肚腦蟲)組織使用PPT或者XLS文檔作為攻擊載體,當受害者打開惡意文檔時,會立即釋放一個壓縮包文件和批處理文件,並創建3個定時任務。其中Tls_SSL計劃任務每隔4分鐘執行批處理文件,批處理文件主要作用是將釋放的壓縮包進行解壓操作,得到惡意可執行文件comd.exe,並刪除Tls_SSL計劃任務。My_Drive計劃任務是定時執行comd.exe,comd.exe負責繼續下載下一階段載荷,同時下載一個批處理腳本作為Pls_SSL計劃任務的啟動項從而啟動下載的載荷,載荷的主要功能為下載遠控模塊mnps.exe,從而實現惡意活動。
2.載荷投遞分析
本輪攻擊過程中,APT-C-35(肚腦蟲)組織使用了大量的惡意PPT及XLS文檔作為載體進行攻擊,下面以某XLS惡意樣本為例,樣本信息如下。
文件名稱
trix.xls
文件大小
2.95 MB
MD5
828174ee0a9f25eaad48957ced66b81d
該文件為攜帶惡意宏的文檔,打開的時候會提示受害者啟用宏,並且宏被加密,受害者查看不到宏信息。
一旦宏代碼執行,首先會彈出消息框,讓用戶誤以為文檔錯誤。該手法在APT-C-35(肚腦蟲)組織中特別常見。
同時,惡意宏代碼在C:\Users\Public\Music目錄下先後下釋comd.zip和pbs.bat文件。
接着創建三個計劃任務,運行指定的文件,以此實現駐留。
其中名為Tls_SSL的計劃任務運行pbs.bat文件,其功能就是解壓comd.zip,並刪除Tls_SSL任務,內容如下所示。
My_Drive任務就是執行解壓後的惡意文件,從而開啟完整攻擊。
3.攻擊組件分析
宏代碼釋放的壓縮包,通過BAT文件解壓得到第一階段的載荷comd.exe信息如下:
文件名稱
comd.exe
文件大小
22.46 KB
MD5
06e0d216969caa0dfd98269a860b153b
該文件帶有數字簽名「maxforsec」,但是該簽名已無效,具體如下圖所示。
comd.exe是個Downloader,主要執行下載功能,執行時首先利用sleep延遲執行來規避沙箱檢測。
然後分別從地址http://blogs.libraryutilitis.live/vrhkdkjrajksrjkaskdoneS/rbjhrkjahsrjejka下載得到pbs PE文件和從地址http://blogs.libraryutilitis.live/nrasjkhrsjkdrhkdfjkB/klrjajlrjklrkljaklrjklasklf下載得到pbs.bat,該批處理文件的功能是將pbs改名為creep.exe並執行,同時又由於pbs.bat是Pls_SSL計劃任務的執行文件,從而以此實現了creep.exe的駐留。
第二階段的creep.exe的信息如下:
文件名稱
creep.exe
文件大小
122.46 KB
MD5
676a10be289cf8978af6cdbdba536678
編譯時間
2022-11-01
該文件與上一階段具有相同的數字簽名信息, 也是一個Downloader,主要完成下載功能,解密出地址https://blogs.libraryutilitis.live/hkjnlkhfshjkls2/nrjukurjhajrjh並下載為%USERPROFILE%Servicing\Packages\Hyper\mnps.exe
最終載荷信息如下:
文件名稱
mnps.exe
文件大小
213.96 KB
MD5
e55d17ba37bfba78dc4cdbd8cca9f36b
編譯時間
2022-10-06
簽名信息與上階段有所不同,簽名信息為「fukuyashi」,如下圖所示。
該載荷為遠控模塊,運行之後,首先會創建一個名為「smservoioirija」的事件,創建成功之後,先休眠186秒,然後死循環執行遠控功能。
然後依次解密ServerName和ObjectName分別為「best.tasterschoice.shop」和「/ceioriakgfigalrj/」,並向http://best.tasterschoice.shop/ceioriakgfigalrj/發送請求,通過獲取HTTP請求信息從而獲取不同的指令。
本次捕獲的組件共支持3個指令,指令功能如下:
執行 %USERPROFILE%\\rescache\\Res\\Segment\\apinova.execzr231:
執行%USERPROFILE%\\rescache\\Res\\Segment\\donut.bat二、技戰法變化惡意載荷之前攻擊過程中主要是通過宏代碼下載得到,本輪攻擊中載荷主要是通過宏代碼從自身釋放壓縮包並解壓得到。中間模塊採用了EXE可執行文件的形式,不再一貫使用DLL作為中間攻擊組件。本次捕獲的樣本和以往樣本除了在命令號不同以外,在解密算法上也進行了部分改變,之前的樣本喜歡將字符串每位相減一個較小數進行解密,本次攻擊中部分載荷也沿用了該方式,但是有些載荷也存在差異,不再是字符串每位減去固定數字,如下圖所示,部分樣本每次循環中字符串有些是減7,有些是減去10。
三、歸屬研判本次捕獲樣本跟前期掌握的攻擊樣本比較相似,都是在%public%下釋放zip文件,並都是使用批處理腳本方式進行解壓執行,而且宏的混淆方式也相當類似,都是使用「*」號將關鍵字符進行分隔。
該組織善於通過Downloader程序一步一步進行加載最終載荷,並且喜歡在初始階段就採用了sleep延遲執行的方法,本次攻擊也不例外。並且Downloader程序在解密字符串方式上也是使用每位相減一個較小數的方式進行解密,本次使用減2,以往出現過減3、減6等情形。
該組織在文檔中善於使用錯誤信息彈窗,來迷惑用戶,此外CC格式通常也是域名加兩級大小寫字母拼接的目錄格式(如http://blogs.libraryutilitis.live/vrhkdkjrajksrjkaskdoneS/rbjhrkjahsrjejka),本次攻擊也都符合上述特點。綜上,將本輪攻擊歸於APT-C-35(肚腦蟲)組織。APT-C-35(肚腦蟲)組織從2016年被披露後,從未停止相關攻擊活動,並且有越來越活躍的趨勢。本次攻擊中攻擊者通過惡意代碼層層加載載荷,並結合定時任務實現持久化。此外,該組織在最近的攻擊活動中不再一貫使用惡意DLL作為中間的攻擊組件,部分載荷全程採用了簽名的EXE可執行文件,這都表明該組織在持續地進行更新惡意代碼的功能和形態,並呈現出功能化模塊化的特點。
MD5:
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
C&C:
blogs.libraryutilitis[.]livefurnish.spacequery[.]livebest.tasterschoice[.]shopblogs.tourseasons[.]xyz
URL:
http://furnish.spacequery[.]live/rikkdkeiirt0or784jjk2/kdjj48djj46dTrjd7ahttp://furnish.spacequery[.]live:443/xuiudguibat/nmioepjarjkuarkjuhttp://furnish.spacequery[.]live:443/uiscuerhsflkjs1/liorijfiahjruuehajkhrjhttp://furnish.spacequery[.]live/uiscuerhsflkjs1/liorijfiahjruuehajkhrjhttp://furnish.spacequery[.]live/xuiudguibat/nmioepjarjkuarkjuhttp://furnish.spacequery[.]live/uiuernsicudkfjs2/tiryu3kkdiesaohttp://blogs.tourseasons[.]xyz/rhjhdjrjkfakjhrhjkhttp://blogs.tourseasons[.]xyz/msiioi3kkx/irahjdfjkjkjlkjfjlhttp://blogs.libraryutilitis[.]live/vrhkdkjrajksrjkaskdoneS/rbjhrkjahsrjejkahttp://blogs.libraryutilitis[.]live/pjvrhkdkjrajksrjkaskdoneS/rbjhrkjahsrjejkahttp://blogs.libraryutilitis[.]live/pjnrasjkhrsjkdrhkdfjkB/klrjajlrjklrkljaklrjklasklfhttp://blogs.libraryutilitis[.]live/nrasjkhrsjkdrhkdfjkB/klrjajlrjklrkljaklrjklasklfhttp://blogs.libraryutilitis[.]live/hkjnlkhfshjkls2/nrjukurjhajrjhhttp://blogs.libraryutilitis[.]live/olskh1ytg1s/vkajsrkaljrkjfahttp://blogs.libraryutilitis[.]live/thfjhsgjhtab/niiorjkrkjkhttp://blogs.libraryutilitis[.]live/redpanda/biorjkdkrkjrkjhttp://blogs.libraryutilitis[.]live/redpanda1/bnrkajrkirklrlhttps://blogs.libraryutilitis[.]live/hkjnlkhfshjkls2/nrjukurjhajrjhhttps://blogs.libraryutilitis[.]live/vrhkdkjrajksrjkaskdoneS/rbjhrkjahsrjejkahttp://best.tasterschoice[.]shop/ceioriakgfigalrj/
360高級威脅研究院
360高級威脅研究院是360數字安全集團的核心能力支持部門,由360資深安全專家組成,專注於高級威脅的發現、防禦、處置和研究,曾在全球範圍內率先捕獲雙殺、雙星、噩夢公式等多起業界知名的0day在野攻擊,獨家披露多個國家級APT組織的高級行動,贏得業內外的廣泛認可,為360保障國家網絡安全提供有力支撐。
留言列表