记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

来自美色的诱惑- APT-C-09(摩诃草)组织近期攻击活动披露

2021-08-25 03:24


APT-C-09
  摩诃草
APT-C-09(摩诃草)组织,又称HangOver、VICEROY TIGER、The Dropping Elephant、Patchwork,是一个来自于南亚地区的境外APT组织,该组织已持续活跃了7年。摩诃草组织主要针对中国、巴基斯坦等亚洲地区国家进行网络间谍活动,其中以窃取敏感信息为主。
近日我们捕获到几例利用使用借助美女图片作为诱饵的恶意样本程序,这些样本通过婚介主题来诱骗用户执行恶意程序or文档文件,运行后释放对应图片文件并打开以达到伪装的效果,自身主体则与服务器连接,接收指令数据,达到攻击者远程控制用户设备的效果。
1

样本分析
1.1
攻击流程


本次攻击流程与以往摩诃草使用流程相似:



1.2
Dropper


恶意程序启动后,会释放文件到目录“%Appdata%”下,命名为“Muneeza Mukkarum.jpg”。

      

检测路径“%Appdate%\microsoft.dat”是否存在,若不存在,则从释放PE文件到该路径,并执行该文件。

随后通过cmd.exe执行命令删除自身。


1.3
Loader


释放到路径“%Appdate%\microsoft.dat”的文件与摩诃草以往使用的Loader功能基本保持一致。

在启动后,会遍历进程,对当前系统内的杀毒程序进行检测。其中涉及恶意程序如下

ekrn.exe

egui.exe

avg

AVGUI

bdagent

gziface

bitdefender_isecurity.exe

uiSeAgnt.exe

ccSvcHst.exe

norton

nis.exe

ns.exe

AvkTray

AVKTray

apvui.exe

avp

AvastUI

onlinent.exe

PSUAMain.exe

escanmon.exe

escanpro.exe

Tray.exe

Prd.EventViewer.exe

MsMpEng.exe

MpCmdRun.exe

NisSrv.exe

zatray.exe

AkSA.exe

fshoster32.exe




若不存在相关的杀毒程序,则尝试提升自身权限。随后从资源获取加密数据进行解密,创建自身傀儡进程将解密后的PE文件装载到该傀儡进程运行。

最终将自身拷贝至路径"%ProgramData%\ProgramDataUpdate\dwm.exe" 。通过COM组件在 ”%startup%” 目录下创建快捷方式指向该路径,完成持久化动作。

有意思的是,本次恶意程序在对杀毒程序检测时,当进程内存在以下两种进程(“K7SysMon.exe“和”k7tsecurity.exe“)时,会绕过提权步骤。

且在实行持久化流程中,若存在这两个进程,程序则不会拷贝自身到指定路径,直接使用当前路径作为”%stratup%”目录下的快捷方式路径。

而该两种进程指向印度防病毒软件企业“K7 Total Security”。我们推测攻击者凭借该方式来筛选攻击者范围。



1.4
RAT


内存加载执行的PE文件为Delphi编写的远控程序,该程序执行后会创建互斥体,以确保当前仅运行一个恶意程序。

获取设备信息。

该程序在获取GUID之后,会存储到路径“%Appdata%\Microsoft\uid.dat”,而摩诃草以及cnc的部分历史样本也存在类似的动作,比如存储在当前目录下的“uuid.txt”。
获取数据后使用字符‘ | ‘对数据进行拼接。拼接后格式如下:

拼接后的数据采用rc4+base64的方式进行加密。rc4使用的Key为“StrOngP@ssw0rd_cH!y@”,从密钥格式来看,也许是攻击者在某处的密码?
随后与服务器建立连接。服务器信息采用格式化的十进制数存储。

与服务器连接后,循环从服务器获取指令。
若返回的http状态码为“200”,则处理后续指令,从代码可以看出,指令数据中各个部分的数据使用字符’ | ’隔开。

指令对应功能如下:

指令

功能

0

退出进程

2

获取盘符信息

3

遍历获取指定路径下的文件信息

5

上传指定路径文件数据

6

截图保存至文件夹 “C:\Users\Administrator\AppData\Roaming\Microsoft\Internet  Explorer\”,上传文件到服务器后,删除该文件。

7

向指定文件路径写入数据。

8

启动指定进程

9

退出进程,并删除自身程序

0xA

删除指定路径文件

0xB

更新自身程序。(下载程序到本地执行,退出自身程序,并删除自身文件)

0xC

通过“cmd.exe”执行指定命令,并将执行结果返回

详细指令分析如下:


指令0:

退出进程。


指令2:

获取盘符信息。

返回数据

指令3:

遍历获取指定路径下的文件信息

返回数据如下:

第一次返回指定路径下的文件夹信息。

第二次返回指定路径下的文件信息,数据格式为

4|文件名#文件大小(单位:字节)#最后修改时间|...|文件名#文件大小(单位:字节)#最后修改时间|


指令5:

上传指定路径文件数据。
其中数据传递函数与指令6相同,对于文件数据,使用base64进行编码。


指令6:

获取屏幕截图,并发送至服务器。


指令7:

向指定路径的文件写入数据。
当需要写入的文件数据总大小大于4096时,会采用不同的文件创建方式

推测该分类处理是在传输总大小大于4096的文件时,服务器会对文件数据采用分段处理,以避免大文件传输时,流量监测和数据丢失等问题。


指令8:

启动指定路径的程序。


指令9:

退出进程,并通过cmd.exe删除自身。


指令0xA:

删除指定路径文件



指令0xB:

下载程序到指定路径,并执行。随后退出自身进程,并通过“cmd.exe”删除自身文件。


指令0xC:

通过cmd.exe执行指定命令,并将执行结果返回至服务器。其中cmd.exe与自身进程间,使用管道进行通讯。

2

溯源关联

通过对攻击活动的基础设施、代码等等多方面进行深入分析。基于以下几点,我们认为本次攻击活动与摩诃草存在关联。

本次攻击活动使用的loader与摩诃草以往使用的loader在整体代码上存在高度相似。

本次攻击活动样本


摩诃草样本

        

通过对RAT连通的IP:142.202.191.234进行关联,我们发现存在同一C段下的IP:142.202.191.236存在恶意宏文件(MD5:c37933ec8c2e986c78d70e1b5b5ec642),使用与摩诃草以往类似的宏脚本

这一系列的恶意宏依旧不支持中文环境,似乎摩诃草并未有打算修复这一问题的迹象。
并且本次攻击活动的样本中,携带的数字签名“Accelerate Technologies ltd“同样也是摩诃草惯用的数字签名。

3

总结
从VT中上传的文件名 “Tani_Khan_Matrimonial_profile_picture_for_email_circulation.exe" 中,我们意识到,本次攻击使用的伪装与以往摩诃草一贯风格,如政治新闻,时事热点,企业信息等等敏感信息的文档文件不同。从释放的伪装文件、文件名等信息,我们推测本次攻击中用于诱导用户的很有可能是婚介相关的题材。而这显然使得攻击活动更具有个人信息特征。如“男性“、”适婚年龄“、”未婚“等等。
并且我们发现,这一现象并非个例,在对摩诃草持续的监测中,我们发现,在近期摩诃草使用该类型的题材实施了多起攻击活动。
如恶意宏文件Tani_Khan_Matrimonial_biodata_for_email_circulation.docx(MD5:c37933ec8c2e986c78d70e1b5b5ec642 )

或者是另一个恶意程序Tani_Khan_Matrimonial_profile_picture_for_email_circulation_4.exe(MD5:578d9f0ced02ee2f03ad3484628671d7)。

通过这些样本及信息,我们认为这可能是代表着摩诃草这一APT组织在攻击思路上,从企业化朝着个人化的转变趋势。相信不远的将来,我们也许将会迎来更多针对个人定制化的攻击活动。而毫无疑问,这样的趋势使得攻击方需要搜集更多的目标个人信息,也意味着摩诃草背后势力对于情报方向上资源投入日益加重的倾向。


附录 IOC


MD5:

13871a0ca072473e646f147c11c054ea

c37933ec8c2e986c78d70e1b5b5ec642

f5f147661da458e39d413ef9b62c7d3c

18363437744197efdfb779bad31b32ca

052d9d237c35b7cc1a0e4e76cadf3664

578d9f0ced02ee2f03ad3484628671d7


IP:

142.202.191.236

142.202.191.234



团队介绍
TEAM INTRODUCTION
360高级威胁研究院
360高级威胁研究院是360政企安全集团的核心能力支持部门,由360资深安全专家组成,专注于高级威胁的发现、防御、处置和研究,曾在全球范围内率先捕获双杀、双星、噩梦公式等多起业界知名的0day在野攻击,独家披露多个国家级APT组织的高级行动,赢得业内外的广泛认可,为360保障国家网络安全提供有力支撑。

知识来源: https://mp.weixin.qq.com/s?__biz=MzUyMjk4NzExMA==&mid=2247487992&idx=1&sn=fa6993e6c72c85a4a30d45aa0b36fb86

阅读:33362 | 评论:0 | 标签:apt 攻击

想收藏或者和大家分享这篇好文章→复制链接地址

“来自美色的诱惑- APT-C-09(摩诃草)组织近期攻击活动披露”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

永久免费持续更新精选优质黑客技术文章Hackdig,帮你成为掌握黑客技术的英雄

求赞助求支持💖

标签云