记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

疑似双尾蝎APT组织近期针对巴勒斯坦地区的攻击活动分析

2021-09-06 16:25

概述

双尾蝎(奇安信内部跟踪编号:APT-Q-63)是一个长期针对中东地区的高级威胁组织,其最早于2017年被披露。至少自2016年5月起,持续针对巴勒斯坦教育机构、军事机构等重要领域进行网络间谍活动,以窃取敏感信息为主的网络攻击组织,开展了有组织,有计划,有针对性的攻击。

近日,奇安信威胁情报中心红雨滴团队在日常的威胁狩猎中捕获了该组织多起攻击样本,捕获的样本包括伪装成政治热点、教育相关的可执行文件诱饵,以及伪装成微软图像处理设备控制面板程序(ImagingDevices.exe),此类样本运行后,将会释放展示正常的诱饵以迷惑受害者,同时后门将继续在后台运行以窃取受害者计算机敏感信息。

奇安信威胁情报中心在发现此次攻击活动的第一时间便向安全社区进行了预警[1]


样本分析

01 基本信息

  • 样本1:以美国对巴勒斯坦事业的政策相关信息为诱饵的可执行文件

文件名

Has US policy toward the Palestinian cause changed pdf.exe(美国对巴勒斯坦事业的政策改变了吗)

MD5

5711989af8510851baf4fec63d67d1e3

文件格式

Win32 EXE

C2

kristinthomas[.]work

样本成功执行后将从资源获取诱饵文档释放展示

  • 样本2:伪装成微软图像处理设备控制面板程序(ImagingDevices.exe)

文件名

ImagingDevices.exe

MD5

4fadb4accea641e71553c381f2f9ca21

文件格式

Win32 EXE

C2

peterabernathy[.]online

02 详细分析

样本1与我们在去年《近期双尾蝎APT组织利用伪造社交软件等针对多平台的攻击活动分析[2]一文中披露的windows平台样本相似,均为Delphi 语言编写,且携带一个隐藏的窗体,均从资源中释放诱饵文档。

通过对比以往样本,可以看到双尾蝎组织对代码进行了精简,将某些功能函数封装在了点击组件中,将下载功能函数等网络相关的封装在了SendHttp函数中。

与去年我们披露的样本一样,样本1中的Timer1会引导其他控件执行任务,Time1执行后首先会从资源中获取诱饵文档数据保存到%tmp%目录下,然后将其打开以迷惑受害者。

以往样本中的REG_LNK_TimerTimer功能函数被修改为样本1中的ShortClick函数,由Timer3进行调用,在%tmp%目录创建一个指向自身的lnk文件,随后移植到启动目录用于持久化。

以往样本中的Button2Click函数被修改为样本1中的NewClick函数,由Timer4进行调用,收集计算机名字,用户名,系统版本等信息与8位随机字符拼接后用base64加密。

通过WMI查询相关杀毒软件信息,不再将杀软信息硬编码在样本中。

将获取到的相关信息经base64加密后,以POST请求方式发送至C2。

与以往样本一样,保留了截屏、下载执行,文件上传、远程shell等功能,这里就不在赘述。

样本2从自身资源中释放诱饵文档到C:\ProgramData\AuditPolicyGPInterop\ MangeFile,然后将其移植到样本所在位置,命名为Folder并调用ShellExecuteA打开。

在C:\ProgramData\AuditPolicyGPInterop目录创建副本AuditPolicy.exe,以及释放文件AuditPolicyGP.ne。

在%tmp%目录下创建指向副本的快捷方式。

调用cmd将快捷方式移植到启动目录,实现持久化。

创建新线程收集office版本信息。

以及收集计算机相关信息。

并循环判断驱动器的类型,将收集的计算机名称与MAC地址,经base64加密后,通过固定格式“celal=加密的计算机名称与MAC地址&type=驱动器类型&value=驱动器路径“上传至C2: peterabernathy[.]online

采用简单的防御规避手段,上传时先通过连接www.google.com来测试网络连通性,正常则连接C2上传信息。

在本次攻击活动中,双尾蝎组织尝试使用新的方式驻留在受害主机中,通过获取驱动器根目录下指定后缀文件,将其加入自身资源区段中,进而释放新的副本在驱动器根目录下。

执行创建的副本,将展示原指定后缀文件内容,而样本将再次得以执行。

若驱动器根目录下没有指定后缀的文件,则直接释放副本,并命名为Private-Image-,.exe

通过WMI获取当前系统杀软信息。

组装收集到的信息,上传至C2: peterabernathy[.]online。

最后创建一个后门线程,通过不同的指令来实现其功能。与双尾蝎组织常用手法一致的是,延续了利用人名作为指令的传统。相关指令功能如下:

指令

功能简介

Coskun

上传加密的主机和MAC地址信息

Baris

截屏上传

Sevket

文件拷贝

Mustafa

文件拷贝

Yusuf

收集杀软信息上传

Bellami

命令执行结果上传

Merfy

收集文件信息上传

Clarck

收集文件内容上传

Davut

下载文件

Silver

下载文件并执行

Mert

拷贝程序并执行

Geillis

删除启动目录下的AuditPolicy.lnk文件


溯源与关联

奇安信威胁情报中心对此次捕获样本攻击手法,代码逻辑层面分析,发现此次捕获的攻击样本与双尾蝎APT组织常用攻击手法,恶意代码基本一致。其中Delphi 语言编写的样本较以往样本无较大变化,而VC版本则增加了新的持久化方式,以及丰富了指令内容。

经关联分析,我们从样本库中关联出一些与VC版本后门代码几乎一致的样本,释放的诱饵以及C2均为同一个。

以及发现一例与以往捕获Delphi版本后门样本相似的样本,释放与教育相关的诱饵文档。

文件名

أسستربويةمقترحةلتنميةرأسالمالالفكريلدىالمعلمينبناءعلىمتطلباتالتنميةالمستدامة.pdf(根据可持续发展的要求发展教师知识资本的教育基础)

MD5

4406525982688345c1919d46f4338fa6

文件格式

Win32 EXE

C2

dorothymambrose[.]live

样本成功执行后展示的诱饵文档如下:


总结

双尾蝎组织是常年活跃在中东地区APT团伙,其具有Windows和Android双平台攻击武器,且仅Windows平台恶意代码就丰富多变,具有多种语言编译的后门。

此次捕获的样本主要针对中东地区开展攻击活动,暂未发现影响国内用户,但防范之心不可无,奇安信红雨滴团队提醒广大用户,切勿打开社交媒体分享的来历不明的链接,不点击执行未知来源的邮件附件,不运行夸张的标题的未知文件,不安装非正规途径来源的APP。做到及时备份重要文件,更新安装补丁。

若需运行,安装来历不明的应用,可先通过奇安信威胁情报文件深度分析平台(https://sandbox.ti.qianxin.com/sandbox/page)进行简单判别。目前已支持包括Windows、安卓平台在内的多种格式文件深度分析。

目前,基于奇安信威胁情报中心的威胁情报数据的全线产品,包括奇安信威胁情报平台(TIP)、天擎、天眼高级威胁检测系统、奇安信NGSOC、奇安信态势感知等,都已经支持对此类攻击的精确检测。


IOCs

MD5

5711989af8510851baf4fec63d67d1e3

4fadb4accea641e71553c381f2f9ca21

4406525982688345c1919d46f4338fa6

705d6c0a0d6a102de66f23193054f9bb

3ed3e34b08c85f8685a3a5e103e48bf3

487c2e7a01767c3a0935d8ab28f2dbb7

82ca6a4c3055488d7cc38e0bc9c70285

61563f6547c6aa0f2cee08b59b05063e

0bfaee63d7b3e24a7672f78e5059146c

73f65ac692029f3b995ce3a014309a6a

URL

hxxp://peterabernathy.online/Alyanak/mehro

hxxp://peterabernathy.online/Alyanak/check

hxxp://peterabernathy.online/Alyanak/Sema

hxxp://peterabernathy.online/Alyanak/Coskun/QU5BTFlTVDAtMkQxNjcxLTA4LTAwLTI3LTdBLTBELUQz

hxxps://dorothymambrose.live/hx3FByTR5o3zNZYD/sYkaiHz0Mse13C79dy1I/Bbf0VKK5GZjWAo2phPwe

hxxps://kristinthomas.work/hx3FByTR5o3zNZYD/sYkaiHz0Mse13C79dy1I


参考链接

[1] https://twitter.com/RedDrip7/status/1425695844183859201

[2] https://mp.weixin.qq.com/s/yobOH_jdKx69m4_i1qDrLA



知识来源: https://mp.weixin.qq.com/s?__biz=MzI2MDc2MDA4OA==&mid=2247496757&idx=1&sn=ccf68b774d5c5328354b80f728029f0b

阅读:18678 | 评论:0 | 标签:apt 攻击 分析

想收藏或者和大家分享这篇好文章→复制链接地址

“疑似双尾蝎APT组织近期针对巴勒斯坦地区的攻击活动分析”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

永久免费持续更新精选优质黑客技术文章Hackdig,帮你成为掌握黑客技术的英雄

求赞助求支持💖

标签云