2022-11-29 18:24
#APT 70 个
#南亚地区 20 个
#APT-C-09 摩诃草 3 个
APT-C-09(摩诃草)(又称白象、Patchwork、Dropping Elephant)是一个疑似具有南亚国家背景的APT组织,从2015年至今,该组织一直处于活跃状态,长期保持着针对巴基斯坦等周边国家的政府、医疗、军事、科研等领域的网络攻击活动。
该组织善于抓住热点事件及政府工作会议作为诱饵,并采用鱼叉式网络攻击手段投递攻击载荷,本次捕获的样本以“2022年总理赈灾基金”和“跨部门研讨会 - AML/CFT报名表格”为诱饵,释放“BADNEWS”最新变种木马程序进行窃密行动。此外,本次攻击活动主要以巴基斯坦为攻击目标,载荷加入了巴基斯坦时区校验以及更可靠的加密方式,并且ShellCode加入反调试手段。一、攻击活动分析
1.攻击流程分析
本次攻击中,该组织投递带有CVE-2017-11882漏洞的恶意RTF文档,并携有伪装内容,其中两个文档的伪装内容如下图所示:打开该恶意文档都会释放mcods.exe和McVsoCfg.dll两个PE文件,最后执行mcods.exe以加载McVsoCfg.dll,从而执行恶意功能。2.恶意文档分析
文件名称 | ContributionStatus.doc |
文件大小 | 1.56 MB(1635712 KB) |
MD5 | 236b62124c862664c4cb179b4b3b844a |
恶意文档内嵌公式编辑器OLE对象,通过触发公式编辑器组件漏洞(CVE-2017-11882)执行指定的ShellCode,漏洞部分不在详述。Shellcode首先通过PEB(进程环境块)的BeingDebugged属性进行反调试,然后动态获取LoadLibraryA,CreateFileA等API函数地址,接着在C:\ProgramData\Microsoft\DeviceSync\ 目录下释放McVsoCfg.dll和mcods.exe。然后在注册表HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run路径下创建一个名为OneDriver、值为C:\ProgramData\Microsoft\DeviceSync\mcods.exe的键以实现持久化驻留。最后,通过ShellExecuteEx启动mcods.exe。3.攻击组件分析
文件名 | mcods.exe |
文件大小 | 607136 字节 |
MD5 | 327ab2061b7965f741ac10ffcf4dcc86 |
本次攻击使用的是DLL侧加载,mcods.exe程序实为McAfee VirusScan文件,执行时会加载恶意的McVsoCfg.dll。其签名信息为“5Y TECHNOLOGY LIMITED”,目前为止,该证书已经被吊销。加载的McVsoCfg.dll是BADNEWS变种木马,该木马也带有“5Y TECHNOLOGY LIMITED”签名信息,其编译时间为2022-09-02。文件名 | McVsoCfg.dll |
文件大小 | 519584 字节 |
MD5 | 5fc1d8fa666a60c65d74b6a4dbf10413 |
该样本首先判断时区是否为巴基斯坦标准时区,如不是,则程序不执行主要功能进而退出,可见此次攻击活动仅限巴基斯坦地区。收集多种系统信息,其中包括进程列表、安装的应用程序列表、网络适配器信息、DNS解析缓存信息、服务列表、以及计算机及操作系统信息,并将收集到的信息保存到系统临时目录下的RTYgjfdg.sys文件内。随后向地址51.89.251.8:443/vwnykzjzy2si478c7a2w/terncpx8yr2ufvisgd2j/x8jb9g97kkexor5ihnbq/d91ng62l00hc4vgaxkf.php发起post请求传输收集到的信息,并采用AES-CBC-256算法模式加密信息。首先,通过特定的字符串解密算法解密出“POST”和“Content-Type: application/x-www-form-urlencoded”两个字符串,然后读取临时目录下的RTYgjfdg文件,最后以每段0x4000大小发送。POST内容主要分3个部分,“qadc=”对应的是加密之后的uuid,“ghjk=”对应的是加密之后的命令号,“edcaa=”对应的是加密之后的获取到的信息内容。其中uuid加密方式是,使用Base64算法编码,然后AES加密,最后再使用Base64算法将其编码。其中AES算法中秘钥Key为“b14ca5898a4e4133bbce2ea2315a191”(31字节,末尾会自动添加0x00),IV向量为“1234567891234567”,下图是UUID加密数据使用AES解密过程。接着创建线程将键盘记录保存到atapi.sys文件。根据请求返回的结果对其进行解析得到相应指令,来完成后续的攻击行动,相关指令功能如下。C2指令 | 功能 |
1 | 文件上传 |
2 | 截图并加密上传 |
3 | 直接退出 |
4 | 下载保存为TGJdbkds.exe 并执行 |
5 | 读取ghjgd,并发送 |
6 | 键盘记录文件atapi.sys加密并上传 |
7 | 命令执行 |
8 | 下载TGJdbkds,并解密 |
二、技战法变化
1. 本次首次加入了时区校验,使得攻击行动更具针对性。
2. 与以往相比,本次样本在URL字段的命名上没有使用易于理解的字符串,而是使用了模糊不明确的命名方式。
3. 获取的信息较之前样本略有更新,且本次主要通过Windows命令行进行信息获取,之前部分信息是根据注册表获取信息。4. 攻击者在本次攻击中使用了AES-CBC-256算法对数据进行加密,前期攻击中也使用过AES-CBC-128、RC4等不同算法,可以看到该组织在数据加密算法上一直在下功夫。APT-C-09(摩诃草)组织从2013年被披露后,从未停止相关攻击活动,长期针对巴基斯坦等周边国家进行攻击,并且攻击目标和目的也都未发生改变,这也体现出幕后组织意志的坚定性,此次攻击样本加入时区校验,更说明攻击行动具有针对性。此外,本文披露的相关恶意代码、C&C只是摩诃草组织部分攻击过程中使用的最新武器,该组织不会因为一次攻击行动的暴露而停止活动,反而会持续更新其载荷,后期我们也将持续关注该组织的攻击武器。
236b62124c862664c4cb179b4b3b844a5fc1d8fa666a60c65d74b6a4dbf1041343e2a8601a4f70897d73353c4908f22453dd49f39b0f8d41756edc2787473b67360高级威胁研究院是360政企安全集团的核心能力支持部门,由360资深安全专家组成,专注于高级威胁的发现、防御、处置和研究,曾在全球范围内率先捕获双杀、双星、噩梦公式等多起业界知名的0day在野攻击,独家披露多个国家级APT组织的高级行动,赢得业内外的广泛认可,为360保障国家网络安全提供有力支撑。
阅读:280652 | 评论:0 | 标签:apt 攻击 巴基斯坦
