APT-C-61(腾云蛇)组织是一个主要在南亚地区活跃的APT组织。由于在攻击活动中使用的基础设施多依赖于云服务,且使用的木马为Python语言编写,所以将其命名为腾云蛇。在2021年360高级威胁研究院首次披露腾云蛇组织攻击活动后,腾云蛇组织依旧以较高的活跃度在网络世界中持续活跃,并将其活动范围扩大至伊朗、土耳其等国家。
一、受影响情况
腾云蛇组织的攻击活动范围主要围绕巴基斯坦、孟加拉等国,并且在2021年末开始,腾云蛇将活动范围扩大到了伊朗以及土耳其,针对这两个国家的外交人员进行了一系列攻击活动。
腾云蛇窃取数据
腾云蛇窃取数据
二、攻击活动分析
2.1 载荷投递分析
在攻击活动中,腾云蛇组织通常使用鱼叉邮件作为载荷进行投递。
腾云蛇组织在投递邮件时,除了使用公开邮箱中注册的邮件进行发件外,还通过模仿政府部门单位名称注册域名进行发件。邮箱域名如下:
|
腾云蛇使用邮箱域名 |
政府部门单位名称 |
|
@federalsecretariat.com |
Federal Secretary |
|
@secretariatgov.com |
secretariat |
|
@paksecretariat.com |
secretariat |
根据邮件头提供的信息,腾云蛇使用的发件服务器均为porkbun提供的托管电子邮件服务器。
2.2 恶意载荷分析
相比2021年单调的使用DDE漏洞文档作为代码执行的载荷,腾云蛇在载荷投递方向上存在较大的变化,虽然仍旧存在小部分攻击活动使用“DDE漏洞文档+损坏PDF”打包的形式进行投递。但除此之外,我们还捕获到以下几种不同的载荷:
1)邮件内链接诱导下载
在邮件内嵌入OneDrive文档的短链接,通过邮件内容诱导用户点击该链接进行文件下载。
2)远程模板注入
与DDE漏洞文档相似,通过压缩包中带有PDF和Word文档来诱导用户点击执行,后通过Word文档中的远程模板注入来下载后续载荷。
远程模板注入字段
远程模板注入文档内容
3)伪装光盘映像文件(.iso)
腾云蛇组织将远程模板注入文档或DDE漏洞文档打包为ISO文件,使得文件对用户根据有迷惑性,加大文件的可信度和被执行几率。
ISO文件
ISO文件
4)lnk+mshta
在腾云蛇使用的攻击中还存在一部分模仿响尾蛇的攻击行为,在邮件附件的压缩包中携带一个Word文件和一个LNK文件,如下:
LNK文件中调用mshta从远端服务器加载脚本。
SHA256
C&C
https://1drv.ms/u/s!AsnveMg8eWB2gRTZAmgFMB1LxkyY?e=Z7s0MP
360高级威胁研究院
原文始发于微信公众号(360威胁情报中心):APT-C-61(腾云蛇)组织2022年攻击活动分析
