APT-C-56(透明部落)(Transparent Tribe)又名APT36、ProjectM、C-Major,是一个具有南亚背景的APT组织,其主要针对印度等周边国家发动网络攻击,善于运用社会工程学进行鱼叉攻击向目标用户投递带宏的doc、ppam和xls等类型诱饵文档,并且还开发出了属于自己的专属木马CrimsonRAT等工具,此外透明部落组织还被发现与SideCopy组织存在基础设施重叠。
360高级威胁研究院捕获到了一批针对印度国防、金融、大学等单位的攻击样本。当受害者打开这些诱饵文档后,恶意文件将会从自身嵌入的OLE(Object Linking and Embedding)对象中释放出恶意载荷,该载荷为透明部落组织专属的CrimsonRAT远控程序。需要说明的是,该组织前期攻击中喜欢将恶意载荷数据直接嵌入到宏代码中,而最近几轮攻击中偏向通过OLE对象释放恶意载荷,本篇文章主要分析利用OLE对象释放载荷的情况。
一、攻击活动分析
1.载荷投递分析
|
MD5 |
文件名 |
|
0ad121b4eb1ef9c491181c5ab8fe1ed7 |
SANJY-2023 Security Measure.ppam |
|
d67c9c9d0e94f04cfe67637922b61e05 |
docx.zip |
|
44c494a30f83f92295c8351b86a2507a |
docksx.zip |
|
34d580fb24ea1747b822f02ad3bd2d87 |
my personal photos.ppam |
|
20cb5cecfe93c56c9ad3455f41c20e37 |
Export of Defence Product-05.ppam |
|
8d8311afbc81c2bb319cd692460b1632 |
M1-Financial-Accounting.docm |
2.恶意载荷分析
宏代码首先判断%USERPROFILE%目录下Ofcx_[secode](当前秒数)文件夹是否存在,若不存在则创建。接着将嵌入对象oleObject1.bin复制到创建目录下并改名为docos.zip,然后解压该压缩包文件释放出oleObject1.bin和oleObject2.bin两个文件。然后判断是否存在.NET v3.5环境,若存在则将解压后的oleObject1.bin改名为idtvivrs vdao.exe并执行,否则改名oleObject2.bin执行。最后将嵌入对象oleObject3.bin作为pptx文件打开显示诱饵文档。
3.攻击组件分析
|
MD5 |
c93cb6bb245e90c1b7df9f3c55734887 |
|
文件大小 |
15.39 MB (16136192字节) |
|
文件名 |
idtvivrs vdao.exe |
|
编译时间 |
2023-06-06 03:07:20 UTC |
|
指令 |
描述 |
|
thy5umb |
读取图像文件的信息(文件名、创建日期和文件大小) |
|
scy5rsz |
设置截屏大小 |
|
gey5tavs |
获取进程ID |
|
scy5uren scy5ren scyr5en scyu5ren |
判断标志位决定是否屏幕截屏 |
|
pry5ocl |
获取进程列表 |
|
puy5tsrt |
设置自启 |
|
doy5wf |
文件上传 |
|
cdy5crgn csy5crgn csy5dcrgn |
直接截屏 |
|
diy5rs |
获取磁盘信息 |
|
fiy5lsz |
获取文件属性信息 |
|
iny5fo |
获取系统信息(系统版本,主机名,用户名等) |
|
sty5ops |
停止截屏 |
|
cny5ls |
设置标志位 |
|
liy5stf |
获取指定目录的文件信息 |
|
fly5es |
列出指定目录下文件 |
|
afy5ile |
窃取文件 |
|
udy5lt |
上传并执行文件 |
|
fiy5le |
窃取文件 |
|
ruy5nf |
执行指定文件 |
|
dey5lt |
删除文件 |
|
doy5wr |
文件上传 |
|
fly5dr |
获取指定目录的所有子目录 |
二、关联分析
|
MD5 |
db05d76ff9a9d3f582bd4278221f244a |
|
文件大小 |
232.07 KB (237636字节) |
|
文件名 |
assignment.docx |
|
|
|
|
MD5 |
e40e0a71efd051374be1663e08f0dbd8 |
|
文件大小 |
247.5 KB (253440字节) |
|
文件名 |
Microsoft Update.exe |
后续功能与前面分析的CrimsonRAT大致相同,具体分析不再详细叙述。此外,该样本还采用了HASH算法对控制指令进行计算校验,这样做的本意是避免明文指令的泄露,但是在实际指令比对时又直接采用了明文的方式,显然这是开发不完全或者设计逻辑缺陷导致的。无独有偶,在今年同时期我们也捕获到了SideCopy组织使用相同处理方式的载荷,我们认为这并不是某种巧合,恰恰相反可以由此说明透明部落与SideCopy组织具有某种联系。
三、归属研判
360高级威胁研究院
原文始发于微信公众号(360威胁情报中心):APT-C-56(透明部落)利用OLE对象部署CrimsonRAT木马的攻击活动分析
