APT-C-43(Machete)组织最早由卡巴斯基于2014年披露,该组织的攻击活动集中于拉丁美洲具备西班牙语背景的目标,其主要通过社会工程学开展初始攻击,使用钓鱼邮件或虚假博客进行恶意文件传播,其受害者似乎都是西班牙语群体。
2020年12月我们对该组织意图窃取委内瑞拉军事机密为反对派提供情报支持的攻击活动进行了披露,披露的攻击活动中APT-C-43使用了Python编写的新后门Pyark进行攻击,同样地,此次报告中我方也会对该组织近年使用的新后门进行披露,同时对该组织的演变提供几分猜想。
一、攻击活动分析
1.攻击流程分析
完整的攻击流图描述以及攻击流程图:
2.恶意载荷分析
APT-C-43组织的载荷投递方式并未做过大改变,主要还是通过鱼叉钓鱼邮件以及虚假博客进行投递,钓鱼邮件中包含携带恶意宏代码的Office文档,宏代码启用后将会发起FTP请求从远程服务器中下载后门木马运行。
恶意文档的宏代码通过加密用以迷惑用户。
经提取的恶意宏代码运行后会使用FTP服务从远程服务器中下载lnk、bat、png三个文件至“C:ProgramData”目录之中,后续会将lnk文件移动至“启动目录”用于执行bat文件,bat文件中的恶意代码再进一步从远程服务器【funkytothemoon.live】中下载恶意程序执行。
3.攻击组件分析
启动目录下的lnk文件在计算机重启后会执行携带恶意代码的bat文件,bat文件执行后会从远程服务器【funkytothemoon.live】中下载MSI文件运行,攻击者在MSI文件内打包了一个恶意程序用户运行后调用msiexec.exe执行。
-
Visual Basic
|
MD5 |
de10063b264c19605493f1cc7bd431f4 |
|
类型 |
win32 exe |
|
文件大小 |
959.23 KB |
.NET
|
MD5 |
846f604b9504a4ec3889b88065b9fce0 |
|
类型 |
win32 exe |
|
文件大小 |
134.00 KB |
|
1 |
计算机基础信息获取(硬件信息,系统信息) |
|
2 |
浏览器,邮件客户端密码窃取 |
|
3 |
加密钱包地址获取 |
|
4 |
自我销毁功能 |
|
5 |
提权功能 |
|
6 |
文件执行 |
|
7 |
notepad文本编辑 |
|
8 |
计算机用户遍历 |
|
9 |
获取指定进程句柄 |
|
10 |
获取当前进程列表 |
|
11 |
远程进程销毁 |
|
12 |
反调试 |
|
13 |
沙箱检测 |
|
14 |
虚拟机环境检测 |
|
15 |
设置代理 |
|
16 |
Roblox Cookies获取 |
|
17 |
Discord token获取以及discord API数据交互 |
|
18 |
Telegram API数据交互 |
4.攻击数据关联分析
在对APT-C-43组织涉及的C&C数据后续关联工作中发现一个包含CVE-2017-8570漏洞载荷的RTF可疑文件。
|
MD5 |
52e06cdff689ed4b505400a78fd0502d |
|
类型 |
Rtf |
|
文件大小 |
234.81 KB |
使用受漏洞影响版本的Word程序打开该文件后会触发该漏洞,在rtf文件内嵌的恶意VBA脚本代码会被执行,恶意脚本执行后会从“
http://funkytothemoon.live/updater.exe”中下载载荷运行。
其中内嵌在rtf文件中的VBA代码经混淆处理,VBA代码中残留有注释字符其中包含调试代码以及代码释义,根据注释的代码释义字符可在github中找到函数原型于WMIHACKER等项目中使用过。
VBA代码中C&C地址由base64硬编码保存在代码开头。
虽然该rtf文件的域名与APT-C-43样本使用的域名一致,但由于TTPs差异过大并且以往的披露报告中也未表明APT-C-43组织将CVE-2017-8570漏洞加入其攻击流,尽管CVE-2017-8570并不高明,但是我们还是尝试对该VBA代码进行关联企图发现更多其它信息。
好消息是根据VBA代码的特征我们成功关联到许多使用同样VBA宏代码的RTF文档文件,但坏消息是这批次样本出乎意料的多且样本使用的诱饵名多为“ Purchase Order.doc”、“Inquiry*.doc”、“*REVISED.doc”、“New_Purchase_Order*.doc”、“Products List.doc”等和以谋利目地的黑客组织惯用诱饵名一致,诱饵文件名不仅“泛滥”还存在朝鲜语命名的诱饵文档,半岛地区也并未是APT-C-43组织的首要攻击目标。
|
MD5 |
|
a024743ba161e232a86a9ef3e92f66aa |
|
015e07f55cf7c590671981ad7a06af99 |
|
04f478a39f1108b7695249174a3ea74f |
|
b3e232227978c7f042bc0549e0682eeb |
|
5e616b0768d6ac0db773a3c1e457f80f |
|
134382aece8d68ac25e079a3cf66b6e0 |
|
5f25f2501d3c827b99fe42dd0b54c504 |
|
f3c6a8b4f6c506cfa7934ea72e614fae |
|
0ad8c6a00052b298c952555c7a1e336e |
|
b56371d2c61d27d045e19ac6fadaf8ac |
|
1b6b5c697c2ac15096e3dfb7464f943e |
|
bb16645d4831c9a32eb93c853f79d5c3 |
|
4cffd63038352505d973a5a937b6139d |
|
959e550fa43722abcc8a6d9aa06efb1d |
|
e151f0365c331f4103bf2b9662e3c450 |
|
a845870f81437cc7ed8c215801e519da |
|
94f769831e022748b6bdb9b05bc3ac70 |
|
fddce2b3c97faecb1feb8fea47edf53e |
|
088f51c60a1f7cd28f62387269b06dbf |
|
1a7d74fca6576e8846f43e9f62aa8b5a |
|
a5ab9fb2ebccdb0758cbe6b1616eec8b |
|
53e659a13ee04e3fed2e2f974155953e |
|
874637f03cf154fbef59eaaec27f3481 |
|
d3e8a902675fd7b9cc58da797d8d9362 |
|
49e55370798abca611e43f9e2acdc42f |
|
5c21929e676f528d0ba54f7897ca77f1 |
|
bcff0721025f0867891bae941b7d5531 |
|
817cd940403b29203085e272cd42d8ad |
|
27131d2a5705c4ebe03a84c2e45a6e6c |
|
b2e33303938d9a36cb52d3e10a7cf6ff |
|
0c93169f8638d283e0a77ce5ded64459 |
|
3660a4952bd624fc263d911161f6a645 |
|
fbe8aa13675d79bad8e38cb10e6dc16e |
|
3252f5daa17eabbd1379d1cdac16c77e |
|
8993b9dc793cea854e938282ed94c084 |
|
a7db84284a4208a821145a013d578a8b |
|
96750118e244a2afe885ad737b3dfd84 |
|
7f0c029b16ef30e6622f6896b629cfc6 |
|
f33a9e51be9f0b77bb4b02b1dc2a725d |
|
117d9138f0db7fa7373f336234472248 |
|
f0ec4c26119748dfad981ed0958dd241 |
二、溯源分析
APT-C-43(Machete)组织此前披露活动中使用的攻击流与此次披露的事件中使用的基本一致。
另外,载荷文档中的VBA代码也基本一致。由此我们推测,此次攻击活动的幕后组织应该是APT-C-43(Machete)。
360聚能过去20年实战经验及能力推出360安全云,目前,360安全云已实现对此类威胁的全面检出,全力守护千行百业数字安全。
94.140.112.24
funkytothemoon.live
https://gitlab.com/0coderproducts/myanus/-/raw/master/storage/text.txt
ef36efb72a7da7a0fdd0b023f8ce42f7
2dcaa4314dd9b53bb08d7ef15f29347d
fa320c259a71110f2c4c6f186f5cd067
426daaaeeed5170694fa7be979fb23b7
e035f8ebf54577d7d830ac2d0979fb78
6db200a83e20d21b8ba54cabaef57dd4
1028d1671f0240b3893c94be1c57d307
cb92a31e913c497e5ff3bcc9bd8ec9ed
eb8c5cf7d94886eb30c78c154c58f9bc
84f3b80b601f3e8ebf71c6e150406f93
f7ffa19d0eaa657b493ee7945dbab6f4
9a0d43115d6d13d2179d45f7314a106b
52e06cdff689ed4b505400a78fd0502d
2cb82bc466c08f8dc4eabc5e01d6b94a
f61bd8d14c0a52ff002c301d355b0508
e5503bba88b0864d033a6c8eaa8468c3
e26eab0981e17e430bc026d0cc708f94
b674d6c018277390a019fc162b21dfe4
9f83439b7ab1c2915077732efdd1bbb0
7fe362b7b6aa47f295779b715ae29df0
529981f73a9d46802a113fad3f51a239
3e471464c151bafbce2a255077aeb9c9
315ccd1a5c910bc848ae733b2b14c7c5
2a976b9b309bb5531407542180523f2f
1e0d4032c6e73bf53387c37a73105e23
e0deb1c18d405a60cebe0bf488b60af4
1a77c31f5999e5ea7f5accfe16b227d2
add0695700d041950668ed2930088321
f7acf65b458830c00b9bbb995560068a
49e512ecede634ca6fdb5db30f824620
ef0a923dcf723ac2434413c1ab87c19a
b73d230813dbac58ceff648f830859eb
d1f515f89419e7f9aa9267f376182a53
e61b07a72447629a2b589d012696e5dd
85d3f917a066b71fcece5d36d991ecdc
63eaa9a5fb353d501882f1ea25e7ecc1
dcc775214f4bf5a14839a91705186d6e
de10063b264c19605493f1cc7bd431f4
cb168958c3d084f30e4cacb6e6cd007f
72d80b3e78c609bdd723b933d7e6aa40
ce8b22a85efc4275e55e9a3def16de4c
9cd7fbeb4b4853bf899ba77d3a692e00
76c96fd8daa79006dbb4d2839e47f688
11098b0e31994c6c333d5578f9a106ed
7afe699ecff449aedccdef8fd01db05f
c51fd62ae6ad40db2d5198c2f40ac7cc
68e80337a5f593acd713870dcd245d1b
159ce9a899930eb2a59d3bcf6c2aca29
ad850cc0af21c948993285a5b34fffdd
ef802d28004d815546ee19da6b26fcf5
72e6ebd43a25a0d1f64b2e4759fa8ed3
b4ec606772979f89dcb4163e4b457335
67f0358da5d4758c7764438538e86910
046d26bf4ba1cfc4a29ce5a6a19ff61c
a07ea35390953abca4cade70544d3426
ac9861bae6e24e9c61caf34ba01526b3
ba9a13780e04b4dc147fb06583d6e34f
457cc4316945858377058bf1eb4d5454
13c22332432fe0247478e42feddf37bd
24d2d3b1e3e48945f0a007d98200bff1
6c21bb6127acdc8fc05a7938dcecd255
9dee7e4f7ffef8d6eef0400242992262
9013c5747952c676749ab3e3784b9c01
3ed2deb41513f44219cbc8c750664c6e
38c4ddb68832e35292e6a9514d542933
edb3b8cf4f4e8beb4a6d777b172275bb
dac30ab400ec6be2daa29718ea6d0a3e
55b947793389e6007931c2cf54458bd7
2df511bb7e3ea4ca9bc15215d6120452
c0c27ba1eb3571a81043c4f863e88311
9a6eab20a8ae1e518ec2aee6d94f5738
fa5aecf86404ae20382ee7034cac0a64
1d3ae213da1b533ecec92ccc2a4860c6
419751a7eeecf928a89d7915536f9f7b
579827167eb2766f52f45202e6e74ee7
9c9c2b692c86b8bf65ba0c57367740bb
6b52ca78a87d45f63c3384c2917a92ab
f19af2625c8bf1bd6a2f943d435bfc06
32fc78e43400ad55fedc642cbbc81b7f
6ae48ef89bdb8e7f09385c53e418d854
0d0b4fe4d0e5c73b5214a18226f48a7b
629f687963341861ff29a6a8638517d2
4a36997c4991c98d43acefcbfaedf847
42514a99f61135e23508980478d019c7
bfcf0eda4dff87d933e97ed0bcf9ade3
4c8398648c62dc37623266da7e6e77a4
0c2442282a3f36f3dab3da53e6096906
d450c7f5074a70ca6cecfa987a98f9b3
5a717e07c4bb4b44aeaa3e1f43a301ac
6e6b5a15e8883b8ea28eea9f15f4fed4
f7aaff79dc82862216fd36f848258f45
c6b9cefa1b504f5918b7c01ca666467a
65af0f8d620b1598681809cb7dcdfd92
4055cdf330c3e656f87cb268c478ec81
076bfedff976cf3109eb8eb2830a3f6a
e2936e9386efe79d801512e06c198760
aef53d8eed1dd6fe13efbe3b168c0f32
360高级威胁研究院
原文始发于微信公众号(360威胁情报中心):APT-C-43(Machete)组织疑向更多元化演变
