近期,360高级威胁研究院捕获到了一起通过Linux桌面应用进行分发恶意载荷的攻击活动,最终载荷是透明部落组织针对Linux系统使用的攻击武器——波塞冬(Poseidon)组件,通过这一武器完成窃密行动。鉴于这类分发方式在以前的攻击活动中比较少见,这里进行分析说明以免用户中招。
一、攻击活动分析
1.攻击流程分析
本轮攻击中,透明部落组织诱导用户在Linux环境下执行压缩包中的.desktop文件,该类型的文件是 Linux 桌面环境中用于定义应用程序启动器的文件格式,可以视为Linux系统中的快捷文件。该desktop文件运行后会下载并打开诱饵文件以及下载执行ELF恶意样本,并设置持久化,从而实现窃密活动。经分析下载的ELF文件为Golang编译的Poseidon组件。整个攻击流程如下图所示:
2.恶意载荷分析
本次捕获的恶意样本如下所示:
|
MD5 |
e275b8426f032fc7d945795f4e62f924 |
|
文件大小 |
6.33 KB (6486字节) |
|
文件名 |
Agenda_of_Meeting.zip |
样本为一个zip压缩包文件,压缩包解压得到approved_copy.desktop文件,该文件截至分析日在virustotal平台上的检测率依然为0。
去除冗余的“#”后得到如下脚本内容:
该桌面文件的主要功能为下载诱饵文件approved_copy.pdf并打开以欺骗受害者,接着创建隐藏目录local/share并在该目录下保存下载的两个恶意载荷bsdutils-taR和notification-update,然后创建/dev/shm/myc.txt脚本,该脚本会重启计算机并执行恶意载荷,最后在当前用户名下设置一个cron任务来运行myc.txt脚本以维持持久化。
3.攻击组件分析
下载的两个恶意载荷功能相同,以其中一个进行分析说明,样本信息如下:
|
MD5 |
412e437f6b53b1be64a3ccf6286c7c02 |
|
文件大小 |
6.26 MB (6560536字节) |
|
文件名 |
notification-update |
分析发现,该载荷是由Golang编写的ELF文件,属于Mythic框架下的Poseidon组件(https://github.com/MythicAgents/poseidon),执行时会获取当前IP,进程名,进程PID,主机名,操作系统版本,UUID等信息发送到服务端地址:149.248.51.25。
随后等待服务器响应执行响应指令,功能包括:键盘记录、上传下载、端口扫描、屏幕捕获、内存执行、远程管理和命令执行等众多功能,其完整功能可以参考链接(https://github.com/MythicAgents/poseidon/blob/master/Payload_Type/poseidon/poseidon/agent_code/pkg/tasks/newTasking.go)。
二、关联分析
我们在去年8月份也捕获到了透明部落组织使用相同攻击方式的恶意样本,该样本仍然由印度地区上传,可见透明部落组织持续发起针对印度的攻击,样本信息如下:
|
MD5 |
36b19ca8737c63b9c9a3365ff4968ef5 |
|
文件大小 |
6.23 KB (6382字节) |
|
文件名 |
Meeting_Agenda.zip |
样本依然为包含桌面快捷文件的zip压缩包,该桌面应用执行代码和本次样本基本一致,点击桌面应用下载的诱饵文件如下所示,显示错误信息以此来迷惑受害者。
此外,下载的恶意载荷也为Poseidon组件,根据C2地址我们也关联到多个未披露的Poseidon组件,功能都基本一致,不再详细叙述。
三、归属研判
通过对本次攻击活动的相关信息进行深入分析,我们认为此类攻击活动符合透明部落组织以往的TTP,具体表现在:
1)该组织之前使用过Poseidon组件,也都增加了xgb库来进行通信,并且在命名方式上采用了相同后缀“help”,如pickle-help和ziputils-help与之前的bosshelp[1],目的是将自身伪装成合法的应用程序;
2)诱饵PDF显示错误信息迷惑受害者;
3)此外,部分基础设施C2与之前攻击行动有所重叠,并且攻击目标符合该组织攻击对象。
由于边境、文化、种族、历史等原因,南亚地区APT组织攻击活动异常活跃。透明部落组织主要针对印度军事人员、政府人员进行定向攻击,本次攻击采用诱导受害者点击Linux桌面应用进行下发恶意载荷,从而完成窃密活动。由于Linux系统在印度政府中被广泛使用,相信该组织后续会针对Linux系统开发出更多的攻击武器。
因此在这里提醒用户加强安全意识,无论何种操作系统,切勿执行未知样本或点击来历不明的链接等操作。这些行为可能导致系统在没有任何防范的情况下被攻陷,从而导致机密文件和重要情报的泄漏。
MD5:
e275b8426f032fc7d945795f4e62f924
bee07c4e4fa182b1f7579cf95a0b58da
98deebd20a1f6be7b6d7abeb2230bf93
412e437f6b53b1be64a3ccf6286c7c02
36b19ca8737c63b9c9a3365ff4968ef5
65167974b397493fce320005916a13e9
574013c4a22ca2d8d8c76e65ef5e8059
98279047a7db080129e5ec84533822ef
248d4e6bb0f32afd7a1cfb975910235a
43a42f0d5bc1896476552f9faa5d84a9
72f5baffc7e0c6fae43a735f86e782f8
C2:
http://139.59.30[.]67/4200f0916f146d2ac5448e91a3afe1b3/bsdutils-taR
http://139.59.86[.]183/4200f0916f146d2ac5448e91a3afe1b3/notification-update
http://64.227.138[.]127/4200f0916f146d2ac5448e91a3afe1b3/pickle-help
http://134.209.159[.]9/4200f0916f146d2ac5448e91a3afe1b3/ziputils-help
http://64.227.133[.]222/zswap-xbusd
http://192.248.153[.]47/data
http://149.248.51[.]25/data
http://64.176.40[.]100/data
http://108.61.163[.]195/data
[1]https://mp.weixin.qq.com/s/lvSraGnMsl3a1jEUubuvyw
360高级威胁研究院
原文始发于微信公众号(360威胁情报中心):揭秘APT-C-56(透明部落)利用Linux桌面文件的攻击手法
