疑似 Mysterious Elephant 组织利用 CHM 文件攻击南亚多国

APT 1个月前 admin

228 0 0

团伙背景

Mysterious Elephant（“神秘象”），是由国外安全厂商卡巴斯基在 2023 年第二季度 APT 趋势报告中命名的一个南亚 APT 组织^[1]。国内友商曾披露的归属于蔓灵花（Bitter）组织的新后门 ORPCBackdoor 在神秘象的攻击活动中出现^{[2, 3]}，考虑到归因上可能存在的差异，友商也选择对使用 ORPCBackdoor 后门的团伙赋予不同于 Bitter 组织的新编号进行追踪。根据目前的公开信息，Mysterious Elephant 组织与南亚地区多个 APT 组织存在关联，尤其和 Bitter 组织的攻击手法相像。该团伙的攻击目标包括巴基斯坦等国。

事件概述

奇安信威胁情报中心近期发现一批较为特别的 CHM 文件，其中 html 文件的脚本内容十分简单，只是执行一个外部文件（比如下图中的 “UsoCoreService”）。由于 CHM 脚本自身不包含明显的恶意代码，导致这些样本在 VT 上的报毒数很低。

疑似 Mysterious Elephant 组织利用 CHM 文件攻击南亚多国

CHM 样本带有图片诱饵，结合文件名称中的 “.pdf.chm” 双扩展名伪装为 PDF 文件，诱饵内容与巴基斯坦、孟加拉国、缅甸等南亚多国有关，涉及政府机构、军事、外交、经济等行业。在样本关联过程中，我们还发现攻击者模仿红队手法制作的钓鱼样本，诱饵内容表明攻击对象为巴基斯坦国防军事部门。

CHM 执行的外部文件实际是用 C# 编写的后门，后门代码与一篇披露 Bitter 组织攻击武器库的报告^[4]涉及的恶意样本相似。这篇报告提到的用于存放攻击武器的服务器（libraofficeonline[.]com）也与 Mysterious Elephant 有关，上面托管的一些攻击武器正是已披露的 Mysterious Elephant 恶意软件^[5]（包括 ORPCBackdoor、WalkerShell、DemoTrySpy 等）。

由于南亚地区 APT 组织之间错综复杂的联系和多方安全研究人员不同的追踪视野，目前业界对于是否将 Mysterious Elephant 和 Bitter 区分开来还没有达成一致意见。为避免引入更多分歧，本文基于恶意样本相似性认为这些特殊的 CHM 攻击样本和 C# 后门很可能来自 Mysterious Elephant 组织。

概述详细分析

CHM 样本信息如下，其中一些样本此前也被其他安全研究人员披露过^[6~8]。

MD5	文件名	诱饵主题
3df2d899d6d8d827adf2d92c91b3b32b	Upcoming high level visit from China.pdf.chm	中国访问巴基斯坦期间可能达成的成果
b38aca4f2d80484d5523f1eada9afe76	STRATEGIC RESTRAINT REGIME IN SOUTH ASIA.pdf.chm	巴基斯坦与印度关系
75ee4f79a3ed4137a918888482ded6a1	defoffsetpolicy.pdf.chm	巴基斯坦国防政策
8e2377022b80cdc51d2c98bbf0c9d313	Myanmar Ship Clearance OM-2209.pdf.chm	缅甸海军船只请求驶入孟加拉国水域
2f7ee7c1c75fbfdc1d079fcc6e325d19	PM Thanks Letter FAO Xi an Pak.pdf.chm	巴基斯坦访问后的感谢信
19b767974205b66a12a28ccdb69943ed	Talking Points IAEA GC 2024.pdf.chm	中国–巴基斯坦双边会议要点
aeb0b7e40f12ba093ff523fc124383ae	Bilateral Cooperation Pakistan China.pdf.chm	巴基斯坦–中国双边合作
1645f406ab4e0d54e477330473c76664	SR ICT 030924.pdf.chm	巴基斯坦军事
d0030f5411698bb65f1cd281c5d302bc	26082024_DSR_No.pdf.chm	巴基斯坦伊斯兰堡警察局报告
232bb5b436c0836370fde34ca7b7138a	A Letter of China Development Bank.pdf.chm	中国发展银行来信
f26435785dd856ddb1fbcc682547aab0	CAPSTONE Course 2024.pdf.chm	孟加拉国政府文件
68d458d1df36eaf885116a1b6801ab42	Notice EC10 Power.pdf.chm	巴基斯坦特别投资促进委员会（SIFC）关于电力部门的会议

部分诱饵图片如下所示：

相关的 C# 后门信息如下：

MD5	文件名
27ac8eb519679530999e786281e9a578	FileViewer.exe
115fb536e981c87873b0f35cb0059d93	STRATEGIC_RESTRAINT_REGIME_DETAILS.exe
4e8e1339f9754d8d2c5f74cb03f44fbb	Guidelines_on_Offset_Program.exe
00f2df1829893caa85f3968961b6e736	UsoCoreService.exe
a59fe2c89b0000a360a8468f2b990c73	IAEA_GC_2024.exe；Bilateral_Cooperation.exe
a3a06d50438681fc9917e22c41bd2cab	SR_ICT.exe
316e8d798f7db625c207532e2f7a5d38	Annexure.exe
616b29bd9e20fc032bc54acd5ed8aff0	RuntimeIndexer.exe
ee64e70388e422dd9a620c3d18613268	RuntimeIndexer.exe

钓鱼样本构造

根据已披露的样本^{[8, 9]}，攻击者通过加密压缩包的方式投递钓鱼样本。CHM 文件和 C# 后门均存在于压缩包中，但 C# 后门设置了文件隐藏属性，导致解压后受害者只能看到 CHM 文件。即使有些具备安全意识的受害者会用杀毒软件扫描 CHM 文件，但由于 CHM 文件本身不携带太多的恶意脚本，很可能被判定为安全，进而使受害者直接打开诱饵 CHM 文件，启动隐藏的 C# 后门。

C# 后门

C# 后门采用 Task 异步编程，其中一部分经过 ConfuserEx 加壳处理。功能较为简单，主要执行 C2 服务器下发的 cmd 命令，个别后门还支持其他攻击指令。

获取C2

C# 后门获取 C2 服务器信息的方式各有不同，包括如下几种。

（1）C2 服务器信息直接硬编码在代码中。

（2）从配置文件中解密。

比如 00f2df1829893caa85f3968961b6e736 和 316e8d798f7db625c207532e2f7a5d38 均是读取同目录下的 SysConfig.enc 文件，再用 AES 解密得到 C2 服务器的信息。

（3）伪装为看似合法的网络服务访问请求，从远程服务器响应内容中解析。

以 a3a06d50438681fc9917e22c41bd2cab 为例，GetIpInfo 函数请求 “hxxp://easyiplookup.com:5080/main/get_ip_data?userId=zqlCYqgp4f&ip=8.8.8.8”

从响应内容的 RequestId 字段提取内容，base64 解码得到 C2 信息 “91.132.92.231:5959”。除了 5959 端口，同一 IP（91.132.92.231）的 6060 端口也被发现作为 C2 信息传递给 C# 后门。通过这种方式，攻击者可以灵活地更改后门实际连接的 C2 服务器 IP 地址和端口。

easyiplookup.com 域名的 80 端口看起来运行着 IP 查询服务，网站脚本 custom.js 调用 fetchIpInfo 函数从 ip-api.com 获取访问者的 IP 信息，并显示在页面上。点击网页的 IP 查询按钮 “Lookup” 提交表单后，会访问与后门请求 C2 信息一样的 URL（“hxxp://easyiplookup.com:5080/main/get_ip_data”），表明该网站在攻击者的控制之下。

其他用相同方式获取 C2 信息的 C# 后门有：

MD5	4e8e1339f9754d8d2c5f74cb03f44fbb
请求URL	hxxp://winfreecloud.net:6396/athena/identification?name=f0inqMaHra&addr=6.5.6.2
获取的C2信息	162.252.175.131:8246

MD5	115fb536e981c87873b0f35cb0059d93
请求URL	hxxp://winfreecloud.net:6396/athena/identification?name=9az1g3qdYp&addr=9.9.9.9
获取的C2信息	46.183.186.208:6060

winfreecloud.net 和 easyiplookup.com 均解析到相同的 IP（151.236.9.75 和 84.32.84.32）。

后门功能

后门连接 C2 服务器后用感染设备的主机名和用户名作为受害者标识信息。

大多数后门的功能只有远程命令执行或者创建 cmd.exe shell，用于攻击者进行后续操作。

部分后门还支持其他 C2 指令。

样本 a59fe2c89b0000a360a8468f2b990c73 支持的 C2 指令如下。

C2指令代码	功能
dir	列出指定目录下的文件名和子目录名
cat	读取文件内容
copy	复制文件
whoami	显示用户名
upload	上传文件
tasklist	列出所有进程信息和对应的可执行文件路径
schtasks	列出所有计划任务的名称和描述
download	下载文件
systeminfo	获取系统信息，包括系统版本、序列号、空闲物理内存大小
其他	命令执行

样本 27ac8eb519679530999e786281e9a578 支持的 C2 指令如下。

C2指令代码	功能
dir	列出指定目录下的文件名和子目录名
copy	复制文件
upload	上传文件
download	下载文件
其他	命令执行

溯源关联

关联样本

后门样本 316e8d798f7db625c207532e2f7a5d38 还出现在另一个压缩包中，从配置文件 SysConfig.enc 解密出 C2 信息 46.183.187.42:443。

MD5	b28bb7cabfb12e9bc5b87692b065c83a
文件名	Islamabad_Security_Dialogue_Pub.rar

根据压缩包中一个似乎不会发挥作用的文件 filename.lnk（MD5: ae55cb4988f2f45197132631f5a86632）可以关联到具有类似压缩包目录结构的钓鱼样本。

序号	MD5	VT上传时间	压缩包中文件时间戳
1	3b669279c534987d6d7cab08d85df55a	2024-06-19 04:59:57 UTC	2024-06-18
2	432230af1d59dac7dfb47e0684807240	2024-07-02 06:04:24 UTC	2024-06-28
3	865483fea76242e687aa9e76b1a37f28	2024-07-09 10:04:58 UTC	2024-07-09
4	af669dfa074eb9b6fda3fd258f58e2d2	2024-07-16 02:34:10 UTC	2024-07-10
5	7728fee377137e83e9bd1c609cc166c0	2024-07-19 10:45:35 UTC	2024-07-11
6	dad7d9528e9506ebd0524b3ebd89ddf2	2024-07-18 10:36:13 UTC	2024-07-18

上述关联样本可分为两类，样本 1~4 以简历文档作为诱饵，后门为 C++ 编写，使用腾讯云服务作为 C2，属于国内红队的攻击样本。

而样本 5 和 6 的诱饵 PDF 内容与巴基斯坦国防军事有关，使用的 C# 后门（MD5：5e7dba4aafb8176ab026e2f4aa3211dd）代码与前面提到的 CHM 文件相关后门一致，连接的 C2 服务器信息也通过 AES 解密从配置文件 “license” 中获取。两个压缩包的配置文件相同，C2 均为 158.255.215.115:443。

基于这些样本在 VT 上的上传时间和压缩包中的文件时间戳，我们认为攻击者在已公开的红队钓鱼样本基础上，模仿制作了针对巴基斯坦的攻击样本。

攻击归属

C# 后门与报告^[4]提到的 libraofficeonline[.]com 服务器上 op 目录托管的恶意样本相似。

以后门 a59fe2c89b0000a360a8468f2b990c73 为例，op 目录中与该样本相似的恶意软件如下表所示，相似之处包括：使用Task异步编程，向 C2 服务器发送机器名和用户名作为受害者标识，使用相似的函数名称和输出信息字符串。

相似文件名	MD5	说明
figlio.exe	25e5d1790f61e6a45720da0a500be131	C#后门，cmd命令执行
SearchApp.jpg	16c33dbd1d7f6f98827e14f9d6d918e7	C#后门，cmd命令执行
sparrow.jpg	b7289c3f37a4305b4d6898f2e71fbb2c	C#后门，支持多种指令

报告^[4]将 libraofficeonline[.]com 归属于 Bitter 组织，而该服务器上托管的恶意软件有一些是其他安全厂商披露的 Mysterious Elephant 组织攻击武器^[5]。

文件名	MD5	说明
page/MicrosoftEdge.msi	6ff3f0a2f7f1ec8a71bed37496e2e6fa	包含ORPCBackdoor
msas.msi	7dc1d21554dce36958614817e3f531e6	包含ORPCBackdoor
msws.msi	c13c4c025c5c779d5dc8848ef160d5da	包含ORPCBackdoor
Hazel.exe	1ad818406f06d1cb728b5d0f324fb3b5	WalkerShell
Pro-CLA.exe	79ed88fa92f87bf8f36ed98c44436472	WalkerShell
GOG.exe	36edd4fe5ee415f81e2ef8da75f23734	DemoTrySpy
Gogo.exe	4b6b8135c2d48891c68cc66cd9934c40	DemoTrySpy
Nix.exe	eb9cd31960e3bc9da5a3a03cd0055180	NixBackdoor

由于 ORPCBackdoor 一开始被认为是 Bitter 组织的新后门，后面一些国内外安全厂商将使用 ORPCBackdoor 的团伙作为新组织 Mysterious Elephant 追踪，这或许是导致上述归因不一致的原因。本文为和以往披露 ORPCBackdoor 攻击活动的开源报告保持一致，避免引入更多分歧，因此认为此次针对南亚多国的 CHM 文件和 C# 后门很可能源自 Mysterious Elephant 组织。

总结

此次攻击活动相关的 CHM 样本针对南亚地区的巴基斯坦、孟加拉国等地，涉及政府机构、国防军事、外交等部门。攻击者采用了一种不太常见的借助 CHM 样本的攻击手段，即 CHM 文件直接启动外部文件，而不带有其他恶意代码。与 CHM 相关的外部文件均是 C# 后门，一部分 C# 后门将获取 C2 地址信息的请求伪装为访问看似合法的网络服务，再从响应结果中解析出 C2 地址。攻击者还曾模仿红队攻击样本，并在其中使用了相同的 C# 后门。以上迹象表明该攻击团伙一直在尝试不同的攻击手段，并努力对开展的攻击活动进行伪装。

防护建议

奇安信威胁情报中心提醒广大用户，谨防钓鱼攻击，切勿打开社交媒体分享的来历不明的链接，不点击执行未知来源的邮件附件，不运行标题夸张的未知文件，不安装非正规途径来源的APP。做到及时备份重要文件，更新安装补丁。

若需运行，安装来历不明的应用，可先通过奇安信威胁情报文件深度分析平台（https://sandbox.ti.qianxin.com/sandbox/page）进行判别。目前已支持包括Windows、安卓平台在内的多种格式文件深度分析。

目前，基于奇安信威胁情报中心的威胁情报数据的全线产品，包括奇安信威胁情报平台（TIP）、天擎、天眼高级威胁检测系统、奇安信NGSOC、奇安信态势感知等，都已经支持对此类攻击的精确检测。

IOC

MD5

(CHM)

3df2d899d6d8d827adf2d92c91b3b32b

b38aca4f2d80484d5523f1eada9afe76

75ee4f79a3ed4137a918888482ded6a1

8e2377022b80cdc51d2c98bbf0c9d313

2f7ee7c1c75fbfdc1d079fcc6e325d19

19b767974205b66a12a28ccdb69943ed

aeb0b7e40f12ba093ff523fc124383ae

1645f406ab4e0d54e477330473c76664

d0030f5411698bb65f1cd281c5d302bc

232bb5b436c0836370fde34ca7b7138a

f26435785dd856ddb1fbcc682547aab0

68d458d1df36eaf885116a1b6801ab42

(C#后门)

27ac8eb519679530999e786281e9a578

115fb536e981c87873b0f35cb0059d93

4e8e1339f9754d8d2c5f74cb03f44fbb

00f2df1829893caa85f3968961b6e736

a59fe2c89b0000a360a8468f2b990c73

a3a06d50438681fc9917e22c41bd2cab

316e8d798f7db625c207532e2f7a5d38

616b29bd9e20fc032bc54acd5ed8aff0

ee64e70388e422dd9a620c3d18613268

(压缩包)

b28bb7cabfb12e9bc5b87692b065c83a

7728fee377137e83e9bd1c609cc166c0

dad7d9528e9506ebd0524b3ebd89ddf2

C&C

162.252.172.67:443

95.156.206.105:443

46.183.187.42:443

158.255.215.115:443

91.132.92.231:5959|6060

162.252.175.131:8246

46.183.186.208:6060

URL

hxxp://easyiplookup.com:5080/main/get_ip_data

hxxp://winfreecloud.net:6396/athena/identification

参考链接

[1].https://securelist.com/apt-trends-report-q2-2023/110231/

[2].https://paper.seebug.org/2075/

[3].https://paper.seebug.org/3000/

[4].https://strikeready.com/blog/open-sesame/

[5].https://mp.weixin.qq.com/s/Uf708Khax2rJaUhNo1Mz1Q

[6].https://www.securonix.com/blog/analysis-of-phantomspike-attackers-leveraging-chm-files-to-run-custom-csharp-backdoors-likely-targeting-victims-associated-with-pakistan/

[7].https://x.com/StrikeReadyLabs/status/1834599289391108556

[8].https://x.com/__0XYC__/status/1843593304010813479

[9].https://x.com/__0XYC__/status/1800129922054447220

点击阅读原文至ALPHA 7.0

即刻助力威胁研判