APT-C-23(双尾蝎)又被称为AridViper 、Micropsia、FrozenCell、Desert Falcon,攻击范围主要为中东地区相关国家的教育机构、军事机构等重要领域,巴勒斯坦教育机构、军事机构等重要领域,以窃取敏感信息为主的网络攻击组织。具备针对Windows与Android双平台的攻击能力。从2016年 5月对巴勒斯坦教育机构、军事机构等重要领域展开了有组织、有计划、有针对性的长时间不间断攻击。
攻击平台主要包括Windows与Android,Android端后门程序功能主要包括定位、短信拦截、电话录音等,并且还会收集文档、图片、联系人、短信等情报信息,PC 端后门程序功能包括收集用户信息上传到指定服务器、远程下载文件以及远控,后门程序主要伪装成文档、播放器、聊天软件以及一些特定领域常用软件,通过鱼叉或水坑等攻击方式配合社会工程学手段进行渗透,向特定目标人群进行攻击。
以前的双尾蝎样本大多采用VC 版本、Delphi 版本,很少见到使用公开商业RAT组件进行攻击,此次发现的样本可能是该组织进攻方式的演变,也可能是双尾蝎组织内部出现了新的分支成员所采用的攻击手法。
我们最早通过一个名为“تسريب–اجتماع–القائد–محمد–دحلان–و–المخابرات–المصريه.pdf(Mohammed Dahlan 指挥官和埃及情报会议 (MoM) 泄漏.pdf)”的文档,Mohammed Dahlan是巴勒斯坦政治家,曾担任巴勒斯坦权力机构在加沙的预防性安全部队的负责人。文档内容如下图所示:
通过文档我们关联到了双尾蝎与之前攻击不太相同的活动,此次攻击行动直接把商业RAT伪装成Threema诱使用户点击打开,Threema是瑞士开发的一款付费的开源端到端加密即时通讯应用程序。
1.伪装Threema通讯软件
1.1 伪装Threema图标
1.2 Dropper
自身是一个drooper程序,内部隐藏加密后的PE数据,首先创建互斥体。
通过解密并加载程序集,运行第二层加载器。
1.3 Loader
1.4 后门组件
最终加载执行的是后门程序QusarRAT,该后门程序被高度混淆。Quasar是使用C#编写远程管理工具,由于其开源,功能丰富的特性,经常被黑客用于各种网络攻击活动,主要功能如下
-
-
-
获取目标计算机系统信息
-
屏幕截图
-
浏览器数据
-
键盘记录
-
植入其他攻击组件
-
-
2.伪装成windows的server.exe程序
2.1加载器
样本首先提取资源中的数据,异或解密并解压缩。
将程序自身拷贝到进程中,并将新的程序集netmodule模块加载到自身进程,附到PE文件后面。
2.2 后门组件
新加载的netmodule模块为njRAT。
主要功能如下:
-
-
-
-
监控屏幕
-
键盘记录
-
窃取浏览器中保存的密码
-
文件管理
-
进程管理
-
开启摄像头
-
-
-
代码片段:
3.关联疑似早期程序
3.1加载器
进一步我们关联到一个可能是双尾蝎组织比较早期的样本,当恶意样本运行会弹出提示:“由agile net保护器的试用版本加密,无法在其他机器上运行。”。
样本也会从资源里面解密后续的payload。
3.2 后门组件
最终同样调用njrat。
4.其他伪装文件
4.1伪装Microsoft、Chrome_Update.exe的njRAT
4.2伪装word的RemcosRAT
5. 脚本文件分析
HoudiniRAT
溯源中我们还发现了houdinirat的脚本木马,这在APT-C-23的以往攻击中从来没有见过。
Houdini RAT由个人编写,国外安全厂商认为作者来自阿尔及利亚,并且通过共享代码库发现该RAT与njw0rm和njRAT / LV的作者njq8有联系,曾被用于针对国际能源行业的针对性攻击,其主要功能如下:
-
执行指定命令
-
更改恶意软件配置。例如,动态DNS名称
-
从系统中删除恶意软件并清除所有快捷方式.lnk
-
上传文件
-
将网站上托管的文件复制到受害者
-
下载文件
-
枚举磁盘信息
-
枚举所有文件和目录
-
枚举进程
-
cmd命令
-
删除指定文件或目录
-
关闭指定进程
-
休眠
代码片段如下图所示:
中东地区局势动荡复杂,黑天鹅事件频发,双尾蝎APT组织在去年多次以巴勒斯坦选举热点信息为诱饵的进行攻击活动。 伪装常用软件麻痹用户是APT攻击的重要手段,大多数用户安全意识不强,很容易被伪装的软件所迷惑,在毫无防范的情况下被攻陷,进而泄漏机密文件、重要情报。
原文始发于微信公众号(360威胁情报中心):疑似APT-C-23(双尾蝎)组织伪装Threema通讯软件攻击分析
