Securonix威胁研究团队最近发现了一个与恶意威胁行为者 (MTA) 相关的新恶意攻击活动,Securonix将其跟踪为STEPPY#KAVACH,目标受害者可能与印度政府官员有关。该公司在过去几周观察到的来自STEPPY#KAVACH 的新恶意活动似乎与 SideCopy/APT36威胁行为者共享许多常见的TTP,这些威胁行为者在2021年非常活跃,之前被一些研究人员归因于巴基斯坦。最近观察到的STEPPY#KAVACH恶意攻击活动涉及从有针对性的网络钓鱼活动开始的感染。.LNK文件用于启动代码执行,最终下载并运行恶意C# 负载,充当远程访问木马 (RAT)。SideCopy是一个据信来自巴基斯坦的黑客团队,至少从2019年开始活跃,据说与另一个名为Transparent Tribe(又名 APT36 或 Mythic Leopard)的威胁行为者有联系。
主要目标:印度政府雇员。
有效载荷传递:Securonix将在稍后深入介绍的传递方法涉及网络钓鱼电子邮件,它会引诱用户打开快捷方式文件 (.LNK) 以使用mshta.exe执行远程.HTA有效载荷。
可执行文件:初始感染阶段传递的RA 或可执行文件与SideCopy过去传递的payload极其相似。首先,有效载荷是用C# 编程语言编码的。查看反汇编的源代码时,许多相同的功能虽然已重命名,但保持不变。此外,在ECB 模式下使用三重DES来加密 C2通信也曾在以前的版本中使用过。
诱饵文档:用于诱使用户打开它的文件历来包含对有关印度政府的新闻文章的引用。这些范围包括报告、会议信息、地址列表或一般PDF文档。在最近的这个案例中,诱饵是一个包含一年前新闻文章的.png文件。
C2 托管服务提供商:在可执行文件中发现的每个IP地址似乎都共享来自德国的几个托管服务提供商之一。
观察RAT负载随时间的演变很有趣。虽然C#已成为该组织使用的RAT事实上的编程语言,但代码更改和改进很常见。例如,Securonix在二进制分析部分深入探讨的这个最新版本允许攻击者执行托管在攻击者端的 .vbs脚本;这是通常看到的典型.exe文件执行的补充。
此外,用于执行 .exe文件的C#代码中的方法也发生了变化。代码不再像过去看到的那样调用cmd.exe,而是利用Csharp Process.Start 方法。这些只是Securonix在去年分析各种有效载荷时看到的众多示例中的几个。
Kavach是印度政府推出的访问官方电子邮件的双因素认证系统,是强制安装使用的。
初始突破
威胁行为者对利用快捷方式文件 (.LNK) 执行代码并不陌生。这提供了巨大的灵活性,因为快捷方式可以调用目标系统上的任何进程以及任何命令行参数。通常会看到 cmd.exe、regsvr32.exe或rundll32.exe被调用,但在这种情况下,观察到调用 mshta.exe进程的快捷方式调用远程.hta文件。
查看快捷方式文件,可以看到它正在调用mshta.exe进程。此进程旨在执行HTML 应用程序 (.hta)文件。这种特殊技术目前被列为LOLBin(脱离陆地二进制文件)文件,因为攻击者可以执行带有嵌入式恶意 JavaScript代码的本地或远程 .hta文件。
整个攻击链可以参考下图。
这并不是Kavach第一次成为攻击者的目标。2021年7月,Cisco Talos详细介绍了一项窃取印度政府雇员凭证的间谍活动。
自今年年初以来,以 Kavach为主题的诱饵应用程序已被Transparent Tribe用于针对印度的攻击。
C2和基础设施
.hta和.js文件都引用了两个不同的C2服务器,威胁行为者使用这些服务器托管有效负载并发起攻击。
.LNK文件用来下载和执行在.hta文件中找到的JavaScript的第一个网站托管在 /gallery/目录中,该目录位于一个看似受感染的网站 www.incomtaxdelhi[.]org 上。
hxxps://www.incometaxdelhi[.]org/gallery/thumnails/
攻击者利用已被控制的合法网站来暂存有效负载和托管恶意文件是常见的做法。这允许攻击者利用合法网站已经建立的信誉来绕过黑名单或IP信誉过滤器。通常,与这种情况一样,该网站使用有效的TLS证书来加密服务器和客户端之间的网络通信。
研究人员发布该分析文章时,托管在/mix/目录中的攻击者恶意文件已被删除。
接下来,生成的.js文件尝试从IP地址155.133.23[.]244下载8292.png和mm1.exe 等有效负载,该地址也是mm1.exe二进制文件中硬编码为C2连接IP的IP地址文件。有趣的是,当没有提供文件或目录时,IP地址会重定向到hxxps://email.gov[.]in。IP地址由托管服务提供商Contabo在德国托管。
研究人员检测到一个类似的IP地址,该地址也被重定向到mail.gov[.]in,即 78.46.21[.]248。然而,在这种情况下,它并没有直接参与攻击,但有一些惊人的相似之处。
结论和建议
总的来说,很明显这是一次针对印度政府的针对性很强的攻击。研究人员知道二进制文件mm1.exe正在寻找一个非常特殊的数据库文件(kavach.db),这意味着攻击者对他们的目标有内部知识。其中一些知识包括其安全控制,例如员工正在使用哪个MFA客户端。
诱饵图片还引用了印度.gov网站的一篇新闻文章,攻击者用来托管恶意HTA文件的受感染网站也位于印度。此外,攻击者的C2服务器重定向到印度政府拥有的电子邮件站点这一事实为攻击的性质和目标提供了更多证据。
根据从威胁行为者使用的RAT获得的二进制样本的相关数据,该活动一直在针对去年未被发现的印度目标进行。根据研究团队最近发现的指标,可以得出结论,威胁行为者仍然活跃并且没有停止行动的计划。
研究人员提供的建议和缓解措施如下:
-
避免打开电子邮件附件或单击来自不受信任来源的嵌入式链接;
-
监控mshta.exe的使用情况,尤其是建立外部连接;
-
部署额外的进程级日志记录,例如Sysmon以获得额外的日志覆盖率;
-
扫描终端以搜索查询可能的入侵迹象;
1、https://www.securonix.com/blog/new-steppykavach-attack-campaign/
2、https://thehackernews.com/2022/12/researchers-warn-of-kavach-2fa-phishing.html
原文始发于微信公众号(网空闲话):攻击印度政府强制的双因素认证Kavach-巴基斯坦黑客有高招!