透明部落(Transparent Tribe),别名APT36、ProjectM、C-Major,是一个具有南亚背景的APT组织,其长期针对周边国家和地区(特别是印度)的政治、军事进行定向攻击活动,其开发有自己的专属木马CrimsonRAT,还曾被发现广泛传播USB蠕虫。
在今年年初,透明部落与SideCopy被发现利用相同的基础设施并使用相同主题针对相似目标进行攻击,其利用走私情报相关诱饵、伪装成印度国防部邮件针对印度频频发起攻击。与之相关联的SideCopy更新了基于Golang的Linux窃密武器。从去年开始一直针对印度的政府、公共部门、各行各业包括但不限于医疗、电力、金融、制造业等保持高强度的信息窃取活动。
近期,360高级威胁研究院监测到透明部落利用外贸主题的链接进行攻击活动样本。样本伪装成scr表格文件,并同时释放持久化组件与RAT对中招用户持续监控。这次使用的RAT既不是其专属木马CrimsonRAT,也不是常用的ObliqueRAT,我们通过持久化组件的特征相似将这次攻击与透明部落相关联。
一、攻击活动分析
1. 攻击流程分析
利用外贸主题的链接进行攻击活动样本。样本伪装成scr表格文件,并同时释放持久化组件与RAT对中招用户持续监控。
2. 载荷投递分析
2.1 链接
通过下载链接下载压缩包文件在特定外贸目标群体中广泛传播,文件名称使用requirement.rar,最终释放QUANTITY AND SPECIFICATIONS.SCR文件,伪装成xls表格图标,引诱用户启动文件。
2.2 Dropper
伪装的文档的二进制样本从自身释放一个持久化组件、一个后门组件。
如果释放lnk持久化组件失败则会从当前目录的a.exe和b.exe文件分别读取文件内容。
将当前文件拷贝复制为keylogger.exe文件并将缓冲区的内容写入。
如果成功释放lnk持久化组件,则直接将内部隐藏的RAT文件伪装成firefox释放并运行。
2.3 持久化
该组件在程序运行开始sleep休眠,躲避沙箱检测。
获取用户环境变量,随后释放lnk文件到startmenu目录来开机启动。
通过com组件创建lnk文件,伪装成常用软件迷惑用户。
3. 攻击组件分析
这次使用的RAT既不是其专属木马CrimsonRAT,也不是常用的ObliqueRAT。
二、技战法变化
1.与之前攻击行动相关分析
1.1 通过调用com组件ishelllink生成lnk文件
图3
图4
1.2 设置用户环境目录的启动项来持久化驻留
图5
图6为此次攻击行动中的分析:
图6
1.3 在程序运行前长时间sleep
下图为之前披露行动中的分析:
图7
图8为此次攻击行动中的分析:
图8
2.与之前行动差异分析
在之前的行动的使用ObliqueRAT:
此次攻击中使用了一款简单的RAT,包含屏幕监控、键盘监控、网络传输的功能,我们怀疑是行动中未被发现的组件。
通过持久化组件的特征代码相似度判断这是透明部落的攻击活动,在之前的攻击活动中,透明部落使用了一个持久化组件用于驻留,在此次发现的样本中,我们同样发现了一个相似的持久化组件,二者的代码相似度很高。
图9为之前披露行动中的分析:
图9
图10
37f8747ec46b0b77e7e8aea44ff86bb0
bb96a94723eb2ed576194d6a15237aeb
3b0d27e32058c9eb22cf30fab72ab75c
acd76d6453f34d241fbe82304eb0b8c6
145.14.145[.]231
http://freeshopers.000webhostapp[.]com/items.php
360高级威胁研究院
360高级威胁研究院是360数字安全集团的核心能力支持部门,由360资深安全专家组成,专注于高级威胁的发现、防御、处置和研究,曾在全球范围内率先捕获双杀、双星、噩梦公式等多起业界知名的0day在野攻击,独家披露多个国家级APT组织的高级行动,赢得业内外的广泛认可,为360保障国家网络安全提供有力支撑。
原文始发于微信公众号(360威胁情报中心):APT-C-56(透明部落)利用外贸链接伪装文档攻击分析
图7
