东南亚新APT组织持续活跃，暗石组织（Saaiwc Group）借多国外交之名进行窃密活动

      2023年1月6日，安恒信息猎影实验室率先披露了东南亚新晋势力Saaiwc Group（ 中文组织名称我们将其定义为“暗石组织”）^[1]，报告中详细描述了该组织针对菲律宾军事部门以及柬埔寨政府部门的攻击活动。活动以ISO文件为初始恶意负载，运行后在本机注册表添加Powershell指令，最后加载Powershell后门PowerDism窃取本机信息并执行任意指令。同月11日，国外安全厂商GroupIB随后也发布研究报告称，与猎影实验室发现同一威胁组织，将其命名为DarkPink

^[2]。

     在上一篇报告中，我们主要披露了Saaiwc（暗石）组织针对菲律宾军事部门、柬埔寨政府部门以及越南的攻击活动中的Powershell负载攻击链。然而，Saaiwc组织活动频繁，我们发现Saaiwc组织除上述攻击目标外，还针对马来西亚地区以及印度尼西亚外交部。从攻击者使用的诱饵文件来看，该组织针对印度尼西亚外交部的攻击活动较多，其次是针对菲律宾军事的攻击活动。本文将补充描述Saaiwc组织在恶意活动中使用的另一条.NET负载的攻击链，并披露近日捕获的该组织针对东南亚地区最新的攻击样本。

      2022年12月20日捕获的Saaiwc组织针对马来西亚及印度尼西亚外交部的攻击样本如下：

      2023年2月1日-2日捕获的Saaiwc组织针对印度尼西亚外交部分攻击样本如下：

以样本一：5a324753451c49654814ff2374b7bac8为例，进行如下分析。

原始样本为ISO文件，该文件包含有如下文件

      其中MSVCR100.dll与诱饵文件为隐藏属性，用户系统默认不显示隐藏文件和文件夹

      DLL文件被加载后，将检索同目录下文件属性为隐藏、只读、系统的文件，并判断文件名中是否含有”.doc”、”~”符，且不含有”$”符。

      若满足以上条件，文件将被读取至内存中。接着对文件末尾480352个字节进行解密，并将解密后的数据写入%Temp%目录下的wct73DF.tmp文件中

      数据解密前后对比如下图

      然后通过注册表键SOFTWAREMicrosoftWindows NTCurrentVersion\Winlogon设置登录自启动指令

       相关环境变量值如下

      后续通过MSBuild执行XML文件wct73DF.tmp，该文件包含有Base64编码后的.NET代码

     .NET马加载后使用Telegram进行通信，API KEY为5829567199:AAGNxhJvQ4LoxKD_dZx_C0FnGQzOGLbruOQ，CHAT ID为5556823494

      实现消息发送功能的函数如下

      该后门实现指令如下

     上文描述了安恒猎影实验室在2022年12月与2023年2月捕获到的.NET攻击链样本。除此之外，我们在2023年1月捕获了Saaiwc组织的Powershell攻击链样本如下：

      从攻击手法来看，本文描述的.NET攻击链与我们1月发现的Powershell攻击链有如下关联：

       但从细节看，三条攻击链又存在以下不同：

      研究人员猜测，攻击链或用于区分目的不同的攻击行动。安恒信息猎影实验室将持续对全球APT组织进行跟踪，专注发现并披露各类威胁事件。