近日,360高级威胁研究院监测到了疑似透明部落的一批攻击活动样本。我们推测是之前行动未被发现的样本,样本利用诱饵文档最终释放其专属木马CrimsonRAT。
一、攻击活动分析
1.攻击流程分析
利用伪装简历的诱饵文档进行攻击活动。通过Dropper释放CrimsonRAT对中招用户持续监控。
2.载荷投递分析
2.1 伪装文档
我们捕获的样本名字是Sonam kaur_2,文档名称类似样本下面这个文件名称是Sonam Singh的文档,同样采用人名作为文档名称,Sonam Singh的文档内部是一份个人工作简历。
我们推测是同一批攻击行动,与之不同的是,我们捕获的恶意文档打开内部只包含宏代码,一旦用户疏忽点击了启动宏功能,内部隐藏的恶意宏代码自动运行。
我们还在推特找到了同名账户,在简介处我们可以发现地位位置在孟买,并且是一家财富咨询公司。推文更新截止时间为2021年7月,虽然这与我们推测的行动时间相一致,暂时无法判断这个推特与文档是否有关联。
宏代码在ALLUSERSPROFILE目录下伪装成Mdiaz相关程序,从恶意文档的指定结构中读取隐藏的数据并写入文件中,可以看出APT-C-56(透明部落)利用简单的字符串拼接技术,对exe字符进行拆解,以躲避杀毒引擎的静态查杀。
启动释放的恶意PE程序,同时进一步读取内部隐藏的正常文本文档数据,释放到worddcs.docx,最后打开这个文档伪装迷惑用户。
2.2 Dropper
释放的PE文件是一个.Net的Dropper程序。首先判断是否存在zip文件,如果不存在将读取资源节并将其中的数据写入文件,如果存在则删除后重新写入。
判断目录下是否有以.ford为后缀的文件,如果有,直接创建启动文件。没有指定后缀文件则直接进入后续释放流程。
随后判断资源内是否存储有后门RAT,如果没有,通过网络连接从C&C下载并运行。
3.攻击组件分析
下载后释放的RAT后门伪装成FireFox浏览器,是透明部落一直维护和使用的CrimsonRAT。
控制码与命令如下:
|
指令 |
控制码 |
|
枚举进程 |
gey7tavs |
|
上传gif |
thy7umb |
|
枚举进程 |
pry7ocl |
|
设置自启动 |
puy7tsrt |
|
下载文件 |
doy7wf |
|
设置截屏 |
scy7rsz |
|
获取文件属性 |
fiy7lsz |
|
查看截图 |
cdy7crgn |
|
csy7crgn |
|
|
csy7dcrgn |
|
|
停止截屏 |
sty7ops |
|
桌面截图 |
scyr7en |
|
获取磁盘信息 |
diy7rs |
|
参数初始化 |
cny7ls |
|
删除文件 |
dey7lt |
|
获取文件信息 |
afy7ile |
|
删除用户 |
udy7lt |
|
搜索文件 |
liy7stf |
|
获取用户信息 |
iny7fo |
|
执行文件 |
ruy7nf |
|
移动文件 |
fiy7le |
二、归属研判
通过宏代码的相似以及CrimsonRAT判断这是APT-C-56(透明部落)的攻击活动, 此次发现的样本,与我们之前发布的APT-C-56(透明部落)攻击分析报告有多处相似的地方。
1.与之前攻击行动相关分析
1.1宏代码相似
下图为之前披露行动中的分析:
下图为此次攻击行动中的分析:
1.2 Dropper相似
下图为之前披露行动中的分析:
下图为此次攻击行动中的分析:
2.与之前行动差异分析
上次的攻击活动直接通过资源释放RAT。
此次发现的样本通过网络连接下载后续RAT。
印巴冲突因为边境、文化、种族、历史等原因一直存在,地缘冲突导致的军事、政治刺探始终是该区域的主旋律,印巴之间APT组织之间相互伪装、攻击的事件时有发生,主要是为了迷惑安全厂商分析人员,达到避免暴露自身的目的。巴基斯坦的sidecopy组织一直模仿响尾蛇的攻击方式,是否印度组织也会模仿透明部落的进行攻击活动。
360高级威胁研究院
原文始发于微信公众号(360威胁情报中心):APT-C-56(透明部落)伪装简历攻击活动分析
