响尾蛇(APT-Q-39)组织以巴基斯坦内政部文件为诱饵的攻击活动分析
2022-8-26 14:4:19 Author: 奇安信威胁情报中心(查看原文) 阅读量:37 收藏

背景

响尾蛇,又名Sidewinder,奇安信内部追踪编号为APT-Q-39。其攻击活动最早可追溯到2012年,该组织主要针对巴基斯坦、阿富汗、尼泊尔、孟加拉等国家展开攻击,以窃取政府外交机构、国防军事部门、高等教育机构等领域的机密信息为目的,攻击活动具有强烈的政治背景。且具备针对Windows与Android双平台的攻击能力。

响尾蛇组织主要利用电子邮件鱼叉式网络钓鱼、漏洞利用文档和DLL侧加载技术来逃避检测并提供有针对性的植入。常采用的攻击诱饵类型为:office文档和Ink。其中Ink执行后会由Powershell释放真正的文件并下载执行hta脚本,加载后续恶意文件;Office文档则是该组织最喜欢的攻击诱饵,通过利用已知漏洞(如CVE-2017-11882漏洞)来执行后续活动。该组织也会利用白加黑的方式来加载恶意文件【1】

概述

一直以来响尾蛇组织都是我们的重点关注对象。近期,奇安信威胁情报中心红雨滴团队在日常的威胁狩猎中捕获了该组织多个攻击样本。该类样本经多段下载器下载并执行最终的文件窃取模块,在组织归属方面,通过对国外厂商进行组织归属时的C2进行分析,我们更倾向于该类行动出自响尾蛇组织之手。在此次文件窃密的攻击活动中,我们总结出此次活动的攻击手段具有以下特点:

(1) 擅用社会工程学,使用更贴切的诱饵,诱饵甚至来自真实文件,并将后续载荷隐藏在文件元数据中;

(2) 多阶段下载,并在执行过程中夹杂Powershell命令。

样本信息

此次共捕获了两个诱饵文件,其基本信息如下:

文件名

Verification_Form.docm

MD5

B1FECB0B98A86E2243B2163D9D720DC0

文件大小

58371 bytes

文件类型

Docm

另一个样本文件名未知,与上述样本的诱饵内容和宏代码几乎一致,为同一批攻击样本。

文件名

未知

MD5

A61A50F712B2CF3262C07EC7516C766E

文件大小

68363 bytes

文件类型

Docm

攻击样本均以巴基斯坦内政部文件为诱饵,诱饵内容如下:

诱饵样本的宏代码将在文档关闭后执行,在受害者终端上落地一个.net可执行文件并执行,随后通过多阶段下载器下载执行后续文件,最终实现文件和信息窃取。

样本分析

诱饵文件

样本携带宏代码,并设置了密码对其进行保护。

点击启用宏并不会立即执行,而是在关闭文档后才执行宏代码,降低受害者发现的可能性。

宏代码首先判断受害者终端是否包含McAfee路径。

如果存在,则使用计划任务的方式执行释放在C:\ProgramData目录下的ksdfhkjhdskdf.txt文件。

若不存在,则直接加载执行。

其中释放的ksdfhkjhdskdf.txt文件隐藏在文件元数据中。

第一阶段下载器

第一阶段下载器ksdfhkjhdskdf.txt的基本信息如下。

文件名

ksdfhkjhdskdf.txt

MD5

F82BD6CCF7370B37B306654A44C3189C

文件类型

.NET pe

上述powershell首先调用ksdfhkjhdskdf.txt的fgjhgjsdgfjssgdfjg() 函数,该函数功能为使用Powershell命令调用hgfhgfhfhgfhfhfhgf()函数执行。

hgfhgfhfhgfhfhfhgf()函数从https://viterwin.club/Psidufyewjhrg.txt下载后续并执行,实现一个下载器的功能。

第二阶段下载器

访问上述网址,可以看到网页保存了一个16进制的PE文件,经转换后为.net编写的dll,其名称为UYdiufygdghgjwgre.dll。

并且UYdiufygdghgjwgre.dll的时间戳为8月18日,这表明此次攻击为最近发生,且有可能还在发挥作用。

同宏代码类似,UYdiufygdghgjwgre.dll执行后判断是否安装杀软Avast。若安装,则设置名为Adobbe的计划任务下载后续并执行;若未安装,则直接从https://viterwin.club/Goonball.txt下载后续载荷保存在到本地,然后设置名为KrGtPwAkf的计划任务加载执行。

第三阶段下载器

该下载器同样是由.net编写的dll文件,且包含两个下载链接,经下载分析,这两个链接托管的都是同一个文件。

窃密器

最终执行的载荷较为简单,其功能实际为信息和文件窃取。将主机信息和用户名拼接后上传至http://fertilebunny.fit/JucwSkgmzoea1.php。

窃取用户目录和其他盘符下指定的后缀文档并上传到服务器。

指定的后缀文件。

可以明确看到收集的文档后缀,均是常见的诱饵文件后缀,由此可以判断,此次攻击行为,应该是其TTP中的一环,通过收集大量的敏感文件来制作诱饵,为后续其他定向攻击提供诱饵文件。

另外,为了避免重复上传文件,在上传文件的同时,会将文件MD5一同上传。

当窃密器重新启动时,便会根据前面上传的主机信息和用户名作为唯一标识符从C2服务器下载已上传文件的MD5列表。收集文件上传时通过比对文件MD5来避免文件重复上传。

溯源关联

一直以来,南亚方向的APT组织互相共享代码、工具等,导致要准确定位到某个组织困难重重。在之前,类似此次的攻击活动已被友商判定出自魔罗桫(Confucius)之手。对此我们持有不同意见,对以往的C2溯源关联来看,我们更倾向于其出自响尾蛇(Sidewinder)之手。之所以国内友商将其归为Confucius是因为趋势科技在2021年8月份时所发布的一篇报告【2】。在报告里率先披露了文件窃取器以及整个攻击活动,由于当时趋势科技将其归属于魔罗桫(Confucius)组织,导致后续其他友商更倾向于将该类窃密活动归属于魔罗桫(Confucius)组织。

趋势在报告中提到了一个邮件服务器mailerservice.directory,这与我们跟踪响尾蛇(Sidewinder)的另一条线索相重合,其邮件服务器的后台登录页面如下:

通过某种方式我们成功登录到该邮件服务器的后台,发现了响尾蛇组织带有Lnk样本的钓鱼邮件,从而佐证了这是响尾蛇(Sidewinder)组织控制的服务器。

而魔罗桫(Confucius)组织搭建的邮件服务器登录后台如下:

综上,我们有中等信心认为类似的文件窃取行动出自响尾蛇(Sidewinder)组织之手。

总结

一直以来,APT组织都擅用社会工程学进行攻击,在制作恶意文档时使用创新技术,文档加密、加签名、隐藏恶意代码、使用漏洞等方式来躲避查杀。因此,在未来的活动中可能会出现各种类型的社会工程学诱饵。

奇安信红雨滴团队在此提醒广大用户,切勿打开社交媒体分享的来历不明的链接,不点击执行未知来源的邮件附件,不运行夸张标题的未知文件,不安装非正规途径来源的APP。做到及时备份重要文件,更新安装补丁。

若需运行,安装来历不明的应用,可先通过奇安信威胁情报文件深度分析平台(https://sandbox.ti.qianxin.com/sandbox/page)进行判别。目前已支持包括Windows、安卓平台在内的多种格式文件深度分析。

目前,基于奇安信威胁情报中心的威胁情报数据的全线产品,包括奇安信威胁情报平台(TIP)、奇安信天狗漏洞攻击防护系统、天擎、天眼高级威胁检测系统、奇安信NGSOC、奇安信态势感知等,都已经支持对此类攻击的精确检测。

IOCs

MD5

A61A50F712B2CF3262C07EC7516C766E

B1FECB0B98A86E2243B2163D9D720DC0

1F25CD231214083DE57A2FC7BC54C4B3

F82BD6CCF7370B37B306654A44C3189C

48F51ACCAB1D29A5BDC0603D222B49E4

5B817C7DC6BF17EF2FA32136B9C106CD

托管域

https://viterwin.club/Psidufyewjhrg.txt

https://viterwin.club/Goonball.txt

https://viterwin.club/Uewrksdfjhkd.txt

https://bonimoni.xyz/isdufjewrghg.txt

C2

http://fertilebunny.fit/JucwSkgmzoea1.php

参考链接

[1] https://ti.qianxin.com/apt/detail/5b2c7065596a10000e5f56ec?name=Sidewinder&type=map

[2] https://www.trendmicro.com/en_us/research/21/h/confucius-uses-pegasus-spyware-related-lures-to-target-pakistani.html


文章来源: http://mp.weixin.qq.com/s?__biz=MzI2MDc2MDA4OA==&mid=2247503450&idx=1&sn=f0ab132cb0845a55fa68e7d43afb98c0&chksm=ea66392ddd11b03bc7f436257bb70f6198f983733755c91d6856026b0379c5f98c0d2b687829#rd
如有侵权请联系:admin#unsafe.sh