摩诃草组织(APT-Q-36)借Spyder下载器投递Remcos木马
2023-12-1 17:59:1 Author: www.freebuf.com(查看原文) 阅读量:5 收藏

团伙背景

摩诃草,又名Patchwork、白象、Hangover、Dropping Elephant等,奇安信内部跟踪编号APT-Q-36。该组织被普遍认为具有南亚地区背景,其最早攻击活动可追溯到2009年11月,已持续活跃10余年。该组织主要针对亚洲地区的国家进行网络间谍活动,攻击目标包括政府、军事、电力、工业、科研教育、外交和经济等领域的组织机构。

事件概述

Spyder恶意软件与摩诃草组织存在关联[1],主要功能是下载并运行C2服务器下发的可执行文件。奇安信威胁情报中心观察到自7月以来,Spyder至少经过了两轮更新,并发现攻击者借助Spyder向目标主机植入Remcos木马。根据捕获的恶意样本,相关攻击活动有如下特点:

  1. Spyder下载器中一些关键字符串不再以明文形式出现,而是经过异或加密处理,以避开静态检测,同时恶意软件与C2服务器的通信数据格式也做了调整;
  2. 植入的Remcos木马采用的都是当时能获取到的最新版;
  3. 通过Spyder样本的名称和配置信息,可以推测受害者包括巴基斯坦、孟加拉国、阿富汗等国的目标。

详细分析

捕获到的Spyder和Remcos样本基本信息如下:

MD5创建时间数字签名时间戳类型
05e59dcc5f4b657696a92fd2b3eac90d2023-07-09 17:05:45 UTC2023-07-11 07:14:37 UTCSpyder v1
2491942d8cd5807cd4615a07ad26a54a2023-08-11 13:57:16 UTC2023-08-14 09:59:22 UTCSpyder v2
6699190f7f6574029432b2678e1f40ac2023-09-09 18:49:44 UTC2023-09-20 07:59:23 UTCSpyder v3
bc743f1b24e8e585e889d77099ad0ac22023-10-09 08:26:21 UTC2023-10-11 06:42:28 UTCSpyder v3
656b523031d9ffda7b8b1740542b653c2023-10-09 08:26:21 UTC2023-10-11 07:08:13 UTCSpyder v3
57b805f4c496c5d25acbe45bfaf7ee112023-06-24 16:04:14 UTC2023-07-04 07:12:16 UTCRemcos v4.8.0 Pro
68f4f27219840b4ba86462241f740bbd2023-06-15 17:58:26 UTC2023-08-05 07:49:12 UTCRemcos v4.9.0 Pro
5eae3dee275dbca878d145817707597f2023-06-15 17:58:26 UTC2023-08-31 10:27:56 UTCRemcos v4.9.1 Pro

以上样本使用的数字签名有3个:

签名者名称序列号
GREATIV LIMITED3B D9 2C E9 98 70 95 F7 46 23 D7 C3 7E 8D 34 4E
SYNTHETIC LABS LIMITED19 66 BC 76 BD A1 A7 08 33 47 92 DA 9A 33 6F 69
RUNSWITHSCISSORS LTD42 4F 08 5F 42 16 FD 91 7A 4B 0B E9 69 82 A4 D9

1701424439_6569ad376305a4d09a656.png!small?1701424440303

1701424447_6569ad3f5ca0c51bdd186.png!small?1701424447963

1701424453_6569ad45a66ea2fe1da34.png!small?1701424454372

Spyder的更新

1version2

与版本1相比,版本2将一些明文字符串(比如API名称和收集主机信息的格式化字符串)进行了异或加密。

(1) API名称

1701424461_6569ad4d5a3ff6ba63bcb.png!small?1701424462326

1701424469_6569ad5536f7a33b0684f.png!small?1701424470495

(2) 收集主机信息的格式化字符串

1701424478_6569ad5ebf4767e553c4c.png!small?1701424479328

1701424501_6569ad757178d15ddca99.png!small?1701424501977

Spyder在回传收集的主机信息前,会与C2服务器进行第一次交互,如果响应数据为”1”,版本1进入休眠死循环,而版本2改为退出进程。

1701424509_6569ad7de23e9b26bb1a7.png!small?1701424510602

此外,版本2在POST请求的数据末尾添加”&ver=2”。下面是Spyder样本根据C2指令部署后续可执行文件时,版本1和版本2构造请求数据所用的格式化字符串。


Spyder v1Spyder v2
获取C2指令hwid=%s&deploy=1hwid=%s&deploy=1&ver=2
获取下载文件信息hwid=%s&deploy=%d&bakmout=1hwid=%s&deploy=2&type=%d&ver=2
部署完成hwid=%s&deploy=0hwid=%s&deploy=3&type=%d&ver=2

2.version3

版本3最大的变动是以JSON字符串的形式表示与C2服务器交互的数据,并且在其中添加version为3的信息。

1701424549_6569ada53bb135edc6b1c.png!small1701424528_6569ad90e014f3ed520a4.png!small?1701424530158

JSON字符串再经过base64编码,拼接在字符串”data=”后,作为POST请求的数据。

1701424569_6569adb94ada0d95ba763.png!small?1701424570170

Remcos木马

在请求C2服务器的指令循环中,Spyder除了根据下发的指令部署后续可执行文件,还会在循环一开始从配置数据中的URL拉取一个可执行文件。

1701424579_6569adc31ddef50b409c8.png!small?1701424579855

1701424586_6569adcae149c2bc00bca.png!small?1701424587792

我们观察到有两个Spyder样本通过这种方式下载了Remcos木马。

Spyder MD505e59dcc5f4b657696a92fd2b3eac90d2491942d8cd5807cd4615a07ad26a54a
下载URLhxxp://mfaturk[.]com/backup/inc.phphxxp://mfaturk[.]com/hing9/dmw.php
Remcos MD568f4f27219840b4ba86462241f740bbd5eae3dee275dbca878d145817707597f

两个Remcos木马加载的方式相同。首先重新在内存中映射kernel32.dll和ntdll.dll的.text段,解除防护软件对这两个模块中的函数的监控。

1701424595_6569add3a7df596f3f585.png!small?1701424596414

向”www[.]wingtiptoys.com”发送HTTP请求以混淆真实通信流量。

1701424603_6569addba5af4fb59e2cf.png!small?1701424604091

加载资源数据,进行RC4解密,得到Remcos木马的文件数据,然后内存加载执行。使用的解密密钥如下:

iXTYbfqt4v4xaFkXYrgP5gRNWEsttg1QKM6TNuP4hGG8T2TCcWSUtkNTgjA9LuFfKbiPjxajei8kFXeqgcS2O68bsZ

Remcos木马的C2配置信息如下:

1701424612_6569ade46ffe9881d5230.png!small?1701424613175

以0x1E为分隔符,共有3组,不过后面两个域名目前没有对应的解析IP,所以实际上有效的只有morimocanab[.]com。

morimocanab[.]com:443
grand123099ggcarnivol[.]com:443
Omeri12oncloudd[.]com:443

总结

在短短几个月时间内,Spyder下载器已经历了数次更新,由此可见攻击团伙为避开安全防护软件检测,完成情报窃取任务的决心。从功能上看,Spyder作为通用下载器,可以用来在受害者主机上部署任意可执行文件,此次发现的Spyder被用于投递Remcos木马可能只是涉及该下载器组件的攻击链的冰山一角,奇安信威胁情报中心将持续关注相关APT组织的攻击活动。

IOC

MD5

(Spyder)

05e59dcc5f4b657696a92fd2b3eac90d

2491942d8cd5807cd4615a07ad26a54a

6699190f7f6574029432b2678e1f40ac

bc743f1b24e8e585e889d77099ad0ac2

656b523031d9ffda7b8b1740542b653c

(Remcos)

57b805f4c496c5d25acbe45bfaf7ee11

68f4f27219840b4ba86462241f740bbd

5eae3dee275dbca878d145817707597f

C&C

mfaturk[.]com

firebasebackups[.]com

morimocanab[.]com:443

grand123099ggcarnivol[.]com:443

omeri12oncloudd[.]com:443

URL

hxxp://mfaturk[.]com/backup/manage.php

hxxp://mfaturk[.]com/backup/inc.php

hxxp://mfaturk[.]com/hing9/includes.php

hxxp://mfaturk[.]com/hing9/dmw.php

hxxp://mfaturk[.]com/hailo/stick.php

hxxp://mfaturk[.]com/hailo/dmw.php

hxxp://firebasebackups[.]com/hailo/load_img.php

hxxp://firebasebackups[.]com/hailo/pakart.php

参考链接

[1].https://ti.qianxin.com/blog/articles/Suspected-Patchwork-Utilizing-WarHawk-Backdoor-Variant-Spyder-for-Espionage-on-Multiple-Nations-CN/


文章来源: https://www.freebuf.com/articles/paper/385480.html
如有侵权请联系:admin#unsafe.sh