Operation (विक्रान्त) Vikrant:长期对南亚等国进行间谍活动的APT组织
2021-11-04 11:55:00 Author: www.freebuf.com(查看原文) 阅读量:29 收藏

概述

奇安信威胁情报中心在2020年发现了一个位于南亚区域,长期针对巴基斯坦进行间谍活动的APT组织。奇安信内部编号APT-Q-42,鉴于南亚大区“优秀”的匹配机制,该团伙其主要攻击方式与其他南亚组织别无二致:自己搭建邮件服务器并发送鱼叉邮件,向目标投递带有恶意DDE文档和热点事件相关的PDF(word)文档。

随着最近两年南亚次大陆方向的热点事件越来越多,以某区域大国为首的APT攻击达到了历史的新高,网络钓鱼活动最为活跃。

目前除了一些已知归属的钓鱼新活动,我们还捕获到了许多未知但是已成体系的钓鱼活动,将在本文第二章节做一个简短的分享,并披露摩耶象(APT-Q-41)的历史活动。

与之前的文章类似,本文内容也仅仅是对在过去一段时间内攻击手法做一个分享,本文所涉及的所有IOC均已无法访问APT-Q-42的活动主要针对巴基斯坦、尼泊尔等国不涉及国内

样本分析

APT-Q-42通过压缩包投递的压缩包如下:

Md5

文件名

872be4b14a71c9c37dc24afacc24f46e

Annexure 1.zip

0a94d9cc975b9acbfd3e03c94d855e5b

Circular - SRO No. 442(I)-2020.zip

1796bf9d88e69253f2e4fd5a992c0967

Delegation Details April 2020.zip

84c4264d6ce75d9c3ab4fac41998b495

Mitigation Strategy March 2020.zip

88241c73619974153be65652f1cdacb2

Training Schedule 2020.zip

ba11cc8eecbf9fa794d250228519e838

Travel amendment.zip

v2-b99969d50ca98cac430c0543bf527897.jpg

2020年投递的诱饵如下,巴基斯坦内阁秘书处采购清单:

v2-c032fd09261a65f3e5d9ca72026ec2c9.jpg

Covid19疫情政策相关PDF文档:

v2-7531539d7d8b0c51729a67f1d1414b36.jpg

巴基斯坦民航局国际旅客健康申报表:

v2-3ec6703b2ec8a85e424d55db01eb1237.jpg

在2021年投递的诱饵中我们发现,该团伙还会投递空的PDF和损坏的PDF,来诱导受害者打开恶意的DDE文档:

v2-5d20dad2c7b33b08e6259e9088ff06dd.jpg

有趣的是,该团伙投递的文件名与之前披露的魔罗桫(APT-Q-40)组织存在重叠、而投递的诱饵内容则与响尾蛇团伙存在重叠,这从侧面印证了我们之前提到的,南亚APT组织间基础设施共享的想法。

DDE代码如下,从动态域名中下载PS脚本并执行,实现持久化等功能:

v2-ac22525642b189024efc738b48646b7e.jpg

经过重定向后会从Dropbox托管平台上下载最终的python木马。

v2-3981f782bcca2c57156b100afb0e76d6.jpg

C2一般存放在config.py文件中,核心功能非常简单。

v2-24d7bbe8007e010bd7194eb550259462.jpg

具有上传文件、下载文件、改变目录、命令执行等功能,除此之外我们还发现了使用python3.8、3.9版本编写的Rat变种,C2不再是例如pythonanywhere.com、herokuapp.com等动态域名,而是变成了URL。

v2-63f0811ee450838812ae2b1e2334fc89.jpg

指令

功能

send_basic_info

发送本机相关信息

get_dir_items

获取指定目录文件信息

download_files

下载文件

spawn_shell

反弹shell

在2021年时我们发现在疑似该团伙最新活动中会通过DDE从Google云盘上下载payload,使用了基于python编写的Telegram-RAT。

v2-052d915efe5a9e17cbbfa64c1e0d02bf.jpg

网络钓鱼活动

目前我们检测到越来越多的“雇佣军”加入了南亚地区的网络钓鱼,攻击水平完全取决于雇佣人员的代码水平,在披露摩耶象(APT-Q-41)之前,我们先来看下魔罗桫组织在今年上半年的最新活动。

魔罗桫(APT-Q-40)

钓鱼流程与之前出现了较大的变化,投递的钓鱼邮件如下:

v2-4f41576442ab996af0b1f988f3cc243a.jpg

提示收件人更新账户信息,邮件中包含grabify.link的短链接,跳向eu3.org动态域名,会根据动态域名后面的URL来跳转最终具有魔罗桫(APT-Q-40)组织特色的复杂钓鱼页面,除此之外我们还发现了用于生成复杂链接的页面。

v2-c056acad795b3543f3ca3b8f6f5589fc.jpg

摩耶象(APT-Q-41)

该团伙主要以发送钓鱼邮件为主,代码能力极弱,钓鱼邮件如下:

v2-fa14773713440bf152dc4a1cced1ad4c.jpg

Zip包含了一个html里面带有钓鱼链接,部分钓鱼链接如下:v2-acbb54261a66a12dcd88a1b6816132de.jpg

v2-3f391627d1f9eccaea6bf7ca5227830f.jpg

输入密码后会展示对应的PDF文件:

v2-d094b5299cb5ab6247d5385c42be8608.jpg

该团伙钓鱼域名均使用herokuapp.com或者netlify.app动态域名进行托管,在Post数据时则将其发送到000webhostapp.com动态域名。

v2-5eda85766c65b2a8437ea1b11c66e419.jpg

后端逻辑会在post的动态域名下生成txt文件存储受害者输入的账号密码,收集的txt名称如下:

文件名

child.txt

kingkong.txt

character.txt

Healthy.txt

mistake.txt

文件记录格式如下:

v2-8f77d03d15131ffee70c3faee834a39e.jpg

从2017年至今始终使用这种方式对相关单位进行网络钓鱼活动,其通过钓鱼邮件投递的样本是由msf生成的ruby木马,还会投递一些开源的木马,总体而言水平更接近低端商贸信。

下面会介绍一批我们认为是新招募的外包人员所发起的网络钓鱼攻击,由于这些外包人员在被招募以前可能就从事一些商贸信、灰色产业,所以相比之下他们的攻击手法较为粗糙。

钓鱼一

钓鱼邮件如下:

v2-9c34dca9e503ff58f42b28fb8f4e1ef1.jpg

点击链接后会先访问一个被黑的站点,之后会被重定向到azure-na的一个目录下展示最终的钓鱼页面,整个过程非常隐蔽几乎不可能被测绘到。

钓鱼二

钓鱼邮件如下:

v2-b790d0e5789d57fd22d0616b79444221.jpg

v2-86c94f2c931d8b94b06fd1745c4164e2.jpg

v2-706a192a45e7099943fbd39cb78eaae5.jpg

点击钓鱼链接后会先访问末尾带有类似UUID的钓鱼链接,实际上每一个UUID对应一个邮箱,接着经过两层跳转,跳转到最终的钓鱼页面。

v2-7b485b46ad5455b7a555fad17345c7c7.jpg

钓鱼三

钓鱼邮件如下:

v2-4e22ce498b6e15797eaf442d118d5912.jpg

近年来少有的直接使用IP作为C2进行钓鱼的团伙,手法接近与APT,Post逻辑如下:

v2-d68c5d99defe0a43e0670a5564d5f26a.jpg

由于目前我们尚未掌握更多与该团伙相关的信息,故暂不给予对应的编号。

IOC

MD5:

872be4b14a71c9c37dc24afacc24f46e

0a94d9cc975b9acbfd3e03c94d855e5b

1796bf9d88e69253f2e4fd5a992c0967

84c4264d6ce75d9c3ab4fac41998b495

88241c73619974153be65652f1cdacb2

ba11cc8eecbf9fa794d250228519e838


文章来源: https://www.freebuf.com/articles/paper/303585.html
如有侵权请联系:admin#unsafe.sh