白象组织使用BADNEWS和Remcos商业木马的最新攻击活动
2.1 LNK文件
原始文件名 | 先进结构与复合材料”等4个重点专项2023年度项目申报指南的通知 .pdf.lnk |
MD5 | a8b9dcd916a005114da6a90c9724c4d9 |
文件大小 | 3.75 KB (3,848 bytes) |
文件格式 | LNK |
攻击者将包含恶意LNK文件的压缩包作为邮件附件发送给目标,恶意LNK文件伪装成pdf文档诱导攻击者打开执行。
图2‑1 压缩包内双后缀的诱饵文件
LNK文件执行后会从https://msit5214.b-cdn.net/abc.pdf处下载诱饵文件并打开,而后从https://msit5214.b-cdn.net/c处下载后续载荷到C:\ProgramData\Microsoft\DeviceSync并将其命名为OneDrive.exe,最后将其添加到计划任务中执行。
图2‑2 LNK文件中提取出的代码
2.2 BADNEWS木马
病毒名 | Trojan[RAT]/Win32.Whiteelephant |
原始文件名 | OneDrive.exe |
MD5 | 5bb083f686c1d9aba9cd6334a997c20e |
处理器架构 | Intel 386 or later processors |
文件大小 | 337.45 KB (345544 bytes) |
文件格式 | Win32 EXE |
时间戳 | 2023-04-06 09:01:18 UTC |
数字签名 | Gromit Electronics Limited |
加壳类型 | 无 |
编译语言 | Microsoft Visual C/C++(2017 v.15.5-6) |
OneDrive.exe文件为白象组织的BADNEWS远程控制木马,用于实现文件下载、命令执行、屏幕截图等功能。OneDrive.exe的数字签名信息如下。
图2‑3 数字签名信息
BADNEWS木马执行后,首先判断机器的时区。若检测结果为中国标准时区,则会进行后续恶意操作。
图2‑4 判断是否为中国标准时区
接着创建互斥量qzex,确保当前环境下该进程唯一,而后使用SetWindowsHookExW函数注册键盘钩子。
图2‑5 创建互斥量,注册键盘钩子
窃取的键盘记录将会存放到%temp%\kednfbdnfby.dat文件。
图2‑6 键盘记录存放到kednfbdnfby.dat
使用正常的Web服务myexternalip.com、api.ipify.org、ifconfig.me获取主机IP外网地址。
图2‑7 获取主机外网IP
将前面获取到的外网IP在api.iplocation.net、ipapi.co 的Web服务中查询,获取外网IP所属国家的名称。
图2‑8 获取外网IP所属国家
将获取到的加密信息拼接成一个字符串,用于后续作为心跳包的内容回传到C2服务器。
图2‑9 回传的信息内容
在目标机中收集的数据类型如下所示:
uu34 | SMBIOS UUID |
puip89 | 外网IP地址 |
iggp | 内网IP地址 |
usfghnam | 当前用户名 |
osgh | Windows系统版本 |
locghg | 外网IP地址对应国家 |
收集到的信息首先进行Base64编码,而后通过AES-CBC-128加密,然后再进行一次Base64编码。加密使用的AES密钥为“qgdrbn8kloiuytr3”,IV为“feitrt74673ngbfj”。
图2‑10 数据加密
创建3个线程同C2服务器通信,C2地址为charliezard.shop,通信端口为443端口,URI为/tagpdjjarzajgt/cooewlzafloumm.php。每个线程分别承担不同的工作,通信内容采用AES-CBC-128加密数据。
图2‑11 创建线程通信
sub_409900线程函数用于发送收集的基本信息,验证目标机器是否处于开机状态。
图2‑12 发送心跳包
sub_4092A0线程函数用于实现远程控制功能。攻击者下发执行的格式为:指令$参数1$参数2,参数2并未使用。
图2‑13 获取指令并执行相应功能
对比以往的BADNEWS各个控制命令的实现,发现该组织并未同先前攻击活动[3]中一样将执行结果保存到文件,而是直接将数据加密后回传到C2服务器,BADNEWS中存在的指令代码及对应功能如下所示:
指令代码 | 功能 |
3hdfghd1 | 读取指定文件并将结果回传。 |
3fgbfnjb3 | 读取键盘记录文件%temp%\kednfbdnfby.dat中的内容并将结果回传。 |
3gjdfghj6 | 执行cmd指令并将结果回传。 |
3fgjfhg4 | 遍历指定目录并回传文件列表。 |
3gnfjhk7 | 文件下载并执行。文件内容经解密后,写入到%temp%\dp+[4位随机字符].exe文件执行,并将结果回传。 |
3ngjfng5 | 文件下载。下载的内容经解密后,写入到%temp%路径下以指定名称命名,而后将结果回传。 |
3fghnbj2 | 屏幕截图并回传。 |
sub_409440线程函数用于执行cmd命令收集信息(包括当前用户名、网络配置、DNS缓存、系统信息、进程列表),然后将信息加密后添加到endfh参数回传至C2服务器。
图2‑14 收集系统信息
2.3 归因分析
此次释放的木马OneDrive.exe在代码结构、加密算法、通信模式等方面和白象组织以往攻击活动中使用的BADNEWS木马相似,并且BADNEWS木马的存放路径C:\ProgramData\Microsoft\DeviceSync也是该组织常用文件路径。
以往攻击活动中利用CVE-2017-11882漏洞释放的BADNEWS木马存放路径。
图2‑15 以往攻击活动中CVE-2017-11882漏洞释放的BADNEWS木马存放路径
本次攻击活动中BADNEWS木马存放路径。
图2‑16 本次攻击活动中BADNEWS木马存放路径
以往攻击活动BADNEWS木马中存在的系统时区检测代码。
图2‑17 以往攻击活动BADNEWS木马中存在的系统时区检测代码
本次攻击活动BADNEWS木马中存在的系统时区检测代码。
图2‑18 本次攻击活动BADNEWS木马中存在的系统时区检测代码
对上述攻击活动使用到的BADNEWS木马进行关联分析,发现与近期针对南亚地区的军事政治等目标的网络攻击存在相关性。关联到的攻击通过LNK类型诱饵,或文件名以军政题材命名的EXE程序、钓鱼网站等作为攻击前导,大量使用商业木马Remcos实现远程控制,获取目标敏感信息。
3.1 Remcos商业远控木马
病毒名 | Trojan[RAT]/Win32.Remcos |
原始文件名 | Minutes-of-Meeting-Joint-Ops.exe |
MD5 | b8f649208c5f404eff00c1a4f8c61995 |
处理器架构 | Intel 386 or later processors |
文件大小 | 2.35 MB (2465088 bytes) |
文件格式 | Win32 EXE |
时间戳 | 2023:02:21 13:52:24 UTC |
数字签名 | Gromit Electronics Limited |
加壳类型 | 无 |
编译语言 | Microsoft Visual C/C++(2017 v.15.5-6) |
Remcos是一款商业远控木马,包括实现远程桌面控制、屏幕窃取、剪切板窃取、摄像头及音频窥视、命令执行、浏览器窃密、密码窃取、创建代理等丰富功能,能对文件、进程、服务、窗口、注册表、网络等信息进行收集和管理。
图3‑1 官方Remcos Professional产品界面介绍
3.2 与白象组织的关联分析
3.2.1 数字证书关联
根据上述针对我国相关单位的攻击活动中BADNEWS木马的数字签名信息,可以关联到具备该签名的恶意文件。
图3‑2 本次攻击活动BADNEWS木马中存在的数字证书
使用该签名的文件数量并不多,其中包含名为Minutes-of-Meeting-Joint-Ops.exe的木马样本,样本在今年2月22日从孟加拉国上传,为Remcos远控家族,C2地址为45.137.116.253:443 (TCP)。
同样访问45.137.116.253:443 (TCP)地址的木马还包括其他文件名为军政题材的Remcos远控,其中fatima.exe的母体为此前未见的下载器:
MD5 | 文件名 | 简介说明 |
e8ba6aeac4ae8bd22e2da73a2e142104 | Minutes-of-Meeting-Joint-Ops-with-Bangladesh-Navy.exe (与孟加拉国海军的联合行动会议纪要) | Remcos RAT, 挂载于傀儡网站: merafm.com |
6f50d7408281f80d5b563236215e5308 | fatima.exe | Remcos RAT 挂载于傀儡网站: merafm.com |
40ae57d3e6163e80d3887aaacd001980 | Defence-Attache-Minutes-of-Meeting.exe (国防武官会议纪要) | 下载器,用于下载并执行fatima.exe |
MD5 | 文件名 | 简介说明 |
d51e8ebb04a5849f46514dcaef7f4c32 | Talking-Points-with-China-PLAAF.exe (与中国空军的谈话要点) | Remcos RAT |
eb9068161baa5842b40d5565130526b9 | LIST OF SIGNAL ADDRESSES, CALL SIGN 10 Apr 2023.exe (信号地址列表,呼叫信号2023年4月10日) | 下载器(下载的文件链接已失效) |
e8ba6aeac4ae8bd22e2da73a2e142104 | Minutes-of-Meeting-Joint-Ops-with-Bangladesh-Navy.exe (与孟加拉国海军的联合行动会议纪要) | Remcos RAT |
6f50d7408281f80d5b563236215e5308 | fatima.exe | Remcos RAT 挂载于傀儡网站: merafm.com |
aebe447662363c9e40275aa8aed5f905 | hplaserprinter.exe | Remcos RAT |
MD5 | 工具能力及配置数据 |
d51e8ebb04a5849f46514dcaef7f4c32 | Remcos RAT,C2:45.137.118.105:443 |
eb9068161baa5842b40d5565130526b9 | 下载器,从gclouddrives.com/spyder/smile.php获取载荷 |
e8ba6aeac4ae8bd22e2da73a2e142104 | Remcos RAT,C2:45.137.116.253:443 |
6f50d7408281f80d5b563236215e5308 | Remcos RAT,C2:45.137.116.253:443 |
aebe447662363c9e40275aa8aed5f905 | Remcos RAT,C2:45.146.254.153:993 |
3.2.2 样本同源关联
MD5 | 文件名 | 简介说明 |
5b99f5a2430eb761d6c70e624809a1bd | Official-Correspondence-by-IGP-Punjab-through-Official-E-mail-ID.exe (旁遮普省警察总监通过官方电子邮件ID发出的官方信函) | Remcos RAT |
76dc20e2e00baa85a0ca73539a0a9c7a | ISPR-Turkiye-Delegation.exe (军种间公共关系局 土耳其代表团) | Remcos RAT |
87d94635372b874f18acb3af7c340357 | PN SHIP OVERSEAS DEPLOYMENT PLAN TO FAR EAST CHINA.exe (巴基斯坦海军 中国远东船舶海外部署计划) | 下载器(下载的文件链接已失效) |
1fa3f364bcd02433bc0f4d3113714f16 | Rocket Launch System THE UPDT LIST OF MLRS PROB-.exe (火箭发射系统 多管火箭炮问题更新列表) | 下载器(下载的文件链接已失效) |
3ea8adf7a898de96ffd6e7d4b2594f54 | List1.xll | 下载器(x64),下载并执行上文中的hplaserprinter.exe |
50cca2ab249aa4575854991db1c93442 | List2.xll | 下载器(x64),下载并执行上文中的hplaserprinter.exe |
927618e626b1db68a4281b281a7b7384 | dllhostSvc.exe | Remcos RAT |
4be6220e6295676f9eae5659826900c5 | FIA_IBMS_VPN.2022.exe | Remcos RAT |
MD5 | 工具能力及配置数据 |
5b99f5a2430eb761d6c70e624809a1bd | Remcos RAT,193.203.238.116:443 |
76dc20e2e00baa85a0ca73539a0a9c7a | Remcos RAT,45.146.254.153:993 |
87d94635372b874f18acb3af7c340357 | 下载器,从alibababackupcloud.com/spyder/smile.php获取载荷 |
1fa3f364bcd02433bc0f4d3113714f16 | 下载器,从cloudplatfromservice.one/cpidr/balloon.php获取载荷 |
3ea8adf7a898de96ffd6e7d4b2594f54 | 下载器(x86),下载并执行hplaserprinter.exe,从merafm.com/wp-content/uploads/2021/04/sijsi/hplaserprinter.exe获取载荷 |
50cca2ab249aa4575854991db1c93442 | 下载器(x64),下载并执行hplaserprinter.exe,从merafm.com/wp-content/uploads/2021/04/sijsi/hplaserprinter.exe获取载荷 |
927618e626b1db68a4281b281a7b7384 | Remcos RAT,45.146.254.153:443 |
4be6220e6295676f9eae5659826900c5 | Remcos RAT,45.146.254.153:443 |
其中dllhostSvc.exe的执行母体是名为Password.lnk的恶意快捷方式,LNK被打包在压缩包中,压缩包之中存在加密的word文档以及名为Password.lnk的恶意快捷方式,诱导目标打开快捷方式获取密码,手段与上文中针对中国的LNK诱饵较为类似:
图3‑3 压缩包内的文件
图3‑4 加密的word文档
Password.lnk通过调用mshta.exe执行远程端HTA文件中包含的PowerShell代码,下载https://webmail.mod.com.pk/uploads/adrean.exe,并将其重命名为%localappdata%\dllhostSvc.exe执行。
3.2.3 网络资产关联
针对南亚攻击活动的相关网络资产主要以自有域名、自有IP和傀儡网站三种类别组成。
其中自有域名包括命名上与官方相似的域名,以及Whois注册地址伪装成受害者所在地的域名。这些域名大多数用于给下载器响应载荷,其中webmail.mod.com.pk既作为载荷分发又作为钓鱼盗号网站:
图3‑5 针对孟加拉警察的Outlook登录钓鱼网站
域名 | 域名信息 | 用途 |
webmail.mod.com.pk | 伪装成巴基斯坦国防部官方域名 | 载荷分发、钓鱼盗号 |
alibababackupcloud.com | 域名注册时间:2023-03-12 12:44:09 UTC 域名注册地址:lahore,PK 域名服务商:Vautron Rechenzentrum AG 域名服务器: ns1.zap-hosting.com; ns2.zap-hosting.com 域名注册邮箱:c0tgr22ufl@domprivacy.de | 分发Remcos RAT载荷 |
morimocanab.com | 域名注册时间:2023-01-13 11:24:12 UTC 域名注册地址:lahore,PK 域名服务商:Vautron Rechenzentrum AG 域名服务器: ns1.zap-hosting.com; ns2.zap-hosting.com 域名注册邮箱:c0tgr22ufl@domprivacy.de | 载荷分发 |
fiagov.com | 域名注册时间:2022-11-30 08:34:19 UTC 域名注册地址:lahore,PK 域名服务商:Vautron Rechenzentrum AG 域名服务器: ns1.zap-hosting.com; ns2.zap-hosting.com 域名注册邮箱:c0tgr22ufl@domprivacy.de | 载荷分发 |
clouddrivev3.com | 域名注册时间:2023-02-15 07:33:09 UTC 域名注册地址:pakistan,SG 域名服务商:Vautron Rechenzentrum AG 域名服务器: ns1.zap-hosting.com; ns2.zap-hosting.com 域名注册邮箱:cerc882kzf@domprivacy.de | 载荷分发 |
gclouddrives.com | 域名注册时间:2023-02-16 03:14:20 UTC 域名注册地址:pakistan,SG 域名服务商:Vautron Rechenzentrum AG 域名服务器: ns1.zap-hosting.com; ns2.zap-hosting.com 域名注册邮箱:cerc882kzf@domprivacy.de | 分发Remcos RAT载荷 |
tarrikhuts.com | 域名注册时间:2023-01-27 10:00:11 UTC 域名注册地址:pakistan,SG 域名服务商:Vautron Rechenzentrum AG 域名服务器: ns2.zap-hosting.com; ns1.zap-hosting.com 域名注册邮箱:cerc882kzf@domprivacy.de | 载荷分发 |
verificationapis.com | 域名注册时间:2022-12-17 12:46:10 UTC 域名注册地址:doonde,BD 域名服务商:Vautron Rechenzentrum AG 域名服务器:ns2.zap-hosting.com; ns1.zap-hosting.com 域名注册邮箱:c1f7peqhfh@domprivacy.de | 载荷分发 |
cdnverificationlinks.com | 域名注册时间:2022-12-29 10:19:32 UTC 域名注册地址:doonde,BD 域名服务商:Vautron Rechenzentrum AG 域名服务器: ns1.zap-hosting.com; ns2.zap-hosting.com 域名注册邮箱:c1f7peqhfh@domprivacy.de | 分发Cobalt Strike载荷 |
cloudplatfromservice.one | 域名注册时间:2023-04-19 08:18:09 UTC 域名注册地址:隐私保护 域名服务商:Vautron Rechenzentrum AG 域名服务器: keyla.ns.cloudflare.com;lamar.ns.cloudflare.com 域名注册邮箱:隐私保护 | 分发Remcos RAT载荷 |
IP地址 | IP归属地及服务商 | 控制端口及协议 |
45.137.116.253 | 巴基斯坦 ( combahton GmbH ) AS 30823 | Remcos RAT,443端口,TCP协议 |
45.137.118.105 | 巴基斯坦 ( combahton GmbH ) AS 30823 | Remcos RAT,443端口,TCP协议 |
45.146.254.153 | 德国 ( combahton GmbH ) AS 30823 | Remcos RAT,443端口,TCP协议 |
45.146.252.37 | 德国 ( combahton GmbH ) AS 30823 | Remcos RAT,443端口,TCP协议 |
45.153.242.244 | 德国 ( combahton GmbH ) AS 30823 | Remcos RAT,443端口,TCP协议 |
134.255.252.75 | 德国 ( combahton GmbH ) AS 30823 | Remcos RAT,443端口,TCP协议 |
185.239.237.197 | 德国 ( combahton GmbH ) AS 30823 | Remcos RAT,443端口,TCP协议 |
193.203.238.116 | 德国 ( combahton GmbH ) AS 30823 | Remcos RAT,443端口,TCP协议 |
ATT&CK阶段/类别 | 具体行为 | 注释 |
初始访问 | 网络钓鱼 | 通过钓鱼邮件投递包含恶意LNK文件的压缩包 |
执行 | 利用计划任务/工作 | 将BADNEWS木马添加至计划任务中执行 |
执行 | 诱导用户执行 | 诱导用户打开压缩包内伪装成pdf诱饵的LNK文件 |
持久化 | 利用计划任务/工作 | 将BADNEWS木马添加至计划任务中实现持久化 |
防御规避 | 混淆文件或信息 | 使用AES和Base64加密需要传输的数据 |
发现 | 发现文件和目录 | 可以获取目标机文件目录列表 |
发现 | 发现进程 | 可以获取目标机当前环境进程列表 |
发现 | 发现系统信息 | 可以获取目标机系统信息 |
发现 | 发现系统地理位置 | 判断时区是否为中国标准时区 |
发现 | 发现系统网络配置 | 可以获取目标机网络配置 |
发现 | 发现系统所有者/用户 | 可以获取目标机当前用户名 |
收集 | 收集本地系统数据 | 可以收集目标机文件、系统信息、网络配置、进程列表等信息 |
收集 | 数据暂存 | 会将键盘记录存储到%temp%\kednfbdnfby.dat文件中 |
收集 | 输入捕捉 | 可以记录目标机上的击键 |
收集 | 屏幕捕获 | 可以获取屏幕截图 |
命令与控制 | 使用应用层协议 | 使用应用层协议并回传 |
命令与控制 | 编码数据 | 数据加密后回传至C2服务器 |
数据渗出 | 自动渗出数据 | 自动回传用户名、IP地址、Windows版本等信息 |
数据渗出 | 使用C2信道回传 | 使用C2信道回传数据 |
将涉及到的威胁行为技术点映射到ATT&CK框架如下图所示:
图4‑1 本次白象针对我国相关单位攻击活动对应ATT&CK映射图
综上所述,安天CERT近期发现的LNK系列攻击,由印度的白象APT组织发起,攻击者疑似通过钓鱼攻击投递专用远控木马,相关的攻击手法和代码与以往的白象组织的攻击特征保持一致。通过样本数字证书关联的Remcos商业木马来自针对南亚地区攻击活动,攻击者大量使用Remcos商业木马针对军事政治等目标。除安天发现白象组织使用Remcos商业木马外,斯洛伐克厂商ESET[4]也发现了印度肚脑虫(Donot)组织使用了Remcos商业木马,两个印度组织都开始使用Remcos商业木马,可以看出印度组织进一步尝试购买商业木马纳入为自己的攻击武器,降低成本的同时依托商业木马提高网络攻击活动效率。
参考资料
https://www.antiy.com/response/WhiteElephant/WhiteElephant.html
[2] 潜伏的象群——来自南亚次大陆的系列网络攻击活动
https://www.antiy.com/response/The_Latest_Elephant_Group.html
[3] 白象组织近期网络攻击活动分析
[4] ESET APT Activity Report: Attacks by China-, North Korea-, and Iran-aligned threat actors; Russia eyes Ukraine and the EU
https://www.eset.com/int/about/newsroom/press-releases/research/eset-apt-activity-report-attacks-by-china-north-korea-and-iran-aligned-threat-actors-russia-eyes-ukr/