近期微步在线捕获数起针对南亚、中东地域多个国家的 APT 攻击活动,主要涉及到签订"恰巴哈尔港协议"的三方成员国,包括伊朗、阿富汗和印度,具有明显的国家战略目的。背后攻击组织进行的历史间谍活动至少可以追溯到2013年,擅长使用钓鱼和水坑攻击,攻击平台涉及到 PC 端和移动端,使用的工具以开源木马为主,同时也具备一定的开发能力,拥有自己的窃密后门。
恰巴哈尔港,又名恰赫巴哈尔,位于伊朗东南端锡斯坦—俾路支斯坦省的海岸,南面海运枢纽的阿拉伯海主航道,东临巴基斯坦。恰巴哈尔港向西是全球油气中心的波斯湾沿岸,向北通向石油资源丰富的中亚国家,正好处于西亚、南亚、中亚和印度洋的交汇之处,地理交通极为重要。它所在的恰巴哈尔市是伊朗海军和空军军事重地,伊朗拥有多处大型铁矿、巨型铜矿和丰富的油气资源,靠近伊朗的阿富汗也拥有亚洲最大的铁矿和世界级的铜矿。而参与签订恰巴哈尔港合作协议的印度和阿富汗,长期以来陆上交通受制于巴基斯坦,恰巴哈尔港的建立正好为印度、阿富汗和伊朗打开一条新的战略通道,恰巴哈尔港距离中巴经济走廊-瓜达尔港不到100公里,被称为印度版的"一带一路"。
近期微步在线捕获到数起攻击活动,包括针对 Windows 平台使用钓鱼攻击和水坑攻击投递具有明显目的性的恶意诱饵文档和伪装正常软件的恶意安装包,同时还有搭建伪装正常 Android 应用商店诱导受害者下载的恶意 APP。关联发现,此次攻击活动背后组织的历史间谍活动至少可以追溯到2013年,早期针对印度地区进行攻击,在2017年"恰巴哈尔港协议"签订三方-印度、阿富汗、伊朗正式开展贸易往来后,伊朗、阿富汗以及伊朗和巴基斯坦交界-俾路支斯坦地区也被纳入攻击范围,主要涉及人权活动家、运输部门、军事、退役军人、极端信仰者和政府部门等多个领域。通过溯源分析,发现近期捕获的移动端后门配置信息,与透明部落(TransparentTribe)组织近期使用的后门具有相同配置,这意味着两个组织或许存在一定的关联,此次攻击活动目的性较强,带有国家战略性目的,疑似具有国家背景支持的 APT 攻击组织所为。
此次发现攻击活动中的恶意样本涉及 Windows 平台和 Android 平台,Windows 平台使用多种类型恶意样本进行钓鱼和水坑攻击,在木马后门的使用上以开源木马 QuasarRAT 和命名为 PrisrolRAT 的 Delphi 特马为主,Android 平台上样本使用的都是开源 AndroRat 木马,手法则是通过伪造正常的 Android 软件下载商店,诱导受害者目标下载运行。Windows 平台
1. Windows 平台的恶意样本总共有四类,携带木马的诱饵压缩包、可执行自解压诱饵程序和两种恶意类型的文档,其中一种恶意文档以启用宏的方式释放后门。另外一种恶意文档原理和模板注入相同,但并不是常见的下载恶意文档,而是用来作为探针使用。 | | | |
| | | |
Guests List - Media Release (Personal & | | |
|
PROVINCIAL POLICE CHIEF OFFICIAL DIRECTORY.xls | | |
|
Chabahar Port Agreement (Trilateral) in Iran.doc | | | |
Black Listed Immigrants– By MoIA.docx | | | |
Visa Issued - Processed 2020 VIP.docx | | | |
Pakistani Nationals - (Appred by NDS).xls | | | |
Online Shipping Status System - | |
| |
RecoverMyFiles-32bit-(v6.3.2.2553).exe | |
| |
Salary & Income Tax & Pension Calculator (Government of India) -(1).xls | | | |
| |
| |
| 496dad65fb4014fd66b677a9fadcda9a5a17726603c81fd65a9ff07c7e105d7f |
| 22873333c5c440715fd593384f805b44066b03d9 |
| 28ffba0b074218b0c9ff0360d8791bfd |
| https://fiberxwashin.000webhostapp.com/android/iprdr.php |
a)打开恶意文档后,会触发远程模板链接,访问内嵌 URL 链接 "https://fiberxwashin.000webhostapp.com/Android/iprdr.php" ,但无返回任何下载后续,猜测该样本作用是利用探针获取反连信息。
| |
| Guests List - Media Release (Personal & Confidential).xls |
| 3f3db971f1d2721ac273e60fb9b0e172bb635f8f5e7889eaf9fc59d61edd5ddc |
| cedbff948ac1744587f33d18415f018172f984c4 |
| baadccb9fec9f54c22eba25a15d0b484 |
| fiberxwashin.000webhostapp.com |
a)该样本携带宏代码,将Base64编码的载荷解码后释放文件并执行,释放目录 "%appdata%\Microsoft\update\modules\csrss.exe"。
b) "csrss.exe" 由 Delphi 编写,功能为窃取目标的数据文件,由多个时钟事件触发恶意代码,窗口 Create 事件中通过写注册表的 Run 实现持久化(启动项名称:"Microsoft Modules Patcher")。c) 检查 "www.google.com.pk" 是否可连通。d) 初始化 C2 服务器的目录(此处 C2 的文件上传并且没有检验文件后缀),获取包括:进程信息、软件信息、硬件信息、系统版本在内的计算机信息,存放在控件的 Text,在 HTTP 中 GetText 取出数据发送至服务器。e)循环获取 C2 服务器的 "/fil" 文件,该文件存放文件后缀名,如:"*.doc"。然后由本地的程序扫描此类后缀的文件并且上传。 | |
| Chabahar Port Agreement (Trilateral) in Iran.doc |
| 7eeef37f3a4c6367603d14e63e7783c75ec66ee85beee21d692ec5391437600d |
| 82e178fa41008cd74efc7a61f1ba3a444b86f98e |
| 559aa44dd01023008bdea07884aae978 |
| faqeera-56805.portmap.io:56805 |
a)该样本和上述样本携带同样的宏代码,将 Base64 编码的载荷解码后释放文件并执行,释放目录"%appdata%\msword.exe"。b) "msword.exe" 文件为 SFX 类型的压缩文件,被执行后会释放 Delphi 加载器和 QuasarRAT 后门。c) "JavarOracle Updator.exe" 为 Delphi 加载器,由 SFX 的命令行执行,运行后会查找同目录下是否存在"3_5"、"4"、"4_5"文件,如果任意一个文件存在则更名为 "juschaid.exe",并写入注册表的 Run 启动项。 d)"3_5"、"4"、"4_5"均为 QuasarRAT 木马,C2:"faqeera-56805.portmap.io: 56805"。 | PE32 executable for MS Windows (GUI) Intel 80386 32-bit |
| RecoverMyFiles-32bit-(v6.3.2.2553).exe |
| f2b90c64b2a5480317357ee6fefb1dad5abd3eea2446ab05bc562f83df6f0a19 |
| 0e898defb1eb964858a5e30c9560c81e188c2f41 |
| 44e364a9c83f148e02c45b9eed1f5da2 |
| whats-28668.portmap.host:28668 |
a) 该样本和"宏文档类型2样本分析"释放的SFX一致,不同点在于此样本伪装成数据恢复软件投递,SFX在执行后门的同时还会安装正常数据恢复软件。 Android平台
1.通过资产域名多维度关联,发现其中一个链接下存在恶意APK样本,通过微步在线大数据平台检索发现,该APK样本是通过伪造APKPure应用商店诱导用户下载。2. 根据伪造的APKPure商店特征分析,回溯到多个伪造的恶意APK样本。
| | |
| | |
Australia - Official Visa and Immigration App.apk | | |
NDTV News India v9.1.6.apk | | |
| | 巴基斯坦的DHRPK(捍卫人权和公共服务信托基金)人群。 |
Ahle Tashia Kamal and Karwan e Haider.apk | | 一家为伊朗、伊拉克和叙利亚 (SHAAM) 的朝觐提供旅行社服务 |
President Portal Afghanistan.apk | | |
UNHCR Pakistan Mob App.apk | | |
| | |
Union Gulf Recruitment.apk | | |
| | |
| | |
UNHCR Pakistan Mob App.apk | | |
| | |
| |
| |
| cab8bd4ca7f680af39866d8437e34583907b3281dc63b0a0a22edc59737bf009 |
| cc258951274e00dd85a2400bfa0fc8e3f02c86fa |
| 102c4fc12aeece18f2ac6b31402ff39a |
| |
3.2 对比样本的代码特点,发现该样本和开源木马 AndroRAT 同源,属于变种。3.3 AndroRAT 的功能至少包括:获取联系人信息、获取通话信息、获取短信信息、GPS/网络定位、实时监控接收短信息、实时获取手机状态、拍照、响铃、录视频、发短信、打电话、打开浏览器和手机震动等。
对相关样本分析后,通过微步在线溯源平台和大数据平台进行攻击活动回溯,发现该组织攻击活动至少可以追溯到2013年,并从2017年开始使用"恰巴哈尔港协议"签订三方国家的相关话题进行攻击,如:"俾路支失踪人员联系名单"、"阿富汗-印度-伊朗战略政策成员"、"阿富汗、印度和伊朗的主要利益相关者名单"等。通过代码同源发现该组织最早在2013年开始使用 Delphi 开发的后门进行攻击活动,根据早期中后门出现的 "prisrol.dev" 字符串,微步在线将后门命名为PrisrolRAT,并且根据功能的不同分为V1和V2两个版本。1.对近期发现的样本分析时,发现一例相关样本作者名较为特别,通过大数据平台进行搜索发现一例2018年使用的攻击样本。2.对关联到的历史恶意样本宏代码元数据和资产进一步关联分析,发现一批2017年至2018年该组织攻击活动中使用的诱饵。
Attack video of Afghan Gen Raziq last moments.doc | | 3827620564285f938c454c336a5a564b9d6a9b8b02cbd3a3f5bf7ba47c87f431 | |
List of Key Stakeholders in Afghanistan, India and | | 7ff91426c2321a78eacaa7660bd1240687d0a852bd63ddfedaefa008503a0ebc | |
Afg-India-Iran Strategic Policy | | b60cbe0b6ba52652f7dd398da0ad346c3d605e8dd3a58e4a8c4e2254da0c8707 | |
Baloch_Missing_Persons_Contact_List.xls | | 898d137e4d676ac02ff83c607abbe24a8187e1fcda895b100f157e2eb8d9dffb | |
India Afghanistan Iran Military Cooperation.pptx.exe | | 9b63006edce1a1d68d7475e516007c76f09fd63b8421975ac8e07fb6701fc666 | |
4. 在对样本 "India Afghanistan Iran Military Cooperation.pptx.exe" 分析后,发现释放的后门为 Delphi 窃密木马,其同源样本出现过 "prisrol.dev" 字符串,所以将其命名为 PrisrolRAT V1。
5.除此,在对比近期攻击中的 Delphi 后门过程中,发现和 PrisrolRAT V1 代码存在一定的相似性并且资产也高度接近,所以将其近期攻击使用的 Delphi 后门命名为 PrisrolRAT V2。对比两个版本,V1 和 V2 存在一定的差异,但实现的功能均为窃取文件功能。6.版本差异,在 V1 版本中,其窃取的文件类型固定为 xls、jpg、ppt、iaf,还具备键盘记录功能,在 V2 版本中去除了键盘记录功能,文件类型也由服务端的fil文件所决定,此外还增加了系统信息的回传。
7.除此,发现大量 PrisrolRAT 样本具有 "/script.php?a=" 这样的 URL 请求特点,通过微步在线同源 URL hunting 系统进行搜索,发现部分疑似该组织的请求URL。
8.对疑似同源的 URL 进行排查后,筛选出该组织的早期资产,发现其中一个域名下存在通信的样本,分析后发现该样本为 PrisrolRAT V1 版本,上传时间为2013年4月。
1.历史活动中使用的资产域名 “myshoppingcartseven.org”,在历史 Whois 信息中注册国家为巴基斯坦。2.在“透明部落” APT 常用的域名 “shareboxs.net” 上发现了完全一致配置的 APK样本,其 APK 上传时间在2021年5月份,这说明两个组织存在一定的关联。
3.在对2017年-2018年攻击活动使用的文档类型诱饵模板分析时,发现一批使用相同模板的样本,分别为使用 CrimsonRAT 的透明部落组织和使用 EHDevel、YTY 恶意框架的 Donot 组织。
4.对比双方样本发现,透明部落样本量明显多于 Donot,宏代码上 Donot 较为单一而透明部落则花样繁多,并且在观察到两个组织历史活动中,同样发现有明显使用相同模板的痕迹,元数据和宏代码对比如下:
5.分析历史活动样本时,发现其中部分样本的压缩包文件是由印度地区进行上传,在该压缩包内,还发现透明部落组织相关样本。
此次发现的攻击活动背后组织至少从2013年活跃至今,具备双平台攻击能力,拥有木马开发能力,早期活动中使用特马攻击,而后期活动中改为使用开源木马,资产方面多以动态域名为主。此外,在关联分析样本的过程中发现,该组织与透明部落攻击目标和手法发现存在一定程度的重合。
攻击目标早期主要覆盖印度地区,随着恰巴哈尔港协议签订,涉及到的国家均被列入攻击范围,除了伊朗、阿富汗和印度这三位协议签定方外,靠近恰巴哈尔地区的俾路支斯坦(巴基斯坦和伊朗边境)也没逃脱攻击范围。此次攻击活动的背后符合来自国家之间的利益冲突和较量,涉及的国家基本也位于南亚、中东地域,而南亚和中东地域一直也是APT攻击活动高发地域。近日,随着美国撤军阿富汗后,阿富汗塔利班接手政权,阿富汗国内局势大变,引起全球高度关注,这种剧烈的政治震荡并不会马上平息,同样会影响相关地域网络空间战场局势,微步在线一直以来高度关注来自相关地区的APT组织,并且会持续性跟踪相关APT攻击活动。
公众号内回复“三边”可获取完整版(含IOC)PDF报告。
关于微步在线研究响应团队
微步情报局,即微步在线研究响应团队,负责微步在线安全分析与安全服务业务,主要研究内容包括威胁情报自动化研发、高级 APT 组织&黑产研究与追踪、恶意代码与自动化分析技术、重大事件应急响应等。
微步情报局由精通木马分析与取证技术、Web
攻击技术、溯源技术、大数据、AI
等安全技术的资深专家组成,并通过自动化情报生产系统、云沙箱、黑客画像系统、威胁狩猎系统、追踪溯源系统、威胁感知系统、大数据关联知识图谱等自主研发的系统,对微步在线每天新增的百万级样本文件、千万级
URL、PDNS、Whois 数据进行实时的自动化分析、同源分析及大数据关联分析。微步情报局自设立以来,累计率先发现了包括数十个境外高级
APT 组织针对我国关键基础设施和金融、能源、政府、高科技等行业的定向攻击行动,协助数百家各个行业头部客户处置了肆虐全球的WannaCry
勒索事件、BlackTech 定向攻击我国证券和高科技事件、海莲花长期定向攻击我国海事/高科技/金融的攻击活动、OldFox
定向攻击全国上百家手机行业相关企业的事件。
内容转载与引用
1. 内容转载,请微信后台留言:转载+转载平台
2. 内容引用,请注明出处:以上内容引自公众号“微步在线研究响应中心”