查看原文
其他

三边行动:针对南亚、中东多国长达数年的网络间谍活动

恩哥和索弟 微步在线研究响应中心 2021-12-23


1

概述

近期微步在线捕获数起针对南亚、中东地域多个国家的 APT 攻击活动,主要涉及到签订"恰巴哈尔港协议"的三方成员国,包括伊朗、阿富汗和印度,具有明显的国家战略目的。背后攻击组织进行的历史间谍活动至少可以追溯到2013年,擅长使用钓鱼和水坑攻击,攻击平台涉及到 PC 端和移动端,使用的工具以开源木马为主,同时也具备一定的开发能力,拥有自己的窃密后门。

恰巴哈尔港,又名恰赫巴哈尔,位于伊朗东南端锡斯坦—俾路支斯坦省的海岸,南面海运枢纽的阿拉伯海主航道,东临巴基斯坦。恰巴哈尔港向西是全球油气中心的波斯湾沿岸,向北通向石油资源丰富的中亚国家,正好处于西亚、南亚、中亚和印度洋的交汇之处,地理交通极为重要。它所在的恰巴哈尔市是伊朗海军和空军军事重地,伊朗拥有多处大型铁矿、巨型铜矿和丰富的油气资源,靠近伊朗的阿富汗也拥有亚洲最大的铁矿和世界级的铜矿。而参与签订恰巴哈尔港合作协议的印度和阿富汗,长期以来陆上交通受制于巴基斯坦,恰巴哈尔港的建立正好为印度、阿富汗和伊朗打开一条新的战略通道,恰巴哈尔港距离中巴经济走廊-瓜达尔港不到100公里,被称为印度版的"一带一路"。

微步情报局分析有如下发现:
  • 此次发现攻击活动背后的组织至少从2013年活跃至今,攻击地域覆盖伊朗、阿富汗、印度和巴基斯坦国家,涉及人权活动家、运输部门、军事、退役军人、极端信仰者和政府部门等;
  • 投递的后门具备 PC 和安卓双平台攻击能力,PC 平台使用 PrisrolRAT 和 QuasarRAT 两种后门,安卓平台则使用 AndroRAT 后门;
  • 在资产 Whois 信息、AndroRAT 木马配置、攻击目标和地域上,发现该组织和透明部落存在一定的重合,疑似也具备巴基斯坦背景;
  • 微步在线通过对相关样本、IP 和域名的溯源分析,共提取25条相关 IOC,可用于威胁情报检测。微步在线威胁感知平台 TDP 、本地威胁情报管理平台 TIP 、威胁情报云 API 、互联网安全接入服务 OneDNS 、主机威胁检测与响应平台 OneEDR 等均已支持对此次攻击事件和团伙的检测。

2
 
详情
近期微步在线捕获到数起攻击活动,包括针对 Windows 平台使用钓鱼攻击和水坑攻击投递具有明显目的性的恶意诱饵文档和伪装正常软件的恶意安装包,同时还有搭建伪装正常 Android 应用商店诱导受害者下载的恶意 APP。关联发现,此次攻击活动背后组织的历史间谍活动至少可以追溯到2013年,早期针对印度地区进行攻击,在2017年"恰巴哈尔港协议"签订三方-印度、阿富汗、伊朗正式开展贸易往来后,伊朗、阿富汗以及伊朗和巴基斯坦交界-俾路支斯坦地区也被纳入攻击范围,主要涉及人权活动家、运输部门、军事、退役军人、极端信仰者和政府部门等多个领域。通过溯源分析,发现近期捕获的移动端后门配置信息,与透明部落(TransparentTribe)组织近期使用的后门具有相同配置,这意味着两个组织或许存在一定的关联,此次攻击活动目的性较强,带有国家战略性目的,疑似具有国家背景支持的 APT 攻击组织所为。
活动特征时间线:


3

样本分析
此次发现攻击活动中的恶意样本涉及 Windows 平台和 Android 平台,Windows 平台使用多种类型恶意样本进行钓鱼和水坑攻击,在木马后门的使用上以开源木马 QuasarRAT 和命名为 PrisrolRAT 的 Delphi 特马为主,Android 平台上样本使用的都是开源 AndroRat 木马,手法则是通过伪造正常的 Android 软件下载商店,诱导受害者目标下载运行。

Windows 平台

1. Windows 平台的恶意样本总共有四类,携带木马的诱饵压缩包、可执行自解压诱饵程序和两种恶意类型的文档,其中一种恶意文档以启用宏的方式释放后门。另外一种恶意文档原理和模板注入相同,但并不是常见的下载恶意文档,而是用来作为探针使用。
2. 近期样本整理表格:
文件名
上传VT时间
诱饵文件截图
诱饵主题
Personality.docx
2021-07-01 19:20:00
 

摘自网站博客文档,找到真实自我的 6 个步骤
Guests List - Media Release (Personal &
Confidential).xls
2021-07-04 04:54:58
 


PROVINCIAL POLICE CHIEF OFFICIAL DIRECTORY.xls
2021-03-10 12:24:22
 


Chabahar Port Agreement (Trilateral) in Iran.doc
2021-03-13 09:13:54
 

印度、阿富汗和伊朗在恰巴哈尔港进行的三边协议
Black Listed Immigrants– By MoIA.docx
2020-11-12 14:40:00
 

阿富汗内政部移民局黑名单
Visa Issued - Processed 2020 VIP.docx
2020-12-07 03:41:24
 
阿富汗移民局记录去往印度移民签证名单
Pakistani Nationals - (Appred by NDS).xls
2020-05-04 07:00:07
阿富汗国家安全局(NDS)统计部分巴基斯坦人
员信息
Online Shipping Status System -
(MoS) - Developed
by NIC.zip
2020-05-05 10:11:19

印度国家信息中心(NIC)在线运输系统
RecoverMyFiles-32bit-(v6.3.2.2553).exe
2020-03-09 21:52:12

伪装RecoverMyFiles恢复文件软件
Salary & Income Tax & Pension Calculator (Government of India) -(1).xls
2019-08-09 01:24:51
印度“所得税部门”的税收计算器
3. 探针型文档样本分析
3.1 基本信息
样本类型
Office Open XML Document
样本名称
Personality.docx
SHA256
496dad65fb4014fd66b677a9fadcda9a5a17726603c81fd65a9ff07c7e105d7f
SHA1
22873333c5c440715fd593384f805b44066b03d9
MD5
28ffba0b074218b0c9ff0360d8791bfd
C2
https://fiberxwashin.000webhostapp.com/android/iprdr.php
3.2 样本分析
a)打开恶意文档后,会触发远程模板链接,访问内嵌 URL 链接 "https://fiberxwashin.000webhostapp.com/Android/iprdr.php" ,但无返回任何下载后续,猜测该样本作用是利用探针获取反连信息。
4. 宏文档类型1样本分析
4.1 基本信息
样本类型
MS Excel Spreadsheet
样本名称
Guests List - Media Release (Personal & Confidential).xls
来宾名单 - 媒体发布(个人和机密).xls
SHA256
3f3db971f1d2721ac273e60fb9b0e172bb635f8f5e7889eaf9fc59d61edd5ddc
SHA1
cedbff948ac1744587f33d18415f018172f984c4
MD5
baadccb9fec9f54c22eba25a15d0b484
C2
fiberxwashin.000webhostapp.com

4.2  样本分析
a)该样本携带宏代码,将Base64编码的载荷解码后释放文件并执行,释放目录 "%appdata%\Microsoft\update\modules\csrss.exe"。

b) "csrss.exe" 由 Delphi 编写,功能为窃取目标的数据文件,由多个时钟事件触发恶意代码,窗口 Create 事件中通过写注册表的 Run 实现持久化(启动项名称:"Microsoft Modules Patcher")。

c) 检查 "www.google.com.pk" 是否可连通。

d) 初始化 C2 服务器的目录(此处 C2 的文件上传并且没有检验文件后缀),获取包括:进程信息、软件信息、硬件信息、系统版本在内的计算机信息,存放在控件的 Text,在 HTTP 中 GetText 取出数据发送至服务器。

e)循环获取 C2 服务器的 "/fil" 文件,该文件存放文件后缀名,如:"*.doc"。然后由本地的程序扫描此类后缀的文件并且上传。 
f)文件遍历,获取特定后缀的文件。

5. 宏文档类型2样本分析
5.1 基本信息
样本类型
MS Word Document
样本名称
Chabahar Port Agreement (Trilateral) in Iran.doc
伊朗恰巴哈尔港协议(三边).doc
SHA256
7eeef37f3a4c6367603d14e63e7783c75ec66ee85beee21d692ec5391437600d
SHA1
82e178fa41008cd74efc7a61f1ba3a444b86f98e
MD5
559aa44dd01023008bdea07884aae978
C2
faqeera-56805.portmap.io:56805

5.2 样本分析
a)该样本和上述样本携带同样的宏代码,将 Base64 编码的载荷解码后释放文件并执行,释放目录"%appdata%\msword.exe"。

b) "msword.exe" 文件为 SFX 类型的压缩文件,被执行后会释放 Delphi 加载器和 QuasarRAT 后门。

c) "JavarOracle Updator.exe" 为 Delphi 加载器,由 SFX 的命令行执行,运行后会查找同目录下是否存在"3_5"、"4"、"4_5"文件,如果任意一个文件存在则更名为 "juschaid.exe",并写入注册表的 Run 启动项。 
 
d)"3_5"、"4"、"4_5"均为 QuasarRAT 木马,C2:"faqeera-56805.portmap.io: 56805"。

e) QuasarRAT支持的功能包括以下:
  • TCP网络流(支持IPv4和IPv6)
  • 快速网络序列化(协议缓冲区)
  • 压缩(QuickLZ)和加密(TLS)通信
  • 多线程
  • UPnP支持
  • No-Ip.com支持
  • 访问网站(隐藏且可见)
  • 显示消息框
  • 任务管理器
  • 文件管理器
  • 启动经理
  • 远程桌面
  • 远程外壳
  • 下载并执行
  • 上传并执行
  • 系统信息
  • 计算机命令(重新启动,关机,待机)
  • 键盘记录器(Unicode支持)
  • 反向代理(SOCKS5)
  • 密码恢复(通用浏览器和FTP客户端)
  • 注册表编辑器
6. EXE样本分析
6.1 基本信息
样本类型
PE32 executable for MS Windows (GUI) Intel 80386 32-bit
样本名称
RecoverMyFiles-32bit-(v6.3.2.2553).exe
SHA256
f2b90c64b2a5480317357ee6fefb1dad5abd3eea2446ab05bc562f83df6f0a19
SHA1
0e898defb1eb964858a5e30c9560c81e188c2f41
MD5
44e364a9c83f148e02c45b9eed1f5da2
C2
whats-28668.portmap.host:28668
6.2 样本分析
a) 该样本和"宏文档类型2样本分析"释放的SFX一致,不同点在于此样本伪装成数据恢复软件投递,SFX在执行后门的同时还会安装正常数据恢复软件。 
 

Android平台

1.通过资产域名多维度关联,发现其中一个链接下存在恶意APK样本,通过微步在线大数据平台检索发现,该APK样本是通过伪造APKPure应用商店诱导用户下载。

2. 根据伪造的APKPure商店特征分析,回溯到多个伪造的恶意APK样本。
APK名称
APK打包时间
针对目标
Ahmadiyya Quran App.apk
2021-5-22 19:56:12
信仰艾哈迈迪亚教派相关的人群
Australia - Official Visa and Immigration App.apk
 
2021-5-22 19:56:12
移民澳大利亚人群。
NDTV News India v9.1.6.apk
2021-4-27 16:30:50
对印度新闻感兴趣人群
DHRPK Smart App.apk
2021-5-22 19:56:12
巴基斯坦的DHRPK(捍卫人权和公共服务信托基金)人群。
Ahle Tashia Kamal and Karwan e Haider.apk
2021-4-23
一家为伊朗、伊拉克和叙利亚 (SHAAM) 的朝觐提供旅行社服务
President Portal Afghanistan.apk
 
2021-5-22 19:56:12
关注阿富汗政府信息人群
UNHCR Pakistan Mob App.apk
 
2021-5-22 19:56:12
联合国难民署巴基斯坦人群。
Sach News HD.apk
2021-5-22 19:56:12
巴基斯坦新闻直播
Union Gulf Recruitment.apk
 
2021-5-22 19:56:12
对阿拉伯联合海湾招聘感兴趣人群
ICRC Meeting App.apk
 
2021-5-22 19:56:12
红十字国际委员会
UNHCR Mob App.apk
 
2021-5-22 19:56:12
难民署
UNHCR Pakistan Mob App.apk
 
2021-5-22 19:56:12
难民署(巴基斯坦)
Veterans Web Portal.apk
 
2021-5-22 19:56:12
退伍军人
3. 样本分析
3.1 基本信息
样本类型
APK
样本名称
Ahmadiyya Quran App.apk
SHA256
cab8bd4ca7f680af39866d8437e34583907b3281dc63b0a0a22edc59737bf009
SHA1
cc258951274e00dd85a2400bfa0fc8e3f02c86fa
MD5
102c4fc12aeece18f2ac6b31402ff39a
C2
45.77.142.195:18876
3.2 对比样本的代码特点,发现该样本和开源木马 AndroRAT 同源,属于变种。

3.3 AndroRAT 的功能至少包括:获取联系人信息、获取通话信息、获取短信信息、GPS/网络定位、实时监控接收短信息、实时获取手机状态、拍照、响铃、录视频、发短信、打电话、打开浏览器和手机震动等。

4

历史攻击活动关联
对相关样本分析后,通过微步在线溯源平台和大数据平台进行攻击活动回溯,发现该组织攻击活动至少可以追溯到2013年,并从2017年开始使用"恰巴哈尔港协议"签订三方国家的相关话题进行攻击,如:"俾路支失踪人员联系名单"、"阿富汗-印度-伊朗战略政策成员"、"阿富汗、印度和伊朗的主要利益相关者名单"等。
通过代码同源发现该组织最早在2013年开始使用 Delphi 开发的后门进行攻击活动,根据早期中后门出现的 "prisrol.dev" 字符串,微步在线将后门命名为PrisrolRAT,并且根据功能的不同分为V1和V2两个版本。
历史样本追溯:
1.对近期发现的样本分析时,发现一例相关样本作者名较为特别,通过大数据平台进行搜索发现一例2018年使用的攻击样本。
2.对关联到的历史恶意样本宏代码元数据和资产进一步关联分析,发现一批2017年至2018年该组织攻击活动中使用的诱饵。
3. 部分诱饵整理如下:
Attack video of Afghan Gen Raziq last moments.doc
2018-11-15 17:01:15
3827620564285f938c454c336a5a564b9d6a9b8b02cbd3a3f5bf7ba47c87f431
阿卜杜勒·拉齐克被刺杀事件
List of Key Stakeholders in Afghanistan, India and
Iran.xls
2018-10-13 20:24:29
7ff91426c2321a78eacaa7660bd1240687d0a852bd63ddfedaefa008503a0ebc
阿富汗、印度和伊朗的主要利益相关者名单
Afg-India-Iran Strategic Policy
Members(1).xls
2017-04-20 04:15:37
b60cbe0b6ba52652f7dd398da0ad346c3d605e8dd3a58e4a8c4e2254da0c8707
阿富汗-印度-伊朗战略政策成员
Baloch_Missing_Persons_Contact_List.xls
2017-02-27 15:07:09
898d137e4d676ac02ff83c607abbe24a8187e1fcda895b100f157e2eb8d9dffb
俾路支失踪人员联系名单
India Afghanistan Iran Military Cooperation.pptx.exe
2016-12-29 06:10:19
9b63006edce1a1d68d7475e516007c76f09fd63b8421975ac8e07fb6701fc666
印度-阿富汗-伊朗军事合作
4. 在对样本 "India Afghanistan Iran Military Cooperation.pptx.exe" 分析后,发现释放的后门为 Delphi 窃密木马,其同源样本出现过 "prisrol.dev" 字符串,所以将其命名为 PrisrolRAT V1。

5.除此,在对比近期攻击中的 Delphi 后门过程中,发现和 PrisrolRAT V1 代码存在一定的相似性并且资产也高度接近,所以将其近期攻击使用的 Delphi 后门命名为 PrisrolRAT V2。对比两个版本,V1 和 V2 存在一定的差异,但实现的功能均为窃取文件功能。
6.版本差异,在 V1 版本中,其窃取的文件类型固定为 xls、jpg、ppt、iaf,还具备键盘记录功能,在 V2 版本中去除了键盘记录功能,文件类型也由服务端的fil文件所决定,此外还增加了系统信息的回传。

7.除此,发现大量 PrisrolRAT 样本具有 "/script.php?a=" 这样的 URL 请求特点,通过微步在线同源 URL hunting 系统进行搜索,发现部分疑似该组织的请求URL。

8.对疑似同源的 URL 进行排查后,筛选出该组织的早期资产,发现其中一个域名下存在通信的样本,分析后发现该样本为 PrisrolRAT V1 版本,上传时间为2013年4月。


5
组织归因
1.历史活动中使用的资产域名 “myshoppingcartseven.org”,在历史 Whois 信息中注册国家为巴基斯坦。

2.在“透明部落” APT 常用的域名 “shareboxs.net” 上发现了完全一致配置的 APK样本,其 APK 上传时间在2021年5月份,这说明两个组织存在一定的关联。


3.在对2017年-2018年攻击活动使用的文档类型诱饵模板分析时,发现一批使用相同模板的样本,分别为使用 CrimsonRAT 的透明部落组织和使用 EHDevel、YTY 恶意框架的 Donot 组织。

4.对比双方样本发现,透明部落样本量明显多于 Donot,宏代码上 Donot 较为单一而透明部落则花样繁多,并且在观察到两个组织历史活动中,同样发现有明显使用相同模板的痕迹,元数据和宏代码对比如下:
 
5.分析历史活动样本时,发现其中部分样本的压缩包文件是由印度地区进行上传,在该压缩包内,还发现透明部落组织相关样本。


6

总结

此次发现的攻击活动背后组织至少从2013年活跃至今,具备双平台攻击能力,拥有木马开发能力,早期活动中使用特马攻击,而后期活动中改为使用开源木马,资产方面多以动态域名为主。此外,在关联分析样本的过程中发现,该组织与透明部落攻击目标和手法发现存在一定程度的重合。

攻击目标早期主要覆盖印度地区,随着恰巴哈尔港协议签订,涉及到的国家均被列入攻击范围,除了伊朗、阿富汗和印度这三位协议签定方外,靠近恰巴哈尔地区的俾路支斯坦(巴基斯坦和伊朗边境)也没逃脱攻击范围。
此次攻击活动的背后符合来自国家之间的利益冲突和较量,涉及的国家基本也位于南亚、中东地域,而南亚和中东地域一直也是APT攻击活动高发地域。近日,随着美国撤军阿富汗后,阿富汗塔利班接手政权,阿富汗国内局势大变,引起全球高度关注,这种剧烈的政治震荡并不会马上平息,同样会影响相关地域网络空间战场局势,微步在线一直以来高度关注来自相关地区的APT组织,并且会持续性跟踪相关APT攻击活动。

- END -

公众号内回复“三边可获取完整版(含IOC)PDF报告。



关于微步在线研究响应团队

微步情报局,即微步在线研究响应团队,负责微步在线安全分析与安全服务业务,主要研究内容包括威胁情报自动化研发、高级 APT 组织&黑产研究与追踪、恶意代码与自动化分析技术、重大事件应急响应等。


微步情报局由精通木马分析与取证技术、Web 攻击技术、溯源技术、大数据、AI 等安全技术的资深专家组成,并通过自动化情报生产系统、云沙箱、黑客画像系统、威胁狩猎系统、追踪溯源系统、威胁感知系统、大数据关联知识图谱等自主研发的系统,对微步在线每天新增的百万级样本文件、千万级 URL、PDNS、Whois 数据进行实时的自动化分析、同源分析及大数据关联分析。微步情报局自设立以来,累计率先发现了包括数十个境外高级 APT 组织针对我国关键基础设施和金融、能源、政府、高科技等行业的定向攻击行动,协助数百家各个行业头部客户处置了肆虐全球的WannaCry 勒索事件、BlackTech 定向攻击我国证券和高科技事件、海莲花长期定向攻击我国海事/高科技/金融的攻击活动、OldFox 定向攻击全国上百家手机行业相关企业的事件。




内容转载与引用



1. 内容转载,请微信后台留言:转载+转载平台

2. 内容引用,请注明出处:以上内容引自公众号“微步在线研究响应中心”
: . Video Mini Program Like ,轻点两下取消赞 Wow ,轻点两下取消在看

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存