疑似蔓灵花APT组织针对巴基斯坦航空综合部门攻击活动分析
点击蓝字关注我们
安恒威胁情报中心
疑似蔓灵花APT组织针对巴基斯坦航空综合部门攻击活动分析
- by 猎影实验室-
事件背景
蔓灵花(Bitter)是一个被广泛认为来自印度的APT组织,该组织长期针对我国及巴基斯坦的政府、军工、电力、核等部门发动网络攻击,窃取敏感数据,具有较强的政治背景。
近期安恒威胁情报中心猎影实验室捕获到一个疑似蔓灵花组织针对巴基斯坦“航空领域”的攻击活动样本。该样本使用名为“PAC Advisory Committee Report.doc”的诱饵文档进行攻击。并且使用一个处于失陷状态的巴基斯坦二手交易网站服务器来下发第二阶段载荷。
样本分析
初始样本是一个包含CVE-2018-0798漏洞的rtf文档,执行后会访问远程服务器并下载名为“bd.msi”的安装程序执行。远程服务器(sbss.com[.]pk)是一个巴基斯坦的二手交易网站,该网站疑似遭遇了入侵,属于失陷状态。
远程msi程序下载地址:“https://sbss.com[.]pk/gts/bd.msi”
msi程序执行后会根据安装路径释放一个名为“Tlntslvclnt.exe”的下载器:
文件名称 | Tlntslvclnt.exe |
样本类型 | 应用程序 (.exe) |
文件大小 | 52.0 KB (53,248 字节) |
文件MD5 | CC7DDF9ED230AD4E060DFD0F32389EFB |
功能描述 | 下载器:回连C2服务器,下载后续载荷执行 |
样本执行后会首先从字符串资源中获取窗口名称(“NewProject_2.1”)与类名(“NEWPROJECT_21”),创建Windows窗口后通过自定义算法解密回连C2(“subscribe.tomcruefrshsvc[.]com”)等字符串数据。
解密算法为异或运算:
创建工作目录:"C:\Users\admin\AppData\Local\Updates",如果当前目录下不存在" systemlog"文件,则表示当前是第一次运行。首次运行时样本会通过进程遍历检测是否存在“avp”和“MsMp”等杀软进程。
然后在系统启动菜单中创建“update.lnk”快捷方式文件,用于持久化。
该快捷方式最终会指向如下工作目录中的文件:“C:\Users\admin\AppData\Local\Updates\update.exe”
在工作目录中创建“systemlog”日志文件,写入字符串数据“aa”,然后将自身拷贝到工作目录重命名为“tmp.exe”,执行自拷贝文件后退出当前进程。
“
第二次执行
获取系统名称、用户名、系统版本等敏感数据,使用如下格式进行拼接:"计算机名&&user=用户名&&OsI=系统版本"
拷贝自身(“tmp.exe”)到工作目录(update.exe)用于持久化,然后循环获取C2对应IP地址,准备执行核心函数:
进入核心函数后首先与C2服务器进行通讯,URL参数中包含用户名、主机名、系统版本等信息。URL:“/VcvNbtgRrPopqSD/SzWvcxuer/userlog.php”
检测服务器返回数据中是否包含由“主机名+用户名”组合而成的字符串。然后通过英文状态的单引号'"'从数据包中获取待下载后门程序的名称:
第二次回连C2服务器,获取后门程序。URL:“/VcvNbtgRrPopqSD/WqeC812CCvU/【后门名称】”
判断C2返回数据中是否包含“ZxxZ”字符串:
创建后门程序写入PE文件数据:
第三次回连C2服务器,返回成功标识。URL:“/VcvNbtgRrPopqSD/SzWvcxuer/sDeRcEwwQaAsSN.php?txt=DN-SZxxZ【后门名称】ZxxZ【主机名+用户名】”
第四次回连C2服务器,根据后门程序执行状态,访问不同URL:
状态 | URL |
执行成功 | /VcvNbtgRrPopqSD/SzWvcxuer/sDeRcEwwQaAsSN.php?txt=SZxxZ【后门名称】ZxxZ【主机名+用户名】 |
执行失败 | /VcvNbtgRrPopqSD/SzWvcxuer/sDeRcEwwQaAsSN.php?txt=RN_EZxxZ【后门名称】ZxxZ【主机名+用户名】 |
防范建议
安恒APT攻击预警平台能够发现已知或未知威胁,平台能实时监控、捕获和分析恶意文件或程序的威胁性,并能够对邮件投递、漏洞利用、安装植入、回连控制等各个阶段关联的木马等恶意样本进行强有力的监测。
同时,平台根据双向流量分析、智能的机器学习、高效的沙箱动态分析、丰富的特征库、全面的检测策略、海量的威胁情报等,对网络流量进行深度分析。检测能力完整覆盖整个APT攻击链,有效发现APT攻击、未知威胁及用户关心的网络安全事件。
安恒主机卫士EDR通过“平台+端”分布式部署,“进程阻断+诱饵引擎”双引擎防御已知及未知类型威胁。
IOC
MD5
bf1a905e11f4d44de8bd2e0a6f383ed5
2a8ebefc90feb991e3a1f31b0a61f265
cc7ddf9ed230ad4e060dfd0f32389efb
C2
subscribe.tomcruefrshsvc[.]com
URL
http://sbss.com[.]pk/gts/bd.msi
https://sbss.com[.]pk/gts/bd.msi
subscribe.tomcruefrshsvc[.]com
subscribe.tomcruefrshsvc[.]com/VcvNbtgRrPopqSD/SzWvcxuer/userlog.php
subscribe.tomcruefrshsvc[.]com/VcvNbtgRrPopqSD/WqeC812CCvU/【后门名称】
subscribe.tomcruefrshsvc[.]com/VcvNbtgRrPopqSD/SzWvcxuer/sDeRcEwwQaAsSN.php?txt=DN-SZxxZ【后门名称】ZxxZ【主机名+用户名】
subscribe.tomcruefrshsvc[.]com/VcvNbtgRrPopqSD/SzWvcxuer/sDeRcEwwQaAsSN.php?txt=SZxxZ【后门名称】ZxxZ【主机名+用户名】
subscribe.tomcruefrshsvc[.]com/VcvNbtgRrPopqSD/SzWvcxuer/sDeRcEwwQaAsSN.php?txt=RN_EZxxZ【后门名称】ZxxZ【主机名+用户名】
招聘 信息
岗位:二进制安全研究员
岗位职责:
* 针对海量威胁数据的挖掘,寻找APT攻击事件;
* 负责热门的安全事件、最新漏洞的分析,编写响应的分析报告;
* 研究新的检测方法,完善产品的检测能力;
* 协助内部威胁分析平台建设等。
任职要求:
* 熟悉windows、Linux等平台调试手段,熟练使用逆向分析工具(如:IDA、WinDbg、OllyDbg等);
* 熟悉C/C++、汇编语言,至少熟悉一门脚本编程语言,能快速完成POC代码编写;
* 熟悉病毒、木马通信原理和常用技术以及常见加密算法等;
* 了解二进制安全漏洞原理,具备独立漏洞分析能力;
* 了解yara、snort等类似策略编写;
* 具备大数据挖掘能力,能够快速对数据进行关联分析;
* 思路清晰,善于主动思考,有创新、能独立分析和解决问题,具有良好的沟通能力和团队合作精神。
加分项:
* 具有信息安全公司实习、从业经验;
* 熟悉APT攻击攻防、威胁狩猎,具备Sandbox开发、杀软类绕过研究、加壳工具开发经验;
* 具备多平台恶意代码分析经验(Linux、Android、macOS等);
* 有二进制相关漏洞CVE编号;
* 熟悉Web攻防,了解红蓝对抗相关工具使用以及内部原理,有渗透相关经验;
* 具备机器学习的相关实战经验。
投递邮箱:
xiaoyi.tu@dbappsecurity.com.cn
安恒信息威胁情报中心
情报云脑.智能安全
平台地址:https://ti.dbappsecurity.com.cn/