APT-C-59(芜琼洞)组织2021年攻击行动揭秘
2021年上半年,360高级威胁研究院发现了来自同一个新APT组织的多起攻击活动,根据该组织的攻击特征分析显示,我们发现其相关攻击行动未与目前已知APT组织关联,同时我们观察到该组织的两次攻击行动中都使用了0day漏洞攻击手段,所以将其背后的攻击者命名编号为APT-C-59(芜琼洞)。APT-C-59(芜琼洞)组织的最早的攻击活动可以追溯到2020年8月,早期该组织就利用了部分浏览器的伪协议0day漏洞攻击我国相关单位,同时还攻击了越南地区的部分受害者。通过攻击数据综合分析,我们可以看到该组织的攻击目标地区是以东亚和东南亚为主,涉及政府、智库、媒体、医疗多个行业。
1. 攻击过程分析
APT-C-59(芜琼洞)组织在攻击行动中习惯利用正常应用vmnat.exe(Vmware程序的组件)加载恶意程序,同时利用0day漏洞,云盘投毒,诱饵文档等多种方式投递恶意载荷。
1.1 载荷投递方式
时间 | 载荷投递方式 | 受害者行业 |
2021.1 | 通过钓鱼邮件发送包含浏览器漏洞(CVE-2021-26411)的链接 | 智库 |
2021.3 | 存放于内部云盘站点的恶意安装包,攻击者疑似取得站点控制权 | 媒体 |
2021.5 | 通过钓鱼邮件发送恶意安装包 | 医疗 |
1.1.1 CVE-2021-26411漏洞
1.1.2 云盘投毒
产品 | 文件名 | MD5 | 编译时间 | 原安装包md5 |
威速视频会议 | launcher_setup.exe | 95590e42eb5962ee579f3a75bd2d4f1d | 2021/1/19 19:19 | DDF4DCBD7139C2908F099B3B8B48E7EF |
威速视频会议 | launcher_setup.exe | d2ea8a53e5db1b1d78bdc08d66bc1cf6 | 2021/2/10 9:34 | DDF4DCBD7139C2908F099B3B8B48E7EF |
mythicsoft文件搜索工具 | FileLocator Pro 8.5 Build 2912.exe | 0782A0D6313FBB19A61D1FDC59234812 | 2021/2/10 9:34 | 1F880A42EF85C626CB7263DC94A52C97 |
mythicsoft文件搜索工具 | FileLocator Pro 8.5 Build 2912.exe | DA74F7B01965321E3DE86BEB59130B74 | 2021/1/19 19:19 | 1F880A42EF85C626CB7263DC94A52C97 |
mythicsoft文件搜索工具(免安装版) | FileLocatorProPortable.exe | 29F84B0C138F0A8C3B1F6C9A43911984 | 2021/2/10 9:34 | C3BAF093EAAF2098E080CB18A4D331DF |
1.1.3 鱼叉邮件
在相关攻击活动中,恶意诱饵文件会伪装为网易邮箱程序的正常插件。恶意后门插件会安装到C:\Program Files (x86)\Common Files\Netease\Webmail\plugins目录,其中netcmplugin.dat(配置文件)、shfolder.dll、npLBPlugin.dll为恶意后门文件,其余为正常文件。
1.2 恶意载荷分析
1.2.1 后门程序
http请求
阶段 | Content-Disposition | Data |
信息回传 | name=”link0” | P |
name=”info0” | xxx_2021 | |
name=”file”; filename=”17616_1282021” | 文件数据 | |
压缩包下载 | name=”link0” | T |
name=”info0” | xxx_2021 | |
屏幕截图上传 | name=”link0” | I |
name=”info0” | xxx_2021 | |
name=”file”; filename=”161428_1292021” | 文件数据 | |
命令执行响应 | name=”link0” | D |
name=”info0” | xxx_2021 |
配置文件解析
Cloud-Protection_CENTER | CENTER_T | 加密字符串 | 通讯时间间隔 |
CENTER_P | 加密字符串 | c&c | |
CENTER_D | 0/1 | 是否为本程序创建持久化计划任务 | |
FILES | COUNT | 数值 | 压缩包内除配置文件外的文件数量 |
FILE_x(x为索引值) | 文件路径 | 指示同名文件要释放的路径 | |
CON_CH | T/F | 重新设置c2和通讯时间间隔 | |
SCREEN | T/F | 屏幕截图上传 | |
AR | 索引 | 为指定索引的文件创建计划任务 | |
EXECUTION | 索引 | 执行命令“forfiles.exe /p c:\windows\system32 /m notepad.exe /c”,要执行的文件由索引指定。 |
加解密
1.2.2 白利用
1.2.3 反弹shell
2. 关联数据分析
62.112.8.79:13
37.120.140.233:65505
190.2.147.128:80
88.150.227.110:80
66.70.220.100:25/443/65505
89.38.99.11:80/8443
common.js.ftp.sh
hao.360.mooo.com
itoxtlthpw.com
https://common.js.ftp.sh/ee/en.html
http://hao.360.mooo.com/cloud/360log/safemon.php
http://190.2.147.128/sangfor/cloud/edrTL.php
http://itoxtlthpw.com/html/act/license.php
95590e42eb5962ee579f3a75bd2d4f1d
d2ea8a53e5db1b1d78bdc08d66bc1cf6
0782A0D6313FBB19A61D1FDC59234812
DA74F7B01965321E3DE86BEB59130B74
29F84B0C138F0A8C3B1F6C9A43911984
7fbdf64d370f60c1b375989579a9466f
64a44595dbe1c19d1a666ea92b80e2ea
fe39b7713f040e839f54edc42af7b63a
63b80446ff4cefa9db70f6cdffaa6a05
256fddb1ba3742b68935fa0b2af433d5
360高级威胁研究院