查看原文
其他

APT-C-35(肚脑虫)组织近期攻击活动披露

高级威胁研究院 360威胁情报中心 2023-02-07


APT-C-35  肚脑虫APT-C-35(肚脑虫),也称Donot,是一个来自于南亚的境外APT组织,其主要针对巴基斯坦及周边国家地区的政府机构进行网络间谍活动,以窃取敏感信息为主。该组织的攻击活动最早可追溯到2016年,近年来该组织活动频繁,不断被数个国内外安全团队持续追踪和披露。

近期,360高级威胁研究院在日常威胁狩猎中多次发现APT-C-35(肚脑虫)组织的攻击活动。在本轮攻击行动中,该组织依然采用宏文档作为恶意载体,从自身释放恶意载荷并执行,通过层层下载的方式加载远控模块,从而实现窃密行动,并且整个过程的恶意代码均带有数字签名信息。

 一、攻击活动分析 

1.攻击流程分析

该组织近期攻击流程大致如下所示:

APT-C-35(肚脑虫)组织使用PPT或者XLS文档作为攻击载体,当受害者打开恶意文档时,会立即释放一个压缩包文件和批处理文件,并创建3个定时任务。其中Tls_SSL计划任务每隔4分钟执行批处理文件,批处理文件主要作用是将释放的压缩包进行解压操作,得到恶意可执行文件comd.exe,并删除Tls_SSL计划任务。My_Drive计划任务是定时执行comd.exe,comd.exe负责继续下载下一阶段载荷,同时下载一个批处理脚本作为Pls_SSL计划任务的启动项从而启动下载的载荷,载荷的主要功能为下载远控模块mnps.exe,从而实现恶意活动。

2.载荷投递分析

本轮攻击过程中,APT-C-35(肚脑虫)组织使用了大量的恶意PPT及XLS文档作为载体进行攻击,下面以某XLS恶意样本为例,样本信息如下。

文件名称

trix.xls

文件大小

2.95 MB

MD5

828174ee0a9f25eaad48957ced66b81d

该文件为携带恶意宏的文档,打开的时候会提示受害者启用宏,并且宏被加密,受害者查看不到宏信息。

一旦宏代码执行,首先会弹出消息框,让用户误以为文档错误。该手法在APT-C-35(肚脑虫)组织中特别常见。

同时,恶意宏代码在C:\Users\Public\Music目录下先后下释comd.zip和pbs.bat文件。

接着创建三个计划任务,运行指定的文件,以此实现驻留。

其中名为Tls_SSL的计划任务运行pbs.bat文件,其功能就是解压comd.zip,并删除Tls_SSL任务,内容如下所示。

My_Drive任务就是执行解压后的恶意文件,从而开启完整攻击。

3.攻击组件分析

宏代码释放的压缩包,通过BAT文件解压得到第一阶段的载荷comd.exe信息如下:

文件名称

comd.exe

文件大小

22.46 KB

MD5

06e0d216969caa0dfd98269a860b153b

该文件带有数字签名“maxforsec”,但是该签名已无效,具体如下图所示。

comd.exe是个Downloader,主要执行下载功能,执行时首先利用sleep延迟执行来规避沙箱检测。

然后分别从地址http://blogs.libraryutilitis.live/vrhkdkjrajksrjkaskdoneS/rbjhrkjahsrjejka下载得到pbs PE文件和从地址http://blogs.libraryutilitis.live/nrasjkhrsjkdrhkdfjkB/klrjajlrjklrkljaklrjklasklf下载得到pbs.bat,该批处理文件的功能是将pbs改名为creep.exe并执行,同时又由于pbs.bat是Pls_SSL计划任务的执行文件,从而以此实现了creep.exe的驻留。

第二阶段的creep.exe的信息如下:

文件名称

creep.exe

文件大小

122.46 KB

MD5

676a10be289cf8978af6cdbdba536678

编译时间

2022-11-01

该文件与上一阶段具有相同的数字签名信息, 也是一个Downloader,主要完成下载功能,解密出地址https://blogs.libraryutilitis.live/hkjnlkhfshjkls2/nrjukurjhajrjh并下载为%USERPROFILE%Servicing\Packages\Hyper\mnps.exe

最终载荷信息如下:

文件名称

mnps.exe

文件大小

213.96 KB

MD5

e55d17ba37bfba78dc4cdbd8cca9f36b

编译时间

2022-10-06

签名信息与上阶段有所不同,签名信息为“fukuyashi”,如下图所示。

该载荷为远控模块,运行之后,首先会创建一个名为“smservoioirija”的事件,创建成功之后,先休眠186秒,然后死循环执行远控功能。

然后依次解密ServerName和ObjectName分别为“best.tasterschoice.shop”和“/ceioriakgfigalrj/”,并向http://best.tasterschoice.shop/ceioriakgfigalrj/发送请求,通过获取HTTP请求信息从而获取不同的指令。

本次捕获的组件共支持3个指令,指令功能如下:

命令号及功能:
  • ho12x:
    下载文件到指定路径
  • c881a:
    执行 %USERPROFILE%\\rescache\\Res\\Segment\\apinova.exe
  • czr231:

    执行 %USERPROFILE%\\rescache\\Res\\Segment\\donut.bat

 二、技战法变化 

  1. 恶意载荷之前攻击过程中主要是通过宏代码下载得到,本轮攻击中载荷主要是通过宏代码从自身释放压缩包并解压得到。

  2. 中间模块采用了EXE可执行文件的形式,不再一贯使用DLL作为中间攻击组件。

  3. 本次捕获的样本和以往样本除了在命令号不同以外,在解密算法上也进行了部分改变,之前的样本喜欢将字符串每位相减一个较小数进行解密,本次攻击中部分载荷也沿用了该方式,但是有些载荷也存在差异,不再是字符串每位减去固定数字,如下图所示,部分样本每次循环中字符串有些是减7,有些是减去10。

三、归属研判 

  1. 本次捕获样本跟前期掌握的攻击样本比较相似,都是在%public%下释放zip文件,并都是使用批处理脚本方式进行解压执行,而且宏的混淆方式也相当类似,都是使用“*”号将关键字符进行分隔。


  2. 该组织善于通过Downloader程序一步一步进行加载最终载荷,并且喜欢在初始阶段就采用了sleep延迟执行的方法,本次攻击也不例外。并且Downloader程序在解密字符串方式上也是使用每位相减一个较小数的方式进行解密,本次使用减2,以往出现过减3、减6等情形。

  3. 该组织在文档中善于使用错误信息弹窗,来迷惑用户,此外CC格式通常也是域名加两级大小写字母拼接的目录格式(如http://blogs.libraryutilitis.live/vrhkdkjrajksrjkaskdoneS/rbjhrkjahsrjejka),本次攻击也都符合上述特点。综上,将本轮攻击归于APT-C-35(肚脑虫)组织


总结
APT-C-35(肚脑虫)组织从2016年被披露后,从未停止相关攻击活动,并且有越来越活跃的趋势。本次攻击中攻击者通过恶意代码层层加载载荷,并结合定时任务实现持久化。此外,该组织在最近的攻击活动中不再一贯使用恶意DLL作为中间的攻击组件,部分载荷全程采用了签名的EXE可执行文件,这都表明该组织在持续地进行更新恶意代码的功能和形态,并呈现出功能化模块化的特点。


附录 IOC

MD5:

9060531460f7152ca156aeeca090a13c
68c6c735918e55954b3d22ce72c769a6
d947bf46867d66e645071d53d6b106bb
993befa3da4e0d10ee61f0b78c18d4cd
fac06f63a30fcef45c3e7763442ed2ac
828174ee0a9f25eaad48957ced66b81d
8bee6f27245daf1c860713affb575731
3e6ba2c0128030844d4a02088774802b
06e0d216969caa0dfd98269a860b153b
676a10be289cf8978af6cdbdba536678
105fa5bc6ce7afb40b02054d669e9204
e55d17ba37bfba78dc4cdbd8cca9f36b
3cd6fc1309294e4eb4bfb2e861e2f570
309c1cd225571b18c82a1a25aff6ad02
b8cdc170848ed8716de3653a5f1e533f
1fb52729c33875ad0be381e98b143673
43298c256c4dc626a5788caa3e309d56
992acca21f1f0d818fb7d599d69d93b7
1e606b8a3c288f988152456af206ff72
d5166aa339e25f3f7f9d1d7a186650bc
d4d0fc82312c60b6084ccab7245530a9
992acca21f1f0d818fb7d599d69d93b7
dbd11c7f0074580015daa16b5900ac7b
10de5e96ca4ba920f4b7b67258033fdb

c9c77a74e732d8d4b37aab1037e6569a

C&C:

blogs.libraryutilitis[.]live
furnish.spacequery[.]live
best.tasterschoice[.]shop

blogs.tourseasons[.]xyz

URL:

http://furnish.spacequery[.]live/rikkdkeiirt0or784jjk2/kdjj48djj46dTrjd7a
http://furnish.spacequery[.]live:443/xuiudguibat/nmioepjarjkuarkju
http://furnish.spacequery[.]live:443/uiscuerhsflkjs1/liorijfiahjruuehajkhrj
http://furnish.spacequery[.]live/uiscuerhsflkjs1/liorijfiahjruuehajkhrj
http://furnish.spacequery[.]live/xuiudguibat/nmioepjarjkuarkju
http://furnish.spacequery[.]live/uiuernsicudkfjs2/tiryu3kkdiesao
http://blogs.tourseasons[.]xyz/rhjhdjrjkfakjhrhjk
http://blogs.tourseasons[.]xyz/msiioi3kkx/irahjdfjkjkjlkjfjl
http://blogs.libraryutilitis[.]live/vrhkdkjrajksrjkaskdoneS/rbjhrkjahsrjejka
http://blogs.libraryutilitis[.]live/pjvrhkdkjrajksrjkaskdoneS/rbjhrkjahsrjejka
http://blogs.libraryutilitis[.]live/pjnrasjkhrsjkdrhkdfjkB/klrjajlrjklrkljaklrjklasklf
http://blogs.libraryutilitis[.]live/nrasjkhrsjkdrhkdfjkB/klrjajlrjklrkljaklrjklasklf
http://blogs.libraryutilitis[.]live/hkjnlkhfshjkls2/nrjukurjhajrjh
http://blogs.libraryutilitis[.]live/olskh1ytg1s/vkajsrkaljrkjfa
http://blogs.libraryutilitis[.]live/thfjhsgjhtab/niiorjkrkjk
http://blogs.libraryutilitis[.]live/redpanda/biorjkdkrkjrkj
http://blogs.libraryutilitis[.]live/redpanda1/bnrkajrkirklrl
https://blogs.libraryutilitis[.]live/hkjnlkhfshjkls2/nrjukurjhajrjh
https://blogs.libraryutilitis[.]live/vrhkdkjrajksrjkaskdoneS/rbjhrkjahsrjejka

http://best.tasterschoice[.]shop/ceioriakgfigalrj/







360高级威胁研究院

360高级威胁研究院是360数字安全集团的核心能力支持部门,由360资深安全专家组成,专注于高级威胁的发现、防御、处置和研究,曾在全球范围内率先捕获双杀、双星、噩梦公式等多起业界知名的0day在野攻击,独家披露多个国家级APT组织的高级行动,赢得业内外的广泛认可,为360保障国家网络安全提供有力支撑。

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存