APT-C-61(腾云蛇)组织2022年攻击活动分析
APT-C-61(腾云蛇)组织是一个主要在南亚地区活跃的APT组织。由于在攻击活动中使用的基础设施多依赖于云服务,且使用的木马为Python语言编写,所以将其命名为腾云蛇。在2021年360高级威胁研究院首次披露腾云蛇组织攻击活动后,腾云蛇组织依旧以较高的活跃度在网络世界中持续活跃,并将其活动范围扩大至伊朗、土耳其等国家。
在对腾云蛇组织持续的跟进过程中,我们发现了该组织2021年之后在攻击方式上的多种改变,本次报告将披露腾云蛇在2022年所使用的几种攻击手法。一、受影响情况
腾云蛇组织的攻击活动范围主要围绕巴基斯坦、孟加拉等国,并且在2021年末开始,腾云蛇将活动范围扩大到了伊朗以及土耳其,针对这两个国家的外交人员进行了一系列攻击活动。
腾云蛇窃取数据
腾云蛇窃取数据
二、攻击活动分析
2.1 载荷投递分析
在攻击活动中,腾云蛇组织通常使用鱼叉邮件作为载荷进行投递。
腾云蛇组织在投递邮件时,除了使用公开邮箱中注册的邮件进行发件外,还通过模仿政府部门单位名称注册域名进行发件。邮箱域名如下:
腾云蛇使用邮箱域名 | 政府部门单位名称 |
@federalsecretariat.com | Federal Secretary |
@secretariatgov.com | secretariat |
@paksecretariat.com | secretariat |
根据邮件头提供的信息,腾云蛇使用的发件服务器均为porkbun提供的托管电子邮件服务器。
2.2 恶意载荷分析
相比2021年单调的使用DDE漏洞文档作为代码执行的载荷,腾云蛇在载荷投递方向上存在较大的变化,虽然仍旧存在小部分攻击活动使用“DDE漏洞文档+损坏PDF”打包的形式进行投递。但除此之外,我们还捕获到以下几种不同的载荷:
1)邮件内链接诱导下载
在邮件内嵌入OneDrive文档的短链接,通过邮件内容诱导用户点击该链接进行文件下载。
2)远程模板注入
与DDE漏洞文档相似,通过压缩包中带有PDF和Word文档来诱导用户点击执行,后通过Word文档中的远程模板注入来下载后续载荷。
远程模板注入字段
远程模板注入文档内容
3)伪装光盘映像文件(.iso)
腾云蛇组织将远程模板注入文档或DDE漏洞文档打包为ISO文件,使得文件对用户根据有迷惑性,加大文件的可信度和被执行几率。
ISO文件
ISO文件
4)lnk+mshta
在腾云蛇使用的攻击中还存在一部分模仿响尾蛇的攻击行为,在邮件附件的压缩包中携带一个Word文件和一个LNK文件,如下:
LNK文件中调用mshta从远端服务器加载脚本。
正如上述提到的,腾云蛇组织在2022年主要变化还是体现在代码执行阶段对于载荷的更新,但在本质上仍未脱离代码极度依赖用户执行的现状,并且腾云蛇组织在后续释放的驻留样本和一系列日常控制行为上也并未发生较为明显的变化。
SHA256
C&C
https://1drv.ms/u/s!AsnveMg8eWB2gRTZAmgFMB1LxkyY?e=Z7s0MP
360高级威胁研究院