APT-C-56(透明部落)部署Android系统RlmRat、Linux系统波塞冬新型组件披露
一、攻击活动分析
1.攻击流程分析
我们将攻击活动按照平台类型分为两类,一类是针对移动端的攻击活动,另一类是针对PC端的攻击活动。
在移动端上,攻击者使用钓鱼网站进行载荷投递,投递的载荷属于新型的Android RAT样本,样本除了具备RAT的功能外,在运行时会通过加载钓鱼页面窃取用户ID信息。
在PC端上,攻击者首先使用和移动端类似的钓鱼页面诱导用户输入ID信息,然后向用户投递Windows系统、Linux系统的新型数据泄露工具,进而进行数据窃取活动。
2.载荷投递分析
本次攻击活动中,两个平台均使用了钓鱼网站进行样本的投递。Android样本的投递使用了伪装成印度国家奖学金门户的钓鱼网站。钓鱼网站打开后会弹出“重要提示”提示框,诱导用户下载ScholarshipPortal.apk安装包文件,该文件即为Android系统新型RAT工具。
PC端样本的投递使用了伪装成印度陆军福利教育学会的钓鱼网站。该钓鱼网站打开后和伪装成印度国家奖学金门户的钓鱼网站类似,同样会弹出一个“重要提示”提示框,不同的是用户点击后会进入一个提交Studient ID的钓鱼页面,提交ID后会出现三个文件下载的按钮,下载的文件对应该组织新开发的Windows系统LimePad组件以及Linux系统的波塞冬组件。
3.攻击样本分析
Android系统
针对Android系统的攻击样本属于新型的RAT家族,我们将其命名为RlmRat,之前虽有厂商进行过披露,但是并没有提到家族的归属。本次发现的该家族样本通过伪装成奖学金门户应用进行传播,基本信息如下:
样本MD5 | b155c5b5e34fe9a74952ed84d6986b48 |
包名 | com.example.batman |
应用名 | Scholarship Portal |
下载地址 | https://www.govscholarships[.]in/ScholarshipPortal.apk |
样本运行后会使用WebView加载hxxps://govscholarships[.]in/cfm.php页面,该页面会收集用户Student ID信息,输入Student ID并点击提交,页面会向该钓鱼地址发送GET请求“https://govscholarships.in/cfm.php?search=【Student ID】&submit=”从而泄露用户信息。
该家族样本常使用Pastebin服务来获取真实的C&C地址,如果无法从Pastebin获取C&C,它会选择硬编码的地址。但是,本次分析的样本没有使用Pastebin服务,而是直接使用的硬编码的IP地址。
样本具备远控功能,可以从受害者的设备中窃取敏感数据,例如联系人、通话记录、短信、位置、外部存储中的文件、录制音频等。恶意包结构和相关功能如下:
指令对照表:
指令 | 功能 |
y#0T5$, f%R7!2, Nw39Jf, 8$R%j1 | 获取文件目录 |
j*7e@4, i1$r@5, v^3w%2, u6%y@1 | 拍照 |
bx$@81, u4Q&0# | 搜索文件 |
5w$I!7, 9$g1E@ | 获取文件 |
D%r6t* | 获取短信 |
s%7n@2 | 获取联系人 |
i*g4#3 | 获取通话记录 |
O@y7J& | 录音 |
1^R$4t | 获取WhatsApp文件 |
*%12gT | 获取位置信息 |
从钓鱼网站我们分别下载到了Windows、Linux两个系统的样本,可以看出透明部落针对多平台的攻击能力。下面我们逐一分析各个平台的相关功能。
Windows系统样本由Python脚本编写,用PyInstaller编译并打包的恶意二进制文件保存在VHDX格式中的,我们发现的VHDX文件大于60MB。
Windows系统的RAT包含两个版本,一个版本文件保存在VHDX格式中,一个版本的样本由压缩包保护,破解压缩包密码后我们发现两个版本的代码基本相同,主要区别是对于RAT的命名不同,以及使用C&C不同,我们的分析以VHDX版本进行。
图10 VHDX版本的RAT
图11 RAR版本的RAT
打包的Python脚本被命名为LimePad,后门主要的功能是窃取中招用户机器上的指定后缀名文件,它通过Sqlite数据库记录、同步窃取文件的列表,数据库中的字段保存了上传、修改文件的最新时间记录,确保所有重要文件都被及时、有效的上传。
LimePad进行初始化:
字段 | 含义 | |
VERSION | 0.1-18 | 版本号 |
STARTDATA | Startup\\Limepads | 通过启动项持久化 |
ROOTDATA | APPDATA\\Limepads | |
USERFILE | Limepads.db | 本地 SQLite 数据库的名称 |
LOGFILE | Limepads.log | |
TEMP_UPLOAD_FOLDER | APPDATA\\Limepads\\tup | |
LOCKDOORS | 'URL=file:///' + sys.executable
| 互联网快捷方式 |
DOORS | '.dll', '.url' | Windows URL 快捷方式 |
SERVERS | 142.93.212.219 | |
DUSSEN | 696E646961 | 包含india字符串的十六进制编码,用于判断时区 |
SERVER_PUBKEY | - | - |
向服务器上的bind.php页面发送GET请求。判断服务器是否运行:
针对HOME、FIXED和REMOVABLE驱动器配置了一组不同的文件扩展名规则,用来上传文件。上传的文件包括文档格式、电子邮件本地数据库(DBX)和各种AutoCAD绘图文件和计算机辅助设计矢量图(DWG、DXF)。
SYNC_RULES_CONFIG |
*.txt |
*.doc* |
*.xls* |
*.ppt* |
*.mdb* |
*.dwg |
*.dxf |
*.dbx |
数据库字段 | 含义 |
path | 路径 |
filename | 名称 |
size | 大小 |
state | 状态 |
modified | 修改时间 |
created | 创建时间 |
queuepriority | 队列 |
defertill | - |
rpath | - |
Linux系统
此次我们新发现Linux系统的样本,同样是由python脚本编写,用PyInstaller编译并打包的恶意二进制文件。这疑似是透明部落首次开始针对Linux系统开发新型武器库组件。
针对Linux系统,首先打开钓鱼网站的confirmationID.pdf文件,伪装成印度陆军福利教育学会的id生成页面,欺骗用户。
图12 伪装文档
随后创建share目录,创建mycron文件夹作为log日志,周期性的记录登录名。
从恶意网站下载bosshelp文件并运行。下载后的bosshelp文件是开源渗透框架神话的二进制组件。
其在神话框架的波塞冬组件上增加了xgb库来与Linux协议进行通信。
组件的主要功能如下:
功能列表 |
屏幕捕获 |
键盘记录 |
上传和下载文件 |
持久保存 |
记录击键 |
注入 |
截屏 |
远程管理 |
二、基础设施分析
在我们分析钓鱼网站过程中,发现了一些或许能够证明透明部落组织真实归属的线索,现进行披露,仅供安全研究人员参考。
域名 | 注册厂商 | 注册日期 | 解析IP |
govscholarships.in | NameSilo, LLC | 2022-09-28 | 153.92.220.48 |
awesaps.in | NameSilo, LLC | 2022-09-19 | 153.92.220.48 |
移动端和PC端的钓鱼网站域名解析的IP地址均为153.92.220[.]48,且两个域名的注册商均是NameSilo, LLC,钓鱼网站证书的有效期都只有三个月。通过这些信息的启发,我们依据153.92.220[.]48这个IP地址,在排除一些噪点后发现了一批可疑的域名。
可疑域名汇总:
域名 | 注册厂商 | 注册日期 |
kavach-apps.com | NameSilo, LLC | 2022-08-06 |
ksboard.in | NameSilo, LLC | 2022-08-18 |
desw.in | NameSilo, LLC | 2022-07-27 |
rodra.in | NameSilo, LLC | 2022-08-18 |
kavach-app.in | NameSilo, LLC | 2021-12-13 |
supremo-portal.in | NameSilo, LLC | 2021-11-08 |
csd-india.in | NameSilo, LLC | 2022-02-15 |
kavach-mail.in | NameSilo, LLC | 2022-04-18 |
rsipune.in | NameSilo, LLC | 2021-12-29 |
wellingtongymkhanaclub.in | NameSilo, LLC | 2021-11-26 |
1.针对印度进行的信息窃取攻击
域名 | 注册厂商 | 注册日期 |
kavach-apps.com | NameSilo, LLC | 2022-08-06 |
ksboard.in | NameSilo, LLC | 2022-08-18 |
desw.in | NameSilo, LLC | 2022-07-27 |
rodra.in | NameSilo, LLC | 2022-08-18 |
通过查询开源情报,我们得知这四个域名涉及到2022年发生的一起攻击者对印度进行的旨在窃取敏感信息的攻击活动。攻击者使用钓鱼网站收集印度国防人员的信息,这种做法和本次透明部落组织通过钓鱼页面收集Student ID信息的做法有很大的相似性。
2.透明部落组织Windows系统攻击活动
域名 | 注册厂商 | 注册日期 |
kavach-app.in | NameSilo, LLC | 2021-12-13 |
supremo-portal.in | NameSilo, LLC | 2021-11-08 |
kavach-app[.]in域名属于透明部落组织的已知网络资产,曾在公开报告中被披露。
supremo-portal[.]in域名也曾被安全人员以推文的形式披露,需要注意的是,透明部落组织和SideCopy组织具有很强的关联性,两者可能属于同一组织或有较大关联。
图13 开源情报
3.透明部落组织的多平台钓鱼攻击活动
域名 | 注册厂商 | 注册日期 | 伪装对象 |
wellingtongymkhanaclub.in | NameSilo, LLC | 2021-11-26 | https://wellingtongymkhanaclub.co.in/(为驻扎在惠灵顿的驻军提供娱乐和放松的俱乐部) |
Wellingtongymkhanaclub[.]in域名伪装成印度惠灵顿健身俱乐部官网,该俱乐部为驻扎在惠灵顿的驻军提供娱乐和放松等服务。
此钓鱼网站打开后的形式和本次发现的分别针对移动和PC端的钓鱼网站相似,也是弹出“重要提示”提示框,点击后会进入一个提交会员号的钓鱼页面。因此该域名也应该属于本次透明部落组织的多平台钓鱼攻击活动。
图14 虚假惠灵顿健身俱乐部网站
图15 钓鱼页面
4.其它疑似钓鱼域名
域名 | 注册厂商 | 注册日期 | 伪装对象 |
csd-india.in | NameSilo, LLC | 2022-02-15 | https://csdindia.gov.in/(食堂商店部是印度政府下属的国防部组织) |
kavach-mail.in | NameSilo, LLC | 2022-04-18 | https://kavach.mail.gov.in(Kavach为用户访问其政府电子邮件服务提供双重身份验证) |
rsipune.in | NameSilo, LLC | 2021-12-29 | https://www.rsipune.org/(浦那的Rajendra Sinhji军队会议和研究所(RSAMI)) |
这些域名虽然没有样本与之关联,也没有开源情报记录,但是其伪装的对象极具针对性,全部都是针对的印度政府和军队相关人员。
三、归属研判
能够将本次同时针对多个平台的新型攻击活动归属于透明部落组织,主要有两个方面的原因。首先主要是基于对Windows系统相关攻击样本的分析溯源。其次是基于对攻击者使用的攻击手法和攻击对象以及基础设施的分析。
2022年11月3日,国外安全厂商Zscaler披露了APT-C-56(透明部落)使用新的TTPs和新工具来瞄准印度政府组织。其报告中分析的新工具和我们本次捕获的Windows系统相关攻击工具均为LimePad组件,且应该属于同一起攻击事件。
图16 Zscaler披露的LimePad组件
图17 本次发现的LimePad组件
在本次攻击活动中攻击者使用钓鱼网站对印度军方人员实施定向攻击,其攻击手法和攻击对象均和透明部落组织相符。并且钓鱼网站的域名解析的IP地址也曾被透明部落历史攻击活动中使用的域名解析过。综合以上信息,我们将本次攻击活动归属于透明部落组织。
透明部落组织一直是南亚地区比较活跃的APT组织,其主要针对印度军事人员、政府人员进行定向攻击。本次发现的针对多个平台的攻击活动,均使用了新型的攻击工具,且擅长利用钓鱼网站,说明了他们的攻击武器库在不断更新,攻击平台在逐渐增加,网络资产也在不断增加。
https://www.govscholarships.in/ScholarshipPortal.apk
1)https://blog.cyble.com/2022/01/28/indian-army-personnel-face-remote-aC&Cess-trojan-attacks/
2)https://infosecwriteups.com/operational-methodologies-of-cyber-terrorist-organization-transparent-tribe-3389bdc1db3e
3)https://cloudsek.com/whitepapers_reports/malicious-clones-of-indian-army-apps-used-in-espionage-campaign-targeting-army-personnel/
4)https://www.manavmitra.co.in/?p=16188
5)https://www.divyabhaskar.co.in/local/gujarat/ahmedabad/news/after-the-partition-of-india-pakistan-the-family-stayed-in-pakistan-the-young-man-joined-hands-with-the-isi-to-meet-the-family-130369978.html
6)https://ahmedabadmirror.com/alleged-spy-got-people-pak-visas-via-diplomatic-contact/81845617.html
7)https://www.secrss.com/articles/39368
8)https://blog.talosintelligence.com/2022/03/transparent-tribe-new-campaign.html
9)https://mobile.twitter.com/JVPv5sIM3eFmGyi/status/1547480724806447104
10)https://www.zscaler.com/blogs/security-research/apt-36-uses-new-ttps-and-new-tools-target-indian-governmental-organizations
360烽火实验室
360烽火实验室致力于移动恶意软件分析、移动灰黑产研究、移动威胁预警、移动APT的发现与追踪等移动安全领域的深入研究。作为全球顶级移动安全生态研究实验室,360烽火实验室在全球范围内不仅首发了多篇具备国际影响力的移动安全生态研究成果,并且成功狩猎了蔓灵花、拍拍熊等多个APT组织针对我国及境外重要目标的攻击活动。实验室在为360手机卫士、360手机助手、360加固保等公司产品提供核心安全数据的同时,也为科研单位、手机厂商、应用商店及上百家国内外合作伙伴提供了移动应用安全检测服务,全方位守护移动安全
360高级威胁研究院