APT-C-56(透明部落)利用OLE对象部署CrimsonRAT木马的攻击活动分析
APT-C-56(透明部落)(Transparent Tribe)又名APT36、ProjectM、C-Major,是一个具有南亚背景的APT组织,其主要针对印度等周边国家发动网络攻击,善于运用社会工程学进行鱼叉攻击向目标用户投递带宏的doc、ppam和xls等类型诱饵文档,并且还开发出了属于自己的专属木马CrimsonRAT等工具,此外透明部落组织还被发现与SideCopy组织存在基础设施重叠。
360高级威胁研究院捕获到了一批针对印度国防、金融、大学等单位的攻击样本。当受害者打开这些诱饵文档后,恶意文件将会从自身嵌入的OLE(Object Linking and Embedding)对象中释放出恶意载荷,该载荷为透明部落组织专属的CrimsonRAT远控程序。需要说明的是,该组织前期攻击中喜欢将恶意载荷数据直接嵌入到宏代码中,而最近几轮攻击中偏向通过OLE对象释放恶意载荷,本篇文章主要分析利用OLE对象释放载荷的情况。
一、攻击活动分析
1.载荷投递分析
MD5 | 文件名 |
0ad121b4eb1ef9c491181c5ab8fe1ed7 | SANJY-2023 Security Measure.ppam |
d67c9c9d0e94f04cfe67637922b61e05 | docx.zip |
44c494a30f83f92295c8351b86a2507a | docksx.zip |
34d580fb24ea1747b822f02ad3bd2d87 | my personal photos.ppam |
20cb5cecfe93c56c9ad3455f41c20e37 | Export of Defence Product-05.ppam |
8d8311afbc81c2bb319cd692460b1632 | M1-Financial-Accounting.docm |
2.恶意载荷分析
宏代码首先判断%USERPROFILE%目录下Ofcx_[secode](当前秒数)文件夹是否存在,若不存在则创建。接着将嵌入对象oleObject1.bin复制到创建目录下并改名为docos.zip,然后解压该压缩包文件释放出oleObject1.bin和oleObject2.bin两个文件。然后判断是否存在.NET v3.5环境,若存在则将解压后的oleObject1.bin改名为idtvivrs vdao.exe并执行,否则改名oleObject2.bin执行。最后将嵌入对象oleObject3.bin作为pptx文件打开显示诱饵文档。
3.攻击组件分析
MD5 | c93cb6bb245e90c1b7df9f3c55734887 |
文件大小 | 15.39 MB (16136192字节) |
文件名 | idtvivrs vdao.exe |
编译时间 | 2023-06-06 03:07:20 UTC |
指令 | 描述 |
thy5umb | 读取图像文件的信息(文件名、创建日期和文件大小) |
scy5rsz | 设置截屏大小 |
gey5tavs | 获取进程ID |
scy5uren scy5ren scyr5en scyu5ren | 判断标志位决定是否屏幕截屏 |
pry5ocl | 获取进程列表 |
puy5tsrt | 设置自启 |
doy5wf | 文件上传 |
cdy5crgn csy5crgn csy5dcrgn | 直接截屏 |
diy5rs | 获取磁盘信息 |
fiy5lsz | 获取文件属性信息 |
iny5fo | 获取系统信息(系统版本,主机名,用户名等) |
sty5ops | 停止截屏 |
cny5ls | 设置标志位 |
liy5stf | 获取指定目录的文件信息 |
fly5es | 列出指定目录下文件 |
afy5ile | 窃取文件 |
udy5lt | 上传并执行文件 |
fiy5le | 窃取文件 |
ruy5nf | 执行指定文件 |
dey5lt | 删除文件 |
doy5wr | 文件上传 |
fly5dr | 获取指定目录的所有子目录 |
二、关联分析
MD5 | db05d76ff9a9d3f582bd4278221f244a |
文件大小 | 232.07 KB (237636字节) |
文件名 | assignment.docx |
MD5 | e40e0a71efd051374be1663e08f0dbd8 |
文件大小 | 247.5 KB (253440字节) |
文件名 | Microsoft Update.exe |
后续功能与前面分析的CrimsonRAT大致相同,具体分析不再详细叙述。此外,该样本还采用了HASH算法对控制指令进行计算校验,这样做的本意是避免明文指令的泄露,但是在实际指令比对时又直接采用了明文的方式,显然这是开发不完全或者设计逻辑缺陷导致的。无独有偶,在今年同时期我们也捕获到了SideCopy组织使用相同处理方式的载荷,我们认为这并不是某种巧合,恰恰相反可以由此说明透明部落与SideCopy组织具有某种联系。
三、归属研判
今年以来,我们已经发现多起透明部落组织针对印度的网络攻击行动,该组织持续不断地开发Crimson RAT来改进他们的武器库,用于执行信息窃取活动和对敏感目标的监视,并且近期多个样本都采用了OLE对象来释放RAT,不再执着于将载荷数据捆绑至宏代码中。因此在这里提醒用户加强安全意识,切勿执行未知样本或点击来历不明的链接等操作。这些行为可能导致系统在没有任何防范的情况下被攻陷,从而导致机密文件和重要情报的泄漏。 360聚能过去20年实战经验及能力推出360安全云,目前,360安全云已实现对此类威胁的全面检出,全力守护千行百业数字安全。
C&C:
360高级威胁研究院