查看原文
其他

揭秘APT-C-56(透明部落)利用Linux桌面文件的攻击手法

高级威胁研究院 360威胁情报中心
2024-10-07
APT-C-56  透明部落APT-C-56(透明部落),又被称为APT36、ProjectM、C-Major,是一个源自南亚的高级持续性威胁组织。其主要活动地点集中在印度等周边国家,擅长运用社会工程学进行精准的鱼叉式攻击,具备多种攻击载荷武器以及多平台攻击能力,并且还开发出了Windows系统下的专属木马CrimsonRAT等工具。

近期,360高级威胁研究院捕获到了一起通过Linux桌面应用进行分发恶意载荷的攻击活动,最终载荷是透明部落组织针对Linux系统使用的攻击武器——波塞冬(Poseidon)组件,通过这一武器完成窃密行动。鉴于这类分发方式在以前的攻击活动中比较少见,这里进行分析说明以免用户中招。

 一、攻击活动分析  

1.攻击流程分析 

本轮攻击中,透明部落组织诱导用户在Linux环境下执行压缩包中的.desktop文件,该类型的文件是 Linux 桌面环境中用于定义应用程序启动器的文件格式,可以视为Linux系统中的快捷文件。该desktop文件运行后会下载并打开诱饵文件以及下载执行ELF恶意样本,并设置持久化,从而实现窃密活动。经分析下载的ELF文件为Golang编译的Poseidon组件。整个攻击流程如下图所示:

2.恶意载荷分析

本次捕获的恶意样本如下所示:

MD5

e275b8426f032fc7d945795f4e62f924

文件大小

6.33 KB (6486字节)

文件名

Agenda_of_Meeting.zip

样本为一个zip压缩包文件,压缩包解压得到approved_copy.desktop文件,该文件截至分析日在virustotal平台上的检测率依然为0。

   

在Linux系统下,.desktop 实际是一个用来运行程序的快捷方式。该文件大小超过1MB,打开时发现其中使用大量的“#”符号来增大文件,猜测这是为了绕过安全产品的检测。

去除冗余的“#”后得到如下脚本内容:

该桌面文件的主要功能为下载诱饵文件approved_copy.pdf并打开以欺骗受害者,接着创建隐藏目录local/share并在该目录下保存下载的两个恶意载荷bsdutils-taR和notification-update,然后创建/dev/shm/myc.txt脚本,该脚本会重启计算机并执行恶意载荷,最后在当前用户名下设置一个cron任务来运行myc.txt脚本以维持持久化。

3.攻击组件分析 

下载的两个恶意载荷功能相同,以其中一个进行分析说明,样本信息如下:      

 

MD5

412e437f6b53b1be64a3ccf6286c7c02

文件大小

6.26 MB (6560536字节)

文件名

notification-update

分析发现,该载荷是由Golang编写的ELF文件,属于Mythic框架下的Poseidon组件(https://github.com/MythicAgents/poseidon),执行时会获取当前IP,进程名,进程PID,主机名,操作系统版本,UUID等信息发送到服务端地址:149.248.51.25。

随后等待服务器响应执行响应指令,功能包括:键盘记录、上传下载、端口扫描、屏幕捕获、内存执行、远程管理和命令执行等众多功能,其完整功能可以参考链接(https://github.com/MythicAgents/poseidon/blob/master/Payload_Type/poseidon/poseidon/agent_code/pkg/tasks/newTasking.go)。

 二、关联分析 

我们在去年8月份也捕获到了透明部落组织使用相同攻击方式的恶意样本,该样本仍然由印度地区上传,可见透明部落组织持续发起针对印度的攻击,样本信息如下:

MD5

36b19ca8737c63b9c9a3365ff4968ef5

文件大小

6.23 KB (6382字节)

文件名

Meeting_Agenda.zip

样本依然为包含桌面快捷文件的zip压缩包,该桌面应用执行代码和本次样本基本一致,点击桌面应用下载的诱饵文件如下所示,显示错误信息以此来迷惑受害者。 

此外,下载的恶意载荷也为Poseidon组件,根据C2地址我们也关联到多个未披露的Poseidon组件,功能都基本一致,不再详细叙述。

 三、归属研判 

通过对本次攻击活动的相关信息进行深入分析,我们认为此类攻击活动符合透明部落组织以往的TTP,具体表现在:

1)该组织之前使用过Poseidon组件,也都增加了xgb库来进行通信,并且在命名方式上采用了相同后缀“help”,如pickle-help和ziputils-help与之前的bosshelp[1]目的是将自身伪装成合法的应用程序;

2)诱饵PDF显示错误信息迷惑受害者;

3)此外,部分基础设施C2与之前攻击行动有所重叠,并且攻击目标符合该组织攻击对象。

因此,将其归属于APT-C-56(透明部落)组织。


总结

由于边境、文化、种族、历史等原因,南亚地区APT组织攻击活动异常活跃。透明部落组织主要针对印度军事人员、政府人员进行定向攻击,本次攻击采用诱导受害者点击Linux桌面应用进行下发恶意载荷,从而完成窃密活动。由于Linux系统在印度政府中被广泛使用,相信该组织后续会针对Linux系统开发出更多的攻击武器。

因此在这里提醒用户加强安全意识,无论何种操作系统,切勿执行未知样本或点击来历不明的链接等操作。这些行为可能导致系统在没有任何防范的情况下被攻陷,从而导致机密文件和重要情报的泄漏。



附录 IOC

MD5:

e275b8426f032fc7d945795f4e62f924

bee07c4e4fa182b1f7579cf95a0b58da

98deebd20a1f6be7b6d7abeb2230bf93

412e437f6b53b1be64a3ccf6286c7c02

36b19ca8737c63b9c9a3365ff4968ef5

65167974b397493fce320005916a13e9

574013c4a22ca2d8d8c76e65ef5e8059

98279047a7db080129e5ec84533822ef

248d4e6bb0f32afd7a1cfb975910235a

43a42f0d5bc1896476552f9faa5d84a9

72f5baffc7e0c6fae43a735f86e782f8

C2:

http://139.59.30[.]67/4200f0916f146d2ac5448e91a3afe1b3/bsdutils-taR

http://139.59.86[.]183/4200f0916f146d2ac5448e91a3afe1b3/notification-update

http://64.227.138[.]127/4200f0916f146d2ac5448e91a3afe1b3/pickle-help

http://134.209.159[.]9/4200f0916f146d2ac5448e91a3afe1b3/ziputils-help

http://64.227.133[.]222/zswap-xbusd

http://192.248.153[.]47/data

http://149.248.51[.]25/data

http://64.176.40[.]100/data

http://108.61.163[.]195/data


参考

[1]https://mp.weixin.qq.com/s/lvSraGnMsl3a1jEUubuvyw       







360高级威胁研究院

360高级威胁研究院是360数字安全集团的核心能力支持部门,由360资深安全专家组成,专注于高级威胁的发现、防御、处置和研究,曾在全球范围内率先捕获双杀、双星、噩梦公式等多起业界知名的0day在野攻击,独家披露多个国家级APT组织的高级行动,赢得业内外的广泛认可,为360保障国家网络安全提供有力支撑。
继续滑动看下一个
360威胁情报中心
向上滑动看下一个

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存