查看原文
其他

【高级威胁追踪(APT)】疑似CNC组织最新攻击动态分析,AI模型验证归因

深瞻情报实验室 深信服千里目安全技术中心 2023-08-08

概述


近期,深信服深瞻情报实验室联合深信服安服应急响应中心监测到APT组织对国内高校和科研单位的最新攻击动态,将该样本归因为CNC组织发起的攻击,并结合深信服创新研究院混动图AI模型分析,验证了此次归因结论。自去年西工大事件之后,国内科研机构越来越成为境外APT组织关注的目标。据监测,自2023年1月至今,CNC组织频繁地针对国内多个教育、科研机构进行窃密攻击。此外,该组织攻击活动也被发现出现在巴基斯坦某大学并首次出现在菲律宾、印度尼西亚等南亚国家


根据目前已知情况,CNC组织最早于2019年被披露,经常使用鱼叉式钓鱼邮件,针对国内军工、教育、科研机构及航空航天等行业进行攻击,窃取该类单位的高新技术研究资料或规划信息等。该组织疑似与南亚APT组织Patchwork(摩诃草、白象)存在一定关联。

分析


在本次攻击活动中,我们观察到其使用的组件伪装为图片查看器,其详细信息如下表,通过确认该组件与曾披露过的“摆渡木马”功能相似。



运行初始化预解密,解密出C2地址“https://146.59.223.210/”。



获取目标机器用户名信息。



拷贝可疑的伪造png后缀文件以及获取自身模块名称,并尝试连接白域名“https://www.163.com”进行网络测试以便后续的网络通信。



检测其是否存在于“appdata\\roming”路径下。



获取磁盘名称字符串,不断检测是否存在新设备接入,如果检测到新设备,将当前文件复制到新设备,并且检测是否联网,当网络通畅时将“-oneid”拼接到主机名后,当无网络连接时将“-lastid”拼接到主机名后。



并于当前执行目录读取资源数据创建PNG文件“私人图像.png”并打开。



打开的图片内容为“中秋快乐”(该文件编译时间为2023年3月份,与图片内容的中秋节存在差异,疑似为攻击者粗心遗留)



接着判断是否存在“%appdata%\imagedrvhost.exe,当存在时跳过所有操作结束流程。当不存在时判断是否存在网络连接,当存在网络连接时开始与C2进行通信。”



拼接域名“githubusercontent.com”,并获取目标伪造文件名称。



拼接出路径名称“%appdata%\\SangSupport.exe”。



拼接通信C2地址“https://146.59.223.210/solution-basic/gecko/SangSupport”。



最终向上述C2进行通信,下载第二阶段载荷至“%temp%\\SangSupport”,将下载载荷复制到“%appdata%\\SangSupport.exe”,并删除temp目录下载的第二阶段载荷“%temp%\\SangSupport”。



创建任务计划“SangSupportApp”并伪造目标为国内企业相关文件信息以执行第二阶段载荷



后续通过WTSEnumerateProcessesW枚举系统进程信息。



将窃取的进程信息使用base64编码,通过“ http://146.59.223.210/wp-includes?”传输。



在关联分析中,我们发现该组织使用的另一个组件“YoudaoDictHelp.exe”,该组件通过伪装国内某用户量很大的翻译软件用以欺骗目标,该组件详细信息如下。



该文件与上述下载器组件存在相同的磁盘容量大小检测逻辑。



解密出路径“C:\Windows\System32\drivers\etc\hosts”。


检测域名“ke.youdao.com”是否存在与本地hosts文件中。



当检测到域名不存在于hosts文件中时,解密出硬编码的C2地址“https://149.154.153.155/”。



当检测到域名存在于hosts文件中时,获取temp目录并解密名称“Rtxtemp823243”拼接出路径“%temp%\Rtxtemp823243”并检测该文件是否存在。



当不存在时生成随机字符串,并将生成的字符串写入该文件。



使用硬编码C2通信时,使用随机字符串与硬编码C2拼接URL地址“https://149.154.153.155/copyright98/[15字节随机字符串]/GetBanner”


使用域名时,使用随机字符串与域名进行拼接形成"https://ke.youdao.com/en-US=[15字节随机字符串]/region=CN"


在与上述C2通信的同时也会尝试从该github地址下载配置数据“https://raw.githubusercontent.com/kkrightjackhuiyongxx1635/controlid/main/config.json”



该github地址内容已经失效


由于C2数据已失效,后续行为无法跟踪,通过分析可判断出该组件存在命令执行、文件执行、文件列出(“ls”)、退出(“q”)等功能。


溯源归因

溯源归因-文件归因:


通过监测到的“imagedrvhost.exe”、“YoudaoDictHelp.exe”、 “YoudaoDictDesk.exe”等文件名称特征,发现这些特征均符合该组织使用国内企业文件信息伪装的一贯习惯。分析事件中出现的组件,也发现与曾披露的“摆渡木马”同功能,通信的模式及URL格式等符合该组织的通信特征。

除此之外,通过深瞻情报实验室累积的情报数据,深信服创新研究院混动图AI模型也将该样本归因到CNC组织。


溯源归因-基础设施:


通过发现的多个C2地址的SSL证书进行分析,该组织常使用伪造的163邮箱、qq邮箱及国内企业邮箱等信息创建自签名证书,符合该组织一贯的基础设施创建策略。


在C2“149.154.153.155”中,该组织使用虚假的163邮箱(“shyngwood@163.com”,该邮箱并不存在)以及中国地区信息创建了自签名证书用于加密通信。


对关联的C2“152.89.247.104”,使用虚假的163邮箱创建自签名证书用于加密通信。


IOCS


总结


CNC组织常使用鱼叉、水坑及渗透的方式对目标进行打点攻击,具有一定的危险性。其在2022年至2023年期间较为活跃,主要针对军工、教育、科研机构及航空航天等行业进行攻击,窃取该类单位的高新技术研究资料或规划信息等,相关行业及单位需要警惕并加强网络防御。从跟踪情况来看,该组织一直在改造其攻击组件,不断加强其窃密、反分析及反取证能力,安全公司应加强相关技术的检测。

深信服深瞻情报实验室专注全球高级威胁事件的跟踪与分析,拥有一套完善的自动化分析溯源系统以及外部威胁监控系统,能够快速精准地对APT组织使用的攻击样本进行自动化分析和关联,同时积累并完善了几十个APT以及网络犯罪威胁组织的详细画像,成功帮助客户应急响应处置过多起APT及网络犯罪威胁组织攻击事件,未来随着安全对抗的不断升级,威胁组织会研究和使用更多新型的TTP,深瞻情报实验室会持续监控,并对全球发现的新型安全事件进行深入分析与研究。


您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存