查看原文
其他

【高级持续威胁追踪】蔓灵花组织投向国产办公软件的目光与winrar漏洞之触

深瞻情报实验室 深信服千里目安全技术中心 2024-03-29

概述


BITTER组织,又被称“蔓灵花”、“APT-C-08”、“T-APT-17”以及“苦象”,常对南亚周边及孟加拉湾海域的相关国家发起网络攻击,主要针对政府(外交、国防)、核工业、能源、国防、军工、船舶工业、航空工业以及海运等行业进行攻击。该组织在在2021到2023年一直保持活跃的状态。其常用打点技巧为鱼叉攻击,向目标投递带lnk与chm恶意附件的邮件,在2023年中开始我们发现该组织开始投递国内相关文档办公软件制作的恶意ppt文档,相关恶意文档如下。


另外在最近发现的攻击活动中,发现其新增了一个攻击目标蒙古,主要针对其外交部门进行攻击。


其投递的恶意文档,诱导目标执行该文件创建恶意计划任务下载第二阶段载荷,该攻击手法没有发生较大变化。在最新的攻击行动中,其通过在ppt中插入图片,设置图片“鼠标单击”与“鼠标悬停”等动作启动cmd命令创建恶意任务计划“AudioDg”。



国产办公软件会解析命令中的html标签并弹出攻击者制作的诱导性文字,引导目标执行该恶意动作,而该恶意文档在office2016以上并不能成功利用和执行。


除了上述伪装的恶意文档之外,还发现该组织正尝试使用最近披露的winrar漏洞CVE-2023-38831进行鱼叉攻击,不过其构造的压缩包有问题并不能成功触发。



样本分析


其使用的疑似winrar漏洞CVE-2023-38831文件详细信息如下表。



描述

详细信息

名称

Invitation_letter 20230927.docx.zip

文件大小

1676 bytes

文件类型

zip

文件功能

downloader

编译时间

/

开发平台及语言

/

是否加壳

/

VT首次上传时间

2023-10-24 02:52:00 UTC

pdb

/

md5

7868f392a65cb582a007e6ec65da89b7

Sha256

d32016c3800a483967cf964dd745c6da6b8f474df7c1ff0643c25a1300ad9ac2


其压缩包数据部分如下,疑似尝试使用漏洞执行恶意lnk文件,但其构造数据并不成功不能触发winrar漏洞。



其使用的恶意lnk文件与之前并未有多大区别,同样通过创建任务计划用于下载第二阶段载荷。



在部分任务计划下载的第二阶段载荷中,其下载msi文件释放了一款名为wmRAT的远控组件,其详细信息如下表。



描述

详细信息

名称

mrvscxv.exe

文件大小

95232 bytes

文件类型

exe

文件功能

wmRAT

编译时间

2023-07-07 16:12:47 (UTC+0)

开发平台及语言

win/c++

是否加壳

VT首次上传时间

2023-08-28 08:47:19 UTC

pdb

/

md5

5c0701c04cf5a7fc9a365ae64f1fba5e

Sha256

2b25469b0e23fc024f5ca147948292cd4175a18625cb8a5b67ab04300082866f


初始执行时该组件执行大量睡眠操作以加强反分析,并且其字符串信息与以往一样还是进行简单移位加密,解密出C2地址等信息“sportsaccessstore.com”。



该组件使用第三方白域名进行连接测试。



该组件拥有27条指令,其中大部分指令为空。



其余指令其主要功能如下表,其指令经常性的变换显得混乱。



命令ID

命令说明

2

列出目录信息

4

查找文件信息

5

命令执行,创建cmd或powershell管道执行命令

9

关闭指定文件流

10

指定文件流写入数据

12

发送文件信息至远程服务器

15

发送文件数据至服务器

21

获取屏幕数据并发送到目标C2

26

通过指定url下载文件

总结


BITTER组织的入口打点方式除了使用本次事件中发现的国产办公软件特性文档、疑似漏洞文件外,还在使用chm等格式文件进行攻击。另外,本次事件也揭露出该组织正尝试分析国内相关软件特性、软件漏洞并加以利用,安全厂商应加强该类攻击类型的检测与防御。

深信服高级威胁团队专注全球高级威胁事件的跟踪与分析,拥有一套完善的自动化分析溯源系统以及外部威胁监控系统,能够快速精准的对APT组织使用的攻击样本进行自动化分析和关联,同时积累并完善了几十个APT以及网络犯罪威胁组织的详细画像,并成功帮助客户应急响应处置过多个APT及网络犯罪威胁组织攻击事件,未来随着安全对抗的不断升级,威胁组织会研究和使用更多新型的TTP,深信服高级威胁团队会持续监控,并对全球发现的新型安全事件进行深入分析与研究。

IOC


IOC类型

详细信息

domain

farlookclinic.com

domain

webandersondesign.com

domain

olivershikerhelp.com

domain

neozelappconsole.com

domain

sportsaccessstore.com

url

91.236.230.44:59310

hash

5c0701c04cf5a7fc9a365ae64f1fba5e

hash

79a0285313c1f0f4b6369c4a0469244d

hash

59d03e432dfa160afa906a216180a1bc

hash

515be466eca3c803be66e40c3a84f778

hash

ca1e610418c6fa7437e29d37d2477028

hash

d7c3e044df73127776a5bd4cd031de30

hash

bcf7642743474bac8f581d89446fd57b

hash

1b0748d7ed0bbfbdaa039c2cd0bd2d8e

hash

75e696ef977b79c8ff70c5e2a2a6f6c0

hash

0cc167f39c5f802f59d8a21ea4f507e5

hash

fad400cedd1e43a95681244ff6c0e4b1

hash

edcd2d0c8e43f48c853788cf32f78653

hash

dc96b473eb5a9b7c0c93bb748b4530e4

hash

9579e51cf09b2341883970b48b661181

hash

7868f392a65cb582a007e6ec65da89b7

hash

39ca4c86defad82210c2830a6be7ff1f

参考链接


https://mp.weixin.qq.com/s/HVhXyIB4sKuG6dDwwe4Pcw


继续滑动看下一个
向上滑动看下一个

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存