【高级持续威胁追踪】蔓灵花组织投向国产办公软件的目光与winrar漏洞之触
概述
BITTER组织,又被称“蔓灵花”、“APT-C-08”、“T-APT-17”以及“苦象”,常对南亚周边及孟加拉湾海域的相关国家发起网络攻击,主要针对政府(外交、国防)、核工业、能源、国防、军工、船舶工业、航空工业以及海运等行业进行攻击。该组织在在2021到2023年一直保持活跃的状态。其常用打点技巧为鱼叉攻击,向目标投递带lnk与chm恶意附件的邮件,在2023年中开始我们发现该组织开始投递国内相关文档办公软件制作的恶意ppt文档,相关恶意文档如下。
另外在最近发现的攻击活动中,发现其新增了一个攻击目标蒙古,主要针对其外交部门进行攻击。
其投递的恶意文档,诱导目标执行该文件创建恶意计划任务下载第二阶段载荷,该攻击手法没有发生较大变化。在最新的攻击行动中,其通过在ppt中插入图片,设置图片“鼠标单击”与“鼠标悬停”等动作启动cmd命令创建恶意任务计划“AudioDg”。
国产办公软件会解析命令中的html标签并弹出攻击者制作的诱导性文字,引导目标执行该恶意动作,而该恶意文档在office2016以上并不能成功利用和执行。
除了上述伪装的恶意文档之外,还发现该组织正尝试使用最近披露的winrar漏洞CVE-2023-38831进行鱼叉攻击,不过其构造的压缩包有问题并不能成功触发。
样本分析
其使用的疑似winrar漏洞CVE-2023-38831文件详细信息如下表。
描述 | 详细信息 |
名称 | Invitation_letter 20230927.docx.zip |
文件大小 | 1676 bytes |
文件类型 | zip |
文件功能 | downloader |
编译时间 | / |
开发平台及语言 | / |
是否加壳 | / |
VT首次上传时间 | 2023-10-24 02:52:00 UTC |
pdb | / |
md5 | 7868f392a65cb582a007e6ec65da89b7 |
Sha256 | d32016c3800a483967cf964dd745c6da6b8f474df7c1ff0643c25a1300ad9ac2 |
其压缩包数据部分如下,疑似尝试使用漏洞执行恶意lnk文件,但其构造数据并不成功不能触发winrar漏洞。
其使用的恶意lnk文件与之前并未有多大区别,同样通过创建任务计划用于下载第二阶段载荷。
在部分任务计划下载的第二阶段载荷中,其下载msi文件释放了一款名为wmRAT的远控组件,其详细信息如下表。
描述 | 详细信息 |
名称 | mrvscxv.exe |
文件大小 | 95232 bytes |
文件类型 | exe |
文件功能 | wmRAT |
编译时间 | 2023-07-07 16:12:47 (UTC+0) |
开发平台及语言 | win/c++ |
是否加壳 | 否 |
VT首次上传时间 | 2023-08-28 08:47:19 UTC |
pdb | / |
md5 | 5c0701c04cf5a7fc9a365ae64f1fba5e |
Sha256 | 2b25469b0e23fc024f5ca147948292cd4175a18625cb8a5b67ab04300082866f |
初始执行时该组件执行大量睡眠操作以加强反分析,并且其字符串信息与以往一样还是进行简单移位加密,解密出C2地址等信息“sportsaccessstore.com”。
该组件使用第三方白域名进行连接测试。
该组件拥有27条指令,其中大部分指令为空。
其余指令其主要功能如下表,其指令经常性的变换显得混乱。
命令ID | 命令说明 |
2 | 列出目录信息 |
4 | 查找文件信息 |
5 | 命令执行,创建cmd或powershell管道执行命令 |
9 | 关闭指定文件流 |
10 | 指定文件流写入数据 |
12 | 发送文件信息至远程服务器 |
15 | 发送文件数据至服务器 |
21 | 获取屏幕数据并发送到目标C2 |
26 | 通过指定url下载文件 |
总结
BITTER组织的入口打点方式除了使用本次事件中发现的国产办公软件特性文档、疑似漏洞文件外,还在使用chm等格式文件进行攻击。另外,本次事件也揭露出该组织正尝试分析国内相关软件特性、软件漏洞并加以利用,安全厂商应加强该类攻击类型的检测与防御。
深信服高级威胁团队专注全球高级威胁事件的跟踪与分析,拥有一套完善的自动化分析溯源系统以及外部威胁监控系统,能够快速精准的对APT组织使用的攻击样本进行自动化分析和关联,同时积累并完善了几十个APT以及网络犯罪威胁组织的详细画像,并成功帮助客户应急响应处置过多个APT及网络犯罪威胁组织攻击事件,未来随着安全对抗的不断升级,威胁组织会研究和使用更多新型的TTP,深信服高级威胁团队会持续监控,并对全球发现的新型安全事件进行深入分析与研究。
IOC
IOC类型 | 详细信息 |
domain | farlookclinic.com |
domain | webandersondesign.com |
domain | olivershikerhelp.com |
domain | neozelappconsole.com |
domain | sportsaccessstore.com |
url | 91.236.230.44:59310 |
hash | 5c0701c04cf5a7fc9a365ae64f1fba5e |
hash | 79a0285313c1f0f4b6369c4a0469244d |
hash | 59d03e432dfa160afa906a216180a1bc |
hash | 515be466eca3c803be66e40c3a84f778 |
hash | ca1e610418c6fa7437e29d37d2477028 |
hash | d7c3e044df73127776a5bd4cd031de30 |
hash | bcf7642743474bac8f581d89446fd57b |
hash | 1b0748d7ed0bbfbdaa039c2cd0bd2d8e |
hash | 75e696ef977b79c8ff70c5e2a2a6f6c0 |
hash | 0cc167f39c5f802f59d8a21ea4f507e5 |
hash | fad400cedd1e43a95681244ff6c0e4b1 |
hash | edcd2d0c8e43f48c853788cf32f78653 |
hash | dc96b473eb5a9b7c0c93bb748b4530e4 |
hash | 9579e51cf09b2341883970b48b661181 |
hash | 7868f392a65cb582a007e6ec65da89b7 |
hash | 39ca4c86defad82210c2830a6be7ff1f |
参考链接
https://mp.weixin.qq.com/s/HVhXyIB4sKuG6dDwwe4Pcw