点击蓝字关注我们透明部落以“清洁运动”为主题对印度国防部下属企业发起钓鱼攻击- by 猎影实验室-事件背景 近期安恒信息中央研究院猎影实验室捕获到透明部落组织针对印度国防部下属企业攻击的样本,样本格式为带有恶意宏的pptm文件,可能通过钓鱼邮件投递至印度国防部下属企业,样本中的宏代码会释放并执行CrimsonRAT,执行来自恶意C2的各种命令。 诱饵文档冒充为印度国防部下发的指令,大意为通知各个印度国防公共部门企业进行“清洁运动”以减少未决事项。诱饵文档如下:攻击分析 pptm文件的宏代码如下。 宏代码的主要执行流程如下图。宏代码首先将自身复制到根据当前时间创建的目录“C:ProgramDataOffrce【当前分和秒】”,重命名为“Offire.zip”并解压。 然后获取操作系统名和版本号,判断其中是否包含“.01”字符串,若包含,则将压缩包中的pptembeddingsoleObject1.bin文件复制到C:ProgramDataOffrce*ppt路径下并重名为“iarwthbnaiv.exe”,然后执行iarwthbnaiv.exe文件,若不包含“.01”字符串则对pptembeddingsoleObject2.bin文件执行上述操作。 经过测试发现在Windows7系统中包含“.01”字符串,而Windows 10以上版本返回为空字符串。对oleObject1.bin和oleObject2.bin两个文件对比发现,oleObject2.bin的编译信息中指定.NETFramework的版本为4.6,而oleObject1.bin并未指定.NETFramework版本。除此以外,两个程序的功能完全相同。 pptembeddingsoleObject3.bin文件以pptx文件打开,实际为诱饵文档。 iarwthbnaiv.exe文件为Crimson RAT远控木马,在其初始化的函数中能够发现其版本号。 程序运行后并未立即注册持久化,而是通过设置窗体关闭事件句柄的方式,在进程结束或其他窗体结束的情况下才进行注册持久化,方式是在注册表“SOFTWAREMicrosoftWindowsCurrentVersionRun”下注册自启动,键名为“qerbalahwer”,设置键值为当前进程路径(C:ProgramDataOffrce*pptiarwthbnaiv.exe)。 随后与指定ip和端口建立TCP连接。 ip地址通过十进制ASCII码存储,编码后为“38.74.14[.]137”。 端口号共有5个,默认为7516,若连接出现异常则试图使用下一端口号。 连接成功后从C2服务器读取数据,数据经过插入、删除和替换等操作得到程序能够识别的指令码。 通过指令码控制的功能模块截图如下图所示。 功能总结如下:指令码实现功能pr3aocl/pr3ocl获取运行进程的进程名和进程IDen3adpo/en3dpo根据进程ID结束指定进程sc3arsz/sc3rsz调整屏幕截图大小cs3acrdn/cs3crdn获取屏幕截图di3ars/di3rs获取磁盘驱动器名称st3aops/st3ops停止屏幕截图fi3alsz/fi3lsz获取指定文件信息do3awf/do3wf下载并写入指定文件cn3als/cn3ls启用数据上传下载功能sc3aren/sc3ren屏幕截图并上传至C2th3aumb/th3umb指定图片上传至服务器pu3atsrt/pu3tsrt注册自启动ud3alt/ud3lt删除用户de3alt/de3lt删除指定文件fi3ale/fi3le指定文件上传至服务器in3afo/in3fo获取用户信息ru3anf/ru3nf运行指定文件af3aile/af3ile指定文件上传至服务器li3astf/li3stf上传指定路径下全部指定扩展名的文件do3awr/ do3wr下载并写入指定文件fl3aes/fl3es获取某路径下全部文件名fl3adr/fl3dr获取指定路径全部子路径关联分析 本次攻击释放的最终载荷被识别为Crimson RAT,而Crimson RAT是透明部落特有的远控软件。 并且本次样本的Crimson RAT的执行流程与此前披露的样本存在多处重合,具体如下:1// 样本中硬编码的版本号格式相近2// 功能入口由定时器触发函数回调进入3// 功能模块使用的命令混淆方式高度相似拓展 诱饵文档中的词汇“Swachta drive”与印度的“清洁运动”有关。 “清洁运动”是由印度政府于2014年10月2日发起的一项公共环境卫生工程,呼吁印度民众参与打扫卫生活动,目前仍在持续进行,下图为《印度时报》中与“清洁运动”相关的新闻,说明攻击者也在关注着印度的时事。 诱饵文档中说明“DPSUs附属/下属办公室的所有联合秘书级官员将确保并监督清洁工作,相关部门的所有员工都将参与清洁运动。”“DPSUs”是“Defence Public Sector Undertakings”的缩写形式,译为“国防公共部门企业”,归印度国防部国防生产部管控。 DPSUs共包含16家企业,涉及航空、电子、武器、建筑、矿业、材料、船舶和军需等重要行业,此次攻击目的很可能是窃取这些企业的重要机密。思考总结 印度和巴基斯坦都是属于东南亚的国家,但由于历史原因两国的关系一直较为紧张,在激烈的武装冲突的背后,双方的网络战争也在暗流涌动。 虽然本次捕获的样本仅针对印度地区,但我们仍然要保持警惕,因为觊觎我们个人信息和国家机密的组织和团伙仍不在少数,他们无时无刻都在利用我们身边的信息,并通过社工手段让我们卸下防备,正如本次攻击利用印度国家的“清洁运动”一样。因此,安恒信息在此提醒广大用户谨慎对待未知来源的邮件附件和链接,不运行来源不明的文件,如有需要,可以投递至安恒云沙箱查看判别结果后再进行后续操作。防范建议 目前安全数据部已具备相关威胁检测能力,对应产品已完成IoC情报的集成: ●安恒产品已集成能力: 针对该事件中的最新IoC情报,以下产品的版本可自动完成更新,若无法自动更新则请联系技术人员手动更新:(1)AiLPHA分析平台V5.0.0及以上版本(2)AiNTA设备V1.2.2及以上版本(3)AXDR平台V2.0.3及以上版本(4)APT设备V2.0.67及以上版本(5)EDR产品V2.0.17及以上版本 ● 安恒云沙盒已集成了该事件中的样本特征: 用户可通过云沙盒:https://ti.dbappsecurity.com.cn/sandbox,对可疑文件进行免费分析,并下载分析报告。 ● IOC: 关注公众号留言“20220725”,即可获取。安恒信息安全数据部, 下设猎影实验室、零壹实验室、析安实验室和回声实验室,团队以数据分析与技术研究为核心,致力于数据驱动安全创造用户价值。猎影实验室高级威胁研究团队,专注于APT攻击发现、分析、检测、溯源、防御等研究,以及积累了海量的IoC情报数据。网络安全研究宅基地扫码关注我们一群技术宅
还没有评论,来说两句吧...