近日,360高级威胁研究院监测到了疑似透明部落的一批攻击活动样本。我们推测是之前行动未被发现的样本,样本利用诱饵文档最终释放其专属木马CrimsonRAT。
一、攻击活动分析
1.攻击流程分析
利用伪装简历的诱饵文档进行攻击活动。通过Dropper释放CrimsonRAT对中招用户持续监控。
2.载荷投递分析
2.1 伪装文档
我们捕获的样本名字是Sonam kaur_2,文档名称类似样本下面这个文件名称是Sonam Singh的文档,同样采用人名作为文档名称,Sonam Singh的文档内部是一份个人工作简历。
我们推测是同一批攻击行动,与之不同的是,我们捕获的恶意文档打开内部只包含宏代码,一旦用户疏忽点击了启动宏功能,内部隐藏的恶意宏代码自动运行。
我们还在推特找到了同名账户,在简介处我们可以发现地位位置在孟买,并且是一家财富咨询公司。推文更新截止时间为2021年7月,虽然这与我们推测的行动时间相一致,暂时无法判断这个推特与文档是否有关联。
宏代码在ALLUSERSPROFILE目录下伪装成Mdiaz相关程序,从恶意文档的指定结构中读取隐藏的数据并写入文件中,可以看出APT-C-56(透明部落)利用简单的字符串拼接技术,对exe字符进行拆解,以躲避杀毒引擎的静态查杀。
启动释放的恶意PE程序,同时进一步读取内部隐藏的正常文本文档数据,释放到worddcs.docx,最后打开这个文档伪装迷惑用户。
2.2 Dropper
释放的PE文件是一个.Net的Dropper程序。首先判断是否存在zip文件,如果不存在将读取资源节并将其中的数据写入文件,如果存在则删除后重新写入。
判断目录下是否有以.ford为后缀的文件,如果有,直接创建启动文件。没有指定后缀文件则直接进入后续释放流程。
随后判断资源内是否存储有后门RAT,如果没有,通过网络连接从C&C下载并运行。
3.攻击组件分析
下载后释放的RAT后门伪装成FireFox浏览器,是透明部落一直维护和使用的CrimsonRAT。
控制码与命令如下:
指令 | 控制码 |
枚举进程 | gey7tavs |
上传gif | thy7umb |
枚举进程 | pry7ocl |
设置自启动 | puy7tsrt |
下载文件 | doy7wf |
设置截屏 | scy7rsz |
获取文件属性 | fiy7lsz |
查看截图 | cdy7crgn |
csy7crgn | |
csy7dcrgn | |
停止截屏 | sty7ops |
桌面截图 | scyr7en |
获取磁盘信息 | diy7rs |
参数初始化 | cny7ls |
删除文件 | dey7lt |
获取文件信息 | afy7ile |
删除用户 | udy7lt |
搜索文件 | liy7stf |
获取用户信息 | iny7fo |
执行文件 | ruy7nf |
移动文件 | fiy7le |
二、归属研判
通过宏代码的相似以及CrimsonRAT判断这是APT-C-56(透明部落)的攻击活动, 此次发现的样本,与我们之前发布的APT-C-56(透明部落)攻击分析报告有多处相似的地方。
1.与之前攻击行动相关分析
1.1宏代码相似
下图为之前披露行动中的分析:
下图为此次攻击行动中的分析:
1.2 Dropper相似
下图为之前披露行动中的分析:
下图为此次攻击行动中的分析:
2.与之前行动差异分析
上次的攻击活动直接通过资源释放RAT。
此次发现的样本通过网络连接下载后续RAT。
印巴冲突因为边境、文化、种族、历史等原因一直存在,地缘冲突导致的军事、政治刺探始终是该区域的主旋律,印巴之间APT组织之间相互伪装、攻击的事件时有发生,主要是为了迷惑安全厂商分析人员,达到避免暴露自身的目的。巴基斯坦的sidecopy组织一直模仿响尾蛇的攻击方式,是否印度组织也会模仿透明部落的进行攻击活动。
360高级威胁研究院