APT-C-56
透明部落
APT-C-56(透明部落),又被称为APT36、ProjectM、C-Major,是一个源自南亚的高级持续性威胁组织。其主要活动地点集中在印度等周边国家,擅长运用社会工程学进行精准的鱼叉式攻击,具备多种攻击载荷武器以及多平台攻击能力,并且还开发出了Windows系统下的专属木马CrimsonRAT等工具。
近期,360高级威胁研究院捕获到了一起通过Linux桌面应用进行分发恶意载荷的攻击活动,最终载荷是透明部落组织针对Linux系统使用的攻击武器——波塞冬(Poseidon)组件,通过这一武器完成窃密行动。鉴于这类分发方式在以前的攻击活动中比较少见,这里进行分析说明以免用户中招。
本轮攻击中,透明部落组织诱导用户在Linux环境下执行压缩包中的.desktop文件,该类型的文件是 Linux 桌面环境中用于定义应用程序启动器的文件格式,可以视为Linux系统中的快捷文件。该desktop文件运行后会下载并打开诱饵文件以及下载执行ELF恶意样本,并设置持久化,从而实现窃密活动。经分析下载的ELF文件为Golang编译的Poseidon组件。整个攻击流程如下图所示:
本次捕获的恶意样本如下所示:
MD5
e275b8426f032fc7d945795f4e62f924
文件大小
6.33 KB (6486字节)
文件名
Agenda_of_Meeting.zip
样本为一个zip压缩包文件,压缩包解压得到approved_copy.desktop文件,该文件截至分析日在virustotal平台上的检测率依然为0。
在Linux系统下,.desktop 实际是一个用来运行程序的快捷方式。该文件大小超过1MB,打开时发现其中使用大量的“#”符号来增大文件,猜测这是为了绕过安全产品的检测。
去除冗余的“#”后得到如下脚本内容:
该桌面文件的主要功能为下载诱饵文件approved_copy.pdf并打开以欺骗受害者,接着创建隐藏目录local/share并在该目录下保存下载的两个恶意载荷bsdutils-taR和notification-update,然后创建/dev/shm/myc.txt脚本,该脚本会重启计算机并执行恶意载荷,最后在当前用户名下设置一个cron任务来运行myc.txt脚本以维持持久化。
下载的两个恶意载荷功能相同,以其中一个进行分析说明,样本信息如下:
MD5
412e437f6b53b1be64a3ccf6286c7c02
文件大小
6.26 MB (6560536字节)
文件名
notification-update
分析发现,该载荷是由Golang编写的ELF文件,属于Mythic框架下的Poseidon组件(https://github.com/MythicAgents/poseidon),执行时会获取当前IP,进程名,进程PID,主机名,操作系统版本,UUID等信息发送到服务端地址:149.248.51.25。
随后等待服务器响应执行响应指令,功能包括:键盘记录、上传下载、端口扫描、屏幕捕获、内存执行、远程管理和命令执行等众多功能,其完整功能可以参考链接(https://github.com/MythicAgents/poseidon/blob/master/Payload\_Type/poseidon/poseidon/agent\_code/pkg/tasks/newTasking.go)。
我们在去年8月份也捕获到了透明部落组织使用相同攻击方式的恶意样本,该样本仍然由印度地区上传,可见透明部落组织持续发起针对印度的攻击,样本信息如下:
MD5
36b19ca8737c63b9c9a3365ff4968ef5
文件大小
6.23 KB (6382字节)
文件名
Meeting_Agenda.zip
样本依然为包含桌面快捷文件的zip压缩包,该桌面应用执行代码和本次样本基本一致,点击桌面应用下载的诱饵文件如下所示,显示错误信息以此来迷惑受害者。
此外,下载的恶意载荷也为Poseidon组件,根据C2地址我们也关联到多个未披露的Poseidon组件,功能都基本一致,不再详细叙述。
通过对本次攻击活动的相关信息进行深入分析,我们认为此类攻击活动符合透明部落组织以往的TTP,具体表现在:
1)该组织之前使用过Poseidon组件,也都增加了xgb库来进行通信,并且在命名方式上采用了相同后缀“help”,如pickle-help和ziputils-help与之前的bosshelp[1],目的是将自身伪装成合法的应用程序;
2)诱饵PDF显示错误信息迷惑受害者;
3)此外,部分基础设施C2与之前攻击行动有所重叠,并且攻击目标符合该组织攻击对象。
因此,将其归属于APT-C-56(透明部落)组织。
总结
由于边境、文化、种族、历史等原因,南亚地区APT组织攻击活动异常活跃。透明部落组织主要针对印度军事人员、政府人员进行定向攻击,本次攻击采用诱导受害者点击Linux桌面应用进行下发恶意载荷,从而完成窃密活动。由于Linux系统在印度政府中被广泛使用,相信该组织后续会针对Linux系统开发出更多的攻击武器。
因此在这里提醒用户加强安全意识,无论何种操作系统,切勿执行未知样本或点击来历不明的链接等操作。这些行为可能导致系统在没有任何防范的情况下被攻陷,从而导致机密文件和重要情报的泄漏。
附录 IOC
MD5:
e275b8426f032fc7d945795f4e62f924
bee07c4e4fa182b1f7579cf95a0b58da
98deebd20a1f6be7b6d7abeb2230bf93
412e437f6b53b1be64a3ccf6286c7c02
36b19ca8737c63b9c9a3365ff4968ef5
65167974b397493fce320005916a13e9
574013c4a22ca2d8d8c76e65ef5e8059
98279047a7db080129e5ec84533822ef
248d4e6bb0f32afd7a1cfb975910235a
43a42f0d5bc1896476552f9faa5d84a9
72f5baffc7e0c6fae43a735f86e782f8
C2:
http://139.59.30\[.\]67/4200f0916f146d2ac5448e91a3afe1b3/bsdutils-taR
http://139.59.86\[.\]183/4200f0916f146d2ac5448e91a3afe1b3/notification-update
http://64.227.138\[.\]127/4200f0916f146d2ac5448e91a3afe1b3/pickle-help
http://134.209.159\[.\]9/4200f0916f146d2ac5448e91a3afe1b3/ziputils-help
http://64.227.133\[.\]222/zswap-xbusd
http://192.248.153\[.\]47/data
http://108.61.163\[.\]195/data
参考
[1]https://mp.weixin.qq.com/s/lvSraGnMsl3a1jEUubuvyw
360****高级威胁研究院
360高级威胁研究院是360数字安全集团的核心能力支持部门,由360资深安全专家组成,专注于高级威胁的发现、防御、处置和研究,曾在全球范围内率先捕获双杀、双星、噩梦公式等多起业界知名的0day在野攻击,独家披露多个国家级APT组织的高级行动,赢得业内外的广泛认可,为360保障国家网络安全提供有力支撑。