长亭百川云 - 文章详情

APT-C-09(摩诃草)组织以巴基斯坦联邦税务局为诱饵的攻击活动分析

360威胁情报中心

63

2024-07-13

APT-C-09

  摩诃草

APT-C-09(摩诃草)又称、白象、Patchwork、Dropping Elephant,是一个具有南亚国家背景的APT组织,从2015年至今,该组织一直处于活跃状态,长期针对若干周边国家进行网络攻击活动,以窃取敏感信息为主。

近期360高级威胁研究院再次发现了该组织针对周边国家的攻击样本,并捕获到基于C#的后门载荷,说明该组织正在对其武器库进行丰富和扩展。这类载荷在摩诃草历史攻击中比较少见,通过分析代码,我们发现该类组件应该是摩诃草组织新开发的第一阶段恶意后门,鉴于此情况,本文重点披露这类组件。

 一、攻击活动分析  

1.恶意载荷分析  

本次攻击行动使用的钓鱼文件信息如下所示:

MD5

218d85723396ddddaf75fc5853338997

文件名称

Tax_Deduction_Revised_Q1-2024.pdf.lnk

文件大小

3.58 KB (3670字节)

文件类型

Lnk

该lnk打开时会调用powershell执行恶意指令。

该指令的功能为下载诱饵文件(https[:]//tyfk1.b-cdn.net/dox)和恶意载荷(https[:]//tyfk1.b-cdn.net/dix),并创建计划任务维持持久化。部分诱饵内容如下:

2.攻击组件分析  

Lnk文件下载的恶意载荷信息如下:

MD5

6582a4df50948aaf2dcfbc6d8b84a58e

文件名称

Services.exe

文件大小

17.77 KB (18192 字节)

文件类型

exe

Services.exe带有数字签名“RUNSWITHSCISSORS LTD”, 但该签名已无效,具体如下图所示。

该文件为.Net程序,其主要功能就是上传主机相关信息,以及执行Shell。文件运行之后,首先会创建一个名为“92dQhZhBSH”的互斥体,目的是避免多开,然后进入死循环持续运行,并且每次在运行主要流程前,都会休眠3秒。根据远控流程函数的命名“FirstStage”来看,该远控只是摩诃草组织攻击链路中的第一步。

该函数首先会获取MAC地址和主机名,将两者进行拼接,然后计算其HASH,再依次进行RC4加密以及Base64编码,RC4秘钥为“abcdefghijklmnopqrstuvwxyzABCD12345678909876542”,然后分别获取公网IP,UserName,当前进程PID,当前路径,并依次进行Base64编码,将编码的值进行RC4加密,最后再次进行Base64编码,然后分别进行拼接字段,最后发送请求。    

拼接字段和内容的对应关系如下:

字段

内容

pirnbjd

MAC地址和主机名

nnbjfgde

公网IP

unamednksb

UserName

pid

当前PID

ispngjgfjgj

是否是第一次发送数据

ppathhdksf

当前路径

cmddkbjsjf

下发的命令(回传结果时候使用)

然后读取响应报文,首先将报文Base64解码,然后在用RC4进行解密,得到了回传命令,用空格将回传的命令进行分割,并判断分割的第一个命令是否为“shell”,如果是,再用“|”符号,将剩余的命令进行分割,根据“|”符号的内容拼接需要执行的命令。    

程序利用cmd.exe执行Shell,其原理是通过将需要执行的命令写入标准输入重定向中,执行完成之后,读取标准输出重定向的结果,如果执行失败,读取错误重定向的结果即可。

然后将加密后的MAC地址,主机名,下发的命令,连同执行的结果进行回传,首先将执行结果依次用RC4,Base64进行加密。然后依次拼接,加密之后的MAC地址和主机名,命令执行的结果,以及下发的命令。并用POST的方式回传给C2(https[:]//kungkao.online/commKGylrY4ATzBDqQ58HYN6/CTFPNfmuMqz2vBw013swrcbJPnO7GH.php)。

我们注意到ispngjgfjgj字段在第一次请求的时候为1,在回传命令结果的时候,值为0,我们猜测该字段是为了判断是否是第一次回传数据。

 二、归属研判  

通过对样本整体分析,我们发现本次攻击行动与摩诃草组织之前使用的攻击手段相符合。

1.恶意lnk的参数使用方式与摩柯草之前的攻击活动基本一致,都是从远端下载诱饵文档和恶意载荷,并创建计划任务实现持久化,并且下载使用的URL都带有b-cdn.net字符串。此外,恶意载荷所携带的签名“RUNSWITHSCISSORS LTD”在之前活动中也出现过。

2.恶意载荷AES算法中的IV值与我们之前关于摩诃草的分析文章[1]里的值一致,均为“1234567891234567”。另外上传数据的URL格式也比较类似,使用的RC4算法在之前摩柯草活动中存在过,并且密钥开始部分有重叠,均为“abcdefghijklmnopqrstuvwxyzABCD1234567890987654”。

最后结合样本上传地址为巴基斯坦,以及历史上摩诃草组织多次针对巴勒斯坦联邦税务局进行攻击,符合攻击者目标。因此有理由将其这类攻击归属于摩诃草组织。

总结

APT-C-09(摩诃草)组织从2013年被披露后,从未停止相关攻击活动,长期针对巴基斯坦等周边国家进行攻击,并且攻击目标和目的也都未发生改变,这也体现出幕后组织意志的坚定性,在最新的攻击样本中,我们观察到该组织使用C#编写的后门载荷,这进一步揭示了其在不断演进和提升技术水平的过程中,还在积极丰富其武器库,以更好地适应网络安全防护的不断升级。特别注意的是,目前捕获到的C#载荷功能并不复杂,后期该攻击者可能会逐步丰富其功能代码,我们也将持续关注该组织的攻击武器。 

360聚能过去20年实战经验及能力推出360安全云,目前,360安全云已实现对此类威胁的全面检出,全力守护千行百业数字安全。

附录 IOC

MD5

218d85723396ddddaf75fc5853338997

6582a4df50948aaf2dcfbc6d8b84a58e

URL

https://tyfk1.b-cdn\[.\]net/dox

https://tyfk1.b-cdn\[.\]net/dix

https://kungkao\[.\]online/commKGylrY4ATzBDqQ58HYN6/CTFPNfmuMqz2vBw013swrcbJPnO7GH.php 

参考

[1] https://mp.weixin.qq.com/s/LOZTOz4Lo6cOpeD4mMC29g   

360****高级威胁研究院

360高级威胁研究院是360数字安全集团的核心能力支持部门,由360资深安全专家组成,专注于高级威胁的发现、防御、处置和研究,曾在全球范围内率先捕获双杀、双星、噩梦公式等多起业界知名的0day在野攻击,独家披露多个国家级APT组织的高级行动,赢得业内外的广泛认可,为360保障国家网络安全提供有力支撑。

相关推荐
关注或联系我们
添加百川云公众号,移动管理云安全产品
咨询热线:
4000-327-707
百川公众号
百川公众号
百川云客服
百川云客服

Copyright ©2024 北京长亭科技有限公司
icon
京ICP备 2024055124号-2