APT-C-09
摩诃草
APT-C-09(摩诃草)(又称白象、Patchwork、Dropping Elephant)是一个具有南亚国家背景的APT组织,长期针对巴基斯坦等周边国家进行网络攻击活动,以窃取敏感信息为主。尽管这些年该组织历史攻击行动及使用的攻击武器被国内外安全厂商多次揭露,但仍未停止其攻击,反而有越演越烈的趋势,一直处于活跃状态。
近期,360高级威胁研究院发现该组织针对巴基斯坦地区的攻击样本,并捕获到基于Golang的新载荷,这类攻击载荷在摩诃草的历史攻击中比较少见。此外基于后台大数据分析关联,我们还捕获到了该组织在同一时期针对同一地区散布Quasar工具进行窃密的行为。这两种攻击武器的交替出现,表明该组织针对同一目标不遗余力,并不断丰富和扩展其攻击武器。因此,在本文中我们将披露这些攻击组件,特别是Golang新载荷,以便对此类威胁有更深入的了解。
本次攻击行动使用的钓鱼文件信息如下所示:
MD5
0aa22fa3333c891a139187442ecf0e81
文件名称
Quran.pdf.lnk
文件大小
3.78 KB (3874字节)
文件类型
lnk
该lnk打开时会调用powershell执行恶意指令。
该指令的功能为下载诱饵文件(https[:]//quranchapter.t-cdn.org/wp-content/wp-includes/docaegeegrgseffefaa/22-Quran)和恶意载荷(https[:]//quranchapter.t-cdn.org/wp-includes/javascript/juicesdafekohioshfoshfhiofh/quran),并创建计划任务维持持久化。
部分诱饵内容如下:
lnk文件下载的恶意载荷信息如下:
MD5
4f8bd643c59658e3d5b04d760073cbe9
文件名称
Winver.exe
文件大小
5.36 MB (5619472字节)
文件类型
exe
Winver.exe是一个由Golang编译的恶意软件,并且带有数字签名“RUNSWITHSCISSORS LTD”,具体如下图所示。
需要说明的是,我们捕获的Golang载荷除了上述签名外,还有个别样本签名为“COMPUTING AND CODING LIMITED”,其信息如下,该签名疑似被盗取,因此后续要提防此类签名信息的样本。
另外查看Winver.exe文件的节发现存在.symtab段,.symtab是Linux系统写ELF文件格式的一部分,猜测该样本还有对应的ELF版本。
Winver样本执行时先获取C2的硬编码值,接着对RC4的密钥和 User-Agent的值进行初始化。
然后使用wmic命令获取UUID的值,若获取失败,则随机生成。
随后获取用户名、主机名、出口IP及国家代码、系统版本及架构、进程名和进程ID等信息。
将获取的信息采用RC4+Base64的方式进行加密,并将Base64结果中的“+”替换成“-”和“/”替换成“_”。
将获取的基本信息进行拼接后采用post的方式发送到C2地址,此时HTTP请求头中用户代理设置为如下值“User-Agent:AGCYRNRWWWFZZSWWFWDYDCVDN”。
当响应的状态码为“200”时,会读取响应数据进行解析解密,若指令为“suzckdwceefc”,则调用cmd进行命令执行,并将执行结果加密回传。
若指令为“xlsvepfstvuv”,则使用开源库进行屏幕截屏。
基于后台大数据分析关联,我们还发现了该组织针对同一目标使用Quasar RAT的攻击行为。其样本信息如下所示:
MD5
1154b7d8bd2e631f8fcd50a53d6173ba
文件大小
238 KB (244,504 字节)
文件名
msedge.exe
msedge.exe是一个Rust编译的用于内存加载执行最终载荷的加载器,通过使用更加底层的API函数,以创建线程的方式执行ShellCode,然后通过内存加载的方式,最终执行.Net载荷。此外我们也发现了通过NtQueueApcThread执行shellcode的攻击样本,该样本与msedge.exe只是shellcode执行方式不一致,其他均一致。
最终载荷是一个被严重混淆过的C#程序,经过分析该载荷属于Quasar远控程序(https://github.com/quasar/Quasar),程序名为Client.exe,该远控程序也多次被摩诃草组织使用。
Client.exe首先使用Base64解码,以及AES-128的CBC模式解密基本的配置信息,如下表。
ProjectName
Office04
Version
1.0.0.0
rawHosts
172.81.60.46:1005
DirName
SubDir
FileName
Client.exe
Mutex
QSR_MUTEX_UCsz1CfvA68LlA0O2s
SchTaskName
Quasar Client Startup
在解密配置信息之后,会根据用户类型的不同创建持久化,如果是管理员用户,就创建计划任务以及通过注册表HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run进行持久化,如果不是Admin用户,则只是通过注册表进行持久化。
最后通过socket方式连接C2服务器,并通过事件方式用于接收数据以及执行对应的远控操作,具体远控指令如下。
指令
含义
DoClientDisconnect
断开连接
DoClientUninstall
卸载客户端
GetProcesses
枚举进程
DoProcessKill
杀死进程
DoProcessStart
创建进程
GetDrives
获取驱动器信息
GetDirectory
获取目录信息和文件信息
DoDownloadFile
下载文件
DoUploadFile
上传文件
DoMouseEvent
鼠标事件
DoKeyboardEvent
键盘事件
GetSystemInfo
获取系统信息
DoShellExecute
执行Shell
DoPathRename
重命名
DoPathDelete
删除文件
GetStartupItems
获取启动项信息
DoStartupItemAdd
添加启动项
DoStartupItemRemove
删除启动项
DoDownloadFileCancel
下载文件管道
DoLoadRegistryKey
注册表检索
DoCreateRegistryKey
创建注册表键
DoDeleteRegistryKey
删除注册表键
DoRenameRegistryKey
重命名注册表键
DoCreateRegistryValue
设置注册表值
DoDeleteRegistryValue
删除注册表值
GetScreenshot
截图
DoDownloadDirectory
下载目录
三、归属研判
通过对样本整体分析,我们发现本次攻击行动与摩诃草组织之前使用的攻击手段相符合。
1.恶意lnk的参数及使用方式和恶意载荷所携带的签名“RUNSWITHSCISSORS LTD”都与我们之前关于该组织的报道一致[1]。
2.本次载荷通联C2中包含“b-cdn”、“t-cdn”等字符串,这类字符串经常出现在摩诃草组织以往C2中。此外多个C2服务器使用“Let’s Encrypt”颁发的免费证书,这与之前摩诃草的BADNEWS木马服务器也类似。
3.Golang新载荷使用RC4+Base64的算法,该类算法在该组织其他载荷中也被使用过。另外,针对同一目标使用的Quasar RAT之前也被披露过。
4.最后结合样本上传地址为巴基斯坦,符合攻击者目标,综上将其这类攻击归属于APT-C-09(摩诃草)组织。
总结
APT-C-09(摩诃草)组织从2013年被披露后,从未停止相关攻击活动,长期针对巴基斯坦等周边国家进行攻击,在最新的攻击样本中,我们观察到该组织使用Golang编写的后门载荷,以及使用Rust编写的加载器加载Quasar的攻击组件,这都进一步揭示了其在不断演进和提升技术水平的过程中,还在积极地扩展其攻击武器,以更好地适应网络安全防御的不断升级。
在这里提醒用户加强安全意识,切勿执行未知样本或点击来历不明的链接等操作。这些行为可能导致系统在没有任何防范的情况下被攻陷,从而导致机密文件和重要情报的泄漏。
===
附录 IOC
MD5:
0aa22fa3333c891a139187442ecf0e81
4f8bd643c59658e3d5b04d760073cbe9
dfb97438f0ec94e78a2a1e3d32bc11d5
13dcd6f1fd44f7f15651153167b646cc
1154b7d8bd2e631f8fcd50a53d6173ba
C&C:
https://quranchapter.t-cdn\[.\]org/wp-includes/javascript/juicesdafekohioshfoshfhiofh/quran
https://ruz98.b-cdn\[.\]net/22
https://daily-mashriq\[.\]org/goyxdrkhjilchyigflztv
https://espncrics\[.\]info/goaimdzfecbgrjjxdamdoo
172.81.60[.]46:1005
参考
[1]https://mp.weixin.qq.com/s/SAt5NU-hCbS0D6jI8gkkFQ
360****高级威胁研究院
360高级威胁研究院是360数字安全集团的核心能力支持部门,由360资深安全专家组成,专注于高级威胁的发现、防御、处置和研究,曾在全球范围内率先捕获双杀、双星、噩梦公式等多起业界知名的0day在野攻击,独家披露多个国家级APT组织的高级行动,赢得业内外的广泛认可,为360保障国家网络安全提供有力支撑。
