蔓灵花(Bitter)组织近期针对我国政府部门、科研机构发起攻击 – 作者:安恒威胁情报中心

01背景

“蔓灵花”(BITTER)是一个长期针对中国及巴基斯坦的政府、军工、电力、核等部门发动网络攻击,窃取敏感资料,具有较强的政治背景的APT组织。

该组织活动较为频繁,近期安恒威胁情报中心捕获到该组织以“海事政策分析和对南亚的港口安全影响”、“2020年自主研发项目立项论证报告”等主题对我国政府部门、科研机构相关人员发起定向攻击。

发件人为国内某船舶贸易公司邮箱,那么邮箱账号可能已被该组织掌握。

4ba351e5b980a642cba4ed7dcde7e5df-sz_150964.png

在月初友商对蔓灵花活动的披露中,该组织使用样本“开证装期邮件.pdf.exe”引起我们注意,诱饵文件内容中包含邮件信息截图,截图中收件方邮箱地址与此次我们监测到的样本中发件方同为该船舶贸易公司邮箱。

9668f1a726d6e1c43cde2281f26310ce-sz_177902.png

按照攻击事件发生时间、对应邮箱地址等综合推测,蔓灵花组织先攻击了该船舶贸易公司,并从中获取了一些信息,其中包括这个发件人邮箱,然后再通过这个邮箱发送钓鱼邮件给其他目标如政府部门、科研机构相关人员。

02 分析

附件为chm文档,

98f6ca73de52ac3b9dd0c3b72ed97fda-sz_14103.png

内置恶意html文件,会从远程服务器下载后续载荷执行,URL地址如下:

http://windiagnosticsvc[.]net/jscript/jsp.php?h=%computername%*%username%

下载的程序名为CERT.msi。

1f6425fcd16975d072e362f098cb9bd6-sz_8421.png

该程序与以往披露程序基本一致。随后下发多个模块组件,

23de951f32b081819c2f2f8f72c37da6-sz_30474.png

组件模块和以往披露的大致一样。

其中windrv模块之前并没有怎么发现,观察样本时间戳信息,至少今年7月份该组织就已经持有该组件模块。

0514b36ec106e09dbe239956e9da0b33-sz_22721.png

Windrv USB 窃密模块分析

windrv模块主要功能是从USB等移动设备中窃取指定后缀的敏感文件。窃取的文件会被存储在本地磁盘指定目录中。主要功能代码如下:

样本会创建一个类名为:“USB”的窗口程序,并设置其能够接收新增设备的消息通知。

9524d5041c448363870dd3ca2056153c-sz_48300.png

在消息回调中过滤新增设备时的消息通知,

4cbb6420a449091d093f776ff75c1ea6-sz_35421.png

在接入USB等新的移动设备后,遍历指定后缀的敏感文件。

6d405ad7e4f72dddc95f314928939571-sz_46140.png

为获取到的文件添加前缀(“$_Bkp_”)然后将文件拷贝到本地磁盘的指定目录:

“C:\Users\%username%\AppData\Roaming\Microsoft\Windows\SendTo\BKP”。

25ebad054d6e8a6d65eb9b86339b73fe-sz_206272.png

03总结

蔓灵花攻击活动持续不断,尤其需要注意该组织会获取国内政企使用的正常邮箱账户,并进行钓鱼投递。

如果您收到可疑文件,请提交安恒威胁情报中心平台进行检测。平台地址:https://ti.dbappsecurity.com.cn/

04 IOC

MD5

660a678cd7202475cf0d2c48b4b52bab

578918166854037cdcf1bb3a06a7a4f3

6452e2c243db03ecbcacd0419ff8bebf

5dd0321da7b024d304f0117960c1ade6

25a16b0fca9acd71450e02a341064c8d

68848ec8ca6fd1d3b06b594331a462f7

0a2e7c682fc256760beec3e19a856cbb

Domain:

windiagnosticsvc[.]net

otx.gxwxtvonline[.]com

IP:

162.213.251[.]226

82.221.136[.]27

45.11.19[.]170

来源:freebuf.com 2020-12-21 09:51:56 by: 安恒威胁情报中心

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论